Verarbeitungstätigkeiten nach DSGVO

Bei der Beantwortung der Frage, was eine Verarbeitungstätigkeit ausmacht und wie sie zu definieren ist, ist die DSGVO nicht eindeutig. Allerdings ist es wichtig eine Verarbeitungstätigkeit zu identifizieren, um sie später in das gesetzlich vorgeschriebene Verzeichnis von Verarbeitungstätigkeiten aufzunehmen. In diesem Artikel werden die Merkmale einer Verarbeitungstätigkeiten behandelt.

Tipp: Sie wollen vorausgefüllte Vorlagen und Ihre Dokumentation nach DSGVO abschließen?

Die gesetzliche Definition einer Verarbeitungstätigkeit

Der Begriff Verarbeitungstätigkeit ist als solcher in der DSGVO nicht konkret definiert. Auf Grund dessen muss auf Art. 4 Nr. 2. DSGVO zurückgegriffen werden, welcher das Wort Verarbeitung definiert. Das BDSG ist hier auch keine Hilfe und benutzt den gleichen Wortlaut wie die DSGVO.
Demnach müssen als wichtigstes Kriterium personenbezogene Daten verarbeitet werden, dabei unterscheidet das Gesetz nicht zwischen manueller oder automatisierter Verarbeitung. Eine Kartei, welche händisch beschrieben wird, ist also genauso zu behandeln, wie eine Excel Tabelle, die jeden Tag automatisiert befüllt wird. Darüber hinaus zählt die DSGVO noch konkret auf, welche Arten der Verarbeitung eingeschlossen sind (Art. 4 Nr. 2 DSGVO):

  • Erheben,
  • Erfassen,
  • die Organisation,
  • das Ordnen,
  • die Speicherung,
  • die Anpassung oder Veränderung,
  • das Auslesen, das Abfragen, die Verwendung,
  • die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung,
  • den Abgleich oder die Verknüpfung,
  • die Einschränkung,
  • das Löschen,
  • die Vernichtung.

Dieser Katalog ist nicht allumfassend, das bedeutet, dass selbst wenn die Tätigkeit nicht aufgezählt ist, davon auszugehen ist, dass es sich um eine Verarbeitung im Sinne der DSGVO handelt.

Das Prüfungsschema, um eine Verarbeitungstätigkeit zu identifizieren

Generieren Sie jetzt ihr individuelles Verfahrensverzeichnis!

Wie definiert man eine Verarbeitungstätigkeit?

Beispiele für typische Verarbeitungstätigkeiten

Die Kundendatenbank

So gut wie jede Firma hat eine Datenbank, in der sie ihre (potentiellen) Kunden abspeichert. In diesem Fall liegt eindeutig eine Verarbeitungstätigkeit vor, da regelmäßig persönliche Daten verarbeitet werden. Sie werden erhoben, erfasst und gespeichert.

E-Mail

Mittlerweile nutzen sicher alle Unternehmen E-Mail zur Kommunikation mit Kunden oder intern. Dies stellt auch ein typisches Verfahren dar, da im großen Maße, automatisiert persönliche Daten, wie E-Mail Adresse, Name usw. verarbeitet werden.

Bilanzerstellung

Diese Datenverarbeitung stellt keine Verarbeitungstätigkeit im Sinne der DSGVO dar, da regelmäßig keine persönliche Daten, sondern Finanzkennziffern und aggregierte Daten verarbeitet werden.

Betrieb einer Website

Der Betrieb einer Internetseite stellt in jedem Fall eine Verarbeitung personenbezogener Daten dar. Selbst wenn Sie keine Daten aktiv erheben, z.B. mit Hilfe von Tracking, sammelt Ihr Hoster in jedem Fall Daten, wie IP-Adresse oder Browser-ID ein. Dies ist notwendig zum Betrieb der Webseite.

DSGVO Doku endlich abhaken!

  • Vorausgefüllte DSGVO Vorlagen vom Datenschutzauditor (TÜV-geprüft)
  • Keine Rechtskenntnisse erforderlich
  • Alle gängigen Verfahren, TOMs und Risikoanalyse
  • Sparen Sie tausende Euro Beratungsgebühren und tagelange Recherche

Resümee: Es gibt viele Verarbeitungstätigkeiten im Unternehmen

Auf Grund der weiten Definition im Gesetz und der Vielzahl von persönlichen Daten in einem Unternehmen, müssen viele Verfahren erfasst werden. Es ist davon auszugehen, dass alles ein Verfahren darstellt, was persönliche Daten beinhaltet.

 

Quellen

https://dsgvo-gesetz.de/art-30-dsgvo/

https://dsgvo-gesetz.de/art-4-dsgvo/