Dies ist eine alte Version des Dokuments!
Verarbeitung wird in Artikel 4 Ziff. 2 DSGVO definiert als: „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“.
Es wird also jeglicher Umgang mit personenbezogenen Daten erfasst. Allerdings: Auch wenn es ausdrücklich heißt, „mit oder ohne Hilfe automatisierter Verfahren“ liegt der Schwerpunkt eindeutig auf dem Umgang mit Daten mittels automatisierter Verfahren, also faktisch dem Einsatz von IT.
Gerade bei sensiblen Daten ist aber auch in der analogen Welt vielfach mehr Aufmerksamkeit angezeigt, als es früher unter dem BDSG oder ThuerDSG leider (und vielfach rechtswidrig) üblich war. So lange es nicht um dramatische Verstöße geht, sind hier aber empfindliche Sanktionen weitaus unwahrscheinlicher.
Verarbeitungen müssen regelmäßig im Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 Abs. 1 DSGVO erfasst werden.
Wenn mehrere Institution für eine andere personenbezogene Daten verarbeitet, liegt in der Regel Auftragsverarbeitung gemäß Artikel 28 DSGVO vor. Die beteiligten Institutionen können aber auch gemeinsam Verantwortliche (Joint Controlling) gemäß Artikel 26 DSGVO sein.