Inhaltsverzeichnis
Verarbeitung
Verarbeitung wird in Art. 4 Ziff. 2 DSGVO definiert als: „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“.
Es wird also jeglicher Umgang mit personenbezogenen Daten erfasst. Allerdings: Auch wenn es ausdrücklich heißt, „mit oder ohne Hilfe automatisierter Verfahren“ liegt der Schwerpunkt eindeutig auf dem Umgang mit Daten mittels automatisierter Verfahren, also faktisch dem Einsatz von IT.
Gerade bei sensiblen Daten ist aber auch in der analogen Welt vielfach mehr Aufmerksamkeit angezeigt, als es früher unter dem BDSG oder ThuerDSG leider (und vielfach rechtswidrig) üblich war. So lange es nicht um dramatische Verstöße geht, sind hier aber empfindliche Sanktionen weitaus unwahrscheinlicher.
Die Rechtmäßigkeit der Verarbeitung muss positiv festgestellt werden, d.h. ohne einen Erlaubnistatbestand ist eine Verarbeitung rechtswidrig, wie sich im Umkehrschluss aus Art. 6 Abs. 1 UA 1 DSGVO ergibt.
Pflichten
Verarbeitungen müssen regelmäßig im Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 Abs. 1 DSGVO erfasst werden.
Der Verarbeiter muss die Rechte der betroffenen Personen gem. der Art. 12 bis 23 DSGVO wahren.
Rechtliche Sonderformen
Wenn eine Institution für eine andere personenbezogene Daten verarbeitet, liegt in der Regel Auftragsverarbeitung gemäß Artikel 28 DSGVO vor. Die beteiligten Institutionen können aber auch gemeinsam Verantwortliche (Joint Controlling) gemäß Artikel 26 DSGVO sein.
Das (in seiner Existenz) umstrittene Institut der Funktionsübertragung dürfte sich dagegen mit In-Kraft-Treten der DSGVO erledigt haben.1)
Spezielle Verarbeitungssituationen
Spezielle Verarbeitungssituationen finden sich in der Liste konkreter Anwendungen des Datenschutzes.