DS-GVO/BDSG. David Klein

1. Allgemeines

      48

      Art. 4 Nr. 2 definiert den Begriff der Verarbeitung als jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten.

      49

Als Beispiele nennt Art. 4 Nr. 2 das Erheben, das Erfassen, das Organisieren, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten. Die Aufzählung ist nicht abschließend und bringt zum Ausdruck, dass jeglicher Umgang mit personenbezogenen Daten eine Verarbeitung im Sinne der DS-GVO darstellt.[121] Wie die Konkretisierungen belegen, ist der Begriff der Verarbeitung schon nach dem Schutzzweck der DS-GVO weit zu verstehen und kann sich sowohl auf den Inhalt des personenbezogenen Datums als auch auf das personenbezogene Datum als abstraktes Datum sowie auf das Zusammenspiel von mehreren personenbezogenen Daten beziehen.[122]

      50

Ausgehend von dieser weiten Definition der Verarbeitung, die zur Folge hat, das jeder Umgang mit personenbezogenen Daten als ein Verarbeiten im Sinne der DS-GVO zu klassifizieren ist und damit einen datenschutzrechtlichen Tatbestand darstellt, muss der für die Verarbeitung Verantwortliche über eine Legitimation für die Verarbeitung verfügen.[123] Soweit also ein Datum Personenbezug aufweist, ist jeder Vorgang, der in Verbindung mit dem Datum steht, eine Datenverarbeitung, die in den Anwendungsbereich der DS-GVO fällt.

      51

In zahlreichen Normen der DS-GVO ist der Begriff der Verarbeitung ein wesentliches Tatbestandsmerkmal. Eine grundlegende Norm zur Verarbeitung ist Art. 6, wonach diese nur dann rechtmäßig ist, wenn sie auf einer der in Art. 6 Abs. 1 angegebenen Rechtsgrundlagen beruht.[124] Zu beachten sind ebenfalls die Grundsätze des Art. 5, die für jede Verarbeitung gelten.[125]

      52

      Hinsichtlich der Verwendung des Begriffs der Verarbeitung nach der DS-GVO in der Praxis ist festzuhalten, dass bei der bisherigen Benennung des Trias „erheben, verarbeiten, übermitteln“ alle Vorgänge gemeint sind, die der in Art. 4 Nr. 2 genannte Oberbegriff „verarbeiten“ erfasst. Es ist zu empfehlen aus Gründen der Rechtssicherheit möglichst darauf zu verzichten, Teilschritten, wie „erheben“ und „übermitteln“, eine eigene Bezeichnung zu geben. So sollte der Begriff „Nutzung“ nicht verwendet werden. Dieser findet sich nicht in der Definition des Art. 4 Nr. 2 und ist daher mit Rechtsunsicherheit behaftet.

      53

In der Rechtssache C-40/17 (Fashion ID)[126] befasste sich der EuGH mit der Frage, ob der Betreiber einer Website, der in dieser Website ein Social-Plugin einbindet, das den Browser des Besuchers der Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, als für die Verarbeitung Verantwortlicher angesehen werden kann, obwohl dieser Betreiber keinen Einfluss auf die Verarbeitung der auf diese Weise an den Anbieter übermittelten Daten hat.[127] In diesem Zusammenhang führte der EuGH aus, dass die Verantwortlichkeit verschiedener Akteure im Rahmen eines Datenverarbeitungsvorgangs für verschiedene Phasen unterschiedlich zu beurteilen sei.[128] Die Verarbeitung personenbezogener Daten könne „aus einem oder mehreren Vorgängen bestehen, von denen jeder eine der verschiedenen Phasen betrifft, die eine Verarbeitung personenbezogener Daten umfassen kann“.[129] Die Verarbeitung personenbezogener Daten kann daraus resultierend auch als Verarbeitungskette bezeichnet werden.[130] Die Ansicht des EuGH verdeutlicht, dass der Begriff der Verarbeitung weit zu verstehen ist, um einen (voll-)umfänglichen Schutz der vom Datenverarbeitungsvorgang betroffenen Personen zu gewährleisten.

2. Inhalt

      54

Im Gegensatz zur deutschen Datenschutztradition nach dem BDSG mit ihrem differenzierenden Begriffsverständnis geht die DS-GVO von einem umfassenden Verarbeitungsbegriff aus. So hat man in Deutschland in der Vergangenheit jeden einzelnen Verarbeitungsschritt vom Erheben bis zum Nutzen definiert und geregelt. Dies ist nun wegen des einheitlichen Verarbeitungsbegriffs nach der DS-GVO nicht mehr möglich. Damit entfällt auch die bisherige wörtliche Privilegierung der Auftragsverarbeitung, wie sie noch in BDSG a.F. enthalten war.[131]

      55

Erfasst von der Definition der Verarbeitung nach Art. 4 Nr. 2 sind alle Arten des Umgangs mit personenbezogenen Daten von der Erhebung bis zur Vernichtung. Die DS-GVO differenziert nicht nach Intensität, Dauer oder der verwendeten Verarbeitungstechnik.[132] Dies macht insbesondere ErwG 15 deutlich, wonach der Schutz natürlicher Personen technologieneutral und nicht von den verwendeten Techniken abhängen soll. Lediglich unstrukturierte Akten oder Aktensammlungen sowie ihre Deckblätter sind laut ErwG 15 vom Anwendungsbereich der Verordnung ausgenommen.

      56

Da der Begriff der Verarbeitung nicht nach der Dauer des Vorgangs differenziert fällt auch die nur kurzzeitige Verwendung weniger, scheinbar unbedeutender personenbezogener Daten grundsätzlich in den Anwendungsbereich der DS-GVO.[133] Beispielhaft kann hier die Zwischenspeicherung personenbezogener Daten im Cache eines Browsers genannt werden.[134]

      57

Der Begriff der Verarbeitung der DS-GVO umfasst sowohl die automatisierte, als auch die nichtautomatisierte Verarbeitung personenbezogener Daten. Automatisiert ist eine Verarbeitung personenbezogener Daten durch eine Maschine, wenn sie ohne menschliche Einwirkung stattfindet.[135] So zum Beispiel, die kontinuierliche Videoüberwachung und Aufzeichnung der Aufnahmen auf einer Festplatte.[136] Ausweislich ErwG 15 S. 2 fällt auch eine nichtautomatisierte Verarbeitung, die manuell ohne jedes technische Hilfsmittel erfolgt, in den