Bei der Beantwortung der Frage, was eine Verarbeitungstätigkeit ausmacht und wie sie zu definieren ist, ist die DSGVO nicht eindeutig. Allerdings ist es wichtig eine Verarbeitungstätigkeit zu identifizieren, um sie später in das gesetzlich vorgeschriebene Verzeichnis von Verarbeitungstätigkeiten aufzunehmen. In diesem Artikel werden die Merkmale einer Verarbeitungstätigkeiten behandelt.
Inhalte
Tipp: Sie wollen vorausgefüllte Vorlagen und Ihre Dokumentation nach DSGVO abschließen?
Die gesetzliche Definition einer Verarbeitungstätigkeit
Der Begriff Verarbeitungstätigkeit ist als solcher in der DSGVO nicht konkret definiert. Auf Grund dessen muss auf Art. 4 Nr. 2. DSGVO zurückgegriffen werden, welcher das Wort Verarbeitung definiert. Das BDSG ist hier auch keine Hilfe und benutzt den gleichen Wortlaut wie die DSGVO.
Demnach müssen als wichtigstes Kriterium personenbezogene Daten verarbeitet werden, dabei unterscheidet das Gesetz nicht zwischen manueller oder automatisierter Verarbeitung. Eine Kartei, welche händisch beschrieben wird, ist also genauso zu behandeln, wie eine Excel Tabelle, die jeden Tag automatisiert befüllt wird. Darüber hinaus zählt die DSGVO noch konkret auf, welche Arten der Verarbeitung eingeschlossen sind (Art. 4 Nr. 2 DSGVO):
- Erheben,
- Erfassen,
- die Organisation,
- das Ordnen,
- die Speicherung,
- die Anpassung oder Veränderung,
- das Auslesen, das Abfragen, die Verwendung,
- die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung,
- den Abgleich oder die Verknüpfung,
- die Einschränkung,
- das Löschen,
- die Vernichtung.
Dieser Katalog ist nicht allumfassend, das bedeutet, dass selbst wenn die Tätigkeit nicht aufgezählt ist, davon auszugehen ist, dass es sich um eine Verarbeitung im Sinne der DSGVO handelt.
Das Prüfungsschema, um eine Verarbeitungstätigkeit zu identifizieren
Generieren Sie jetzt ihr individuelles Verfahrensverzeichnis!
Beispiele für typische Verarbeitungstätigkeiten
Die Kundendatenbank
So gut wie jede Firma hat eine Datenbank, in der sie ihre (potentiellen) Kunden abspeichert. In diesem Fall liegt eindeutig eine Verarbeitungstätigkeit vor, da regelmäßig persönliche Daten verarbeitet werden. Sie werden erhoben, erfasst und gespeichert.
Mittlerweile nutzen sicher alle Unternehmen E-Mail zur Kommunikation mit Kunden oder intern. Dies stellt auch ein typisches Verfahren dar, da im großen Maße, automatisiert persönliche Daten, wie E-Mail Adresse, Name usw. verarbeitet werden.
Bilanzerstellung
Diese Datenverarbeitung stellt keine Verarbeitungstätigkeit im Sinne der DSGVO dar, da regelmäßig keine persönliche Daten, sondern Finanzkennziffern und aggregierte Daten verarbeitet werden.
Betrieb einer Website
Der Betrieb einer Internetseite stellt in jedem Fall eine Verarbeitung personenbezogener Daten dar. Selbst wenn Sie keine Daten aktiv erheben, z.B. mit Hilfe von Tracking, sammelt Ihr Hoster in jedem Fall Daten, wie IP-Adresse oder Browser-ID ein. Dies ist notwendig zum Betrieb der Webseite.
Der Schritt-für-Schritt Generator
- Mit ausführlichen Anleitungen direkt zur fertigen Dokumentation
- Keine Rechtskenntnisse erforderlich
- Vorausgefüllte Vorlagen für alle gängigen Verfahren
Resümee: Es gibt viele Verarbeitungstätigkeiten im Unternehmen
Auf Grund der weiten Definition im Gesetz und der Vielzahl von persönlichen Daten in einem Unternehmen, müssen viele Verfahren erfasst werden. Es ist davon auszugehen, dass alles ein Verfahren darstellt, was persönliche Daten beinhaltet.
Quellen
https://dsgvo-gesetz.de/art-30-dsgvo/
https://dsgvo-gesetz.de/art-4-dsgvo/
