Dies ist eine alte Version des Dokuments!
Inhaltsverzeichnis
Verarbeitung wird in Art. 4 Ziff. 2 DSGVO definiert als: „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“.
Es wird also jeglicher Umgang mit personenbezogenen Daten erfasst. Allerdings: Auch wenn es ausdrücklich heißt, „mit oder ohne Hilfe automatisierter Verfahren“ liegt der Schwerpunkt eindeutig auf dem Umgang mit Daten mittels automatisierter Verfahren, also faktisch dem Einsatz von IT.
Gerade bei sensiblen Daten ist aber auch in der analogen Welt vielfach mehr Aufmerksamkeit angezeigt, als es früher unter dem BDSG oder ThuerDSG leider (und vielfach rechtswidrig) üblich war. So lange es nicht um dramatische Verstöße geht, sind hier aber empfindliche Sanktionen weitaus unwahrscheinlicher.
Pflichten
Verarbeitungen müssen regelmäßig im Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 Abs. 1 DSGVO erfasst werden.
Sonderformen
Wenn eine Institution für eine andere personenbezogene Daten verarbeitet, liegt in der Regel Auftragsverarbeitung gemäß Artikel 28 DSGVO vor. Die beteiligten Institutionen können aber auch gemeinsam Verantwortliche (Joint Controlling) gemäß Artikel 26 DSGVO sein.
Das (in seiner Existenz) umstrittene Institut der Funktionsübertragung dürfte sich dagegen mit In-Kraft-Treten der DSGVO erledigt haben.1)