Biographie
Corinna Zürn betreut im Datenschutz-Team als externe Datenschutzbeauftragte die Datenschutzbelange zahlreicher Kunden aus verschiedenen Branchen. Zudem ist sie interne Datenschutzbeauftragte der audius Gruppe.
Was gilt als Datenverarbeitung im Sinne der DSGVO?
Normaler Abstand nach oben
Normaler Abstand nach unten
Datenverarbeitung ist für diejenigen von uns, die wir täglich mit den Datenschutzbegrifflichkeiten umgehen, so selbstverständlich, dass wir oft vergessen, diesen Begriff zu erklären. Und wir sind dann irritiert, wenn unser Gegenüber offenkundig etwas ganz anderes mit dem Wort Verarbeitung verbindet. Das führt meist zu seltsamen Missverständnissen. Etwa, dass die DSGVO gar nicht anzuwenden sei, …
… weil „ich mit den Daten doch gar nichts mache: die liegen nur in meinem CRM-System herum“
... weil „ich ja NUR Name, Vorname und (geschäftliche) Emailadresse verwende“ oder
… weil „ich die Daten nirgends gespeichert habe“
Hartnäckig hält sich die Meinung, dass keine Datenverarbeitung stattfindet, wenn die Daten pseudonymisiert oder anonymisiert werden. Dann sei der Personenbezug ja nicht mehr zu erkennen und somit gelten all die Regeln der DSGVO nicht mehr.
Dies ist ein Irrtum.
In den Begriffsbestimmungen in Artikel 4 Abs. 2 der DSGVO wird Verarbeitung mit Vorgängen oder Vorgangsreihen im Zusammenhang mit personenbezogenen Daten definiert – zugegeben ein wenig sperrig. Weiter werden verschiedene Beispiele wie Erfassen, Verwenden, Offenlegen oder Vernichten genannt. Doch Vorsicht! Das kleine Wörtchen „wie“ in diesem Absatz zeigt an, dass die hier aufgeführte Liste nicht abschließend ist.
Jeder Vorgang im Zusammenhang mit personenbezogenen Daten also – das heißt, wann immer Personen identifiziert oder identifizierbar sind und deren Daten wie auch immer verarbeitet werden, greifen die Regelungen der DSGVO.
Um den Begriff Verarbeitung – man kann auch Umgang sagen – bildhafter zu machen, stelle man sich einen Lebenszyklus von Daten vor. Daten werden „geboren“: Dazu gehört das Erheben, das Erfassen, das Auslesen, das Abfragen etc. Danach beginnt das „Leben“ der Daten, zu dem das Speichern, das Organisieren, das Ordnen, das Verändern, Abgleichen oder Verknüpfen, aber auch das Offenlegen oder Übermitteln der Daten gehören. Auch der „Tod“ der Daten gehört zu den Verarbeitungen dazu – also das Löschen oder Vernichten.
Tatsächlich gehören auch das Anonymisieren (Tod) und das Pseudonymisieren (Weiterleben) zu Lebenszyklus dazu, da allein der Akt der Anonymisierung eine Datenverarbeitung darstellt. Schließlich wird bis zum Ende des Vorgangs dennoch mit personenbezogenen Daten umgegangen und gearbeitet.
Die DSGVO bezieht auch solche Daten explizit mit ein, die nicht ausschließlich digital verarbeitet werden. Das heißt also, dass alle Regelungen der DSGVO auch dann eingehalten werden müssen, wenn die Daten nicht elektronisch erfasst, gespeichert und verarbeitet werden. Auch analoges Erfassen etwa in Zettelkästen oder Papierakten gehören dazu. Genau genommen findet bereits dann eine Datenverarbeitung statt, wenn jemand seinen Namen und seine Telefonnummer auf einen Zettel kritzelt oder eine Visitenkarte übergibt. An dieser Stelle wird es etwa mit der Informationspflicht des Verantwortlichen also mit der Bereitstellung von Datenschutzhinweisen schwierig. Weshalb sich hierzu die Aufsichtsbehörde von Berlin einmal äußerte, dass in diesem speziellen Fall eine Informationspflicht zur Datenverarbeitung nicht bereits bei Erhebung der Daten (der Übergabe von Visitenkarten) zu übergeben sei, sondern erst bei der Speicherung der Daten im CRM-System des Verantwortlichen. Daher kommt vermutlich der Irrtum, dass Daten erst als verarbeitet gelten, wenn sie irgendwo elektronisch gespeichert werden. Voraussetzung ist lediglich laut EuGH (Az. C-25/17 vom 10. Juli 2018 Zeugen Jehovas Urteil) dass eine „Struktur“ in der Datenorganisation vorliegt, „mit deren Hilfe [sie] leicht wiederauffindbar sind“.
Dabei ist es auch völlig unerheblich, wie viele Daten gespeichert sind und wie sensibel sie sind. Eine Verarbeitung im Sinne der DSGVO liegt also auch dann vor, wenn „nur“ der Name und die geschäftliche Email-Adresse verarbeitet also gespeichert und verwendet werden. Manchmal liegt sogar eine Verarbeitung von personenbezogenen Daten vor, wenn sich zum Beispiel der Name eines Eigners oder Gründers einer Firma in deren Namen befindet. Auch wenn es sich hier ganz und gar nicht um risikobehaftete Daten handelt, so sind es dennoch personenbezogene Daten und deren Verarbeitung muss sich nach der DSGVO richten.
Sie haben noch weitere Fragen zum Thema Datenschutz? Wir haben Antworten für Sie!
