DSGVO – Über­blick und Zweck, was ist ei­gent­lich Verarbeitung?

Ein­füh­rung und Über­blick zur DS-GVO

Vier Jahre lang wurde heftig dis­ku­tiert und de­bat­tiert. Am 15.12.2015 stieg „weißer Rauch“ in Brüssel auf. Es bestand nun endlich ein im Tri­log­ver­fah­ren ab­ge­stimm­ter Text der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DS-GVO). Im April 2016 er­folg­te die Zu­stim­mung seitens des EU-Rats und -Par­la­ments und am 04.05.2016 wurde die DS-GVO im Amts­blatt der Eu­ro­päi­schen Union (EU) ver­öf­fent­licht. Sie trat am 25.05.2016, am 20. Tag nach ihrer Ver­öf­fent­li­chung, in Kraft. Seit dem 25.05.2018 ist die Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung gültig und gilt direkt und un­mit­tel­bar für alle EU-Mit­­glie­d­­staa­­ten. [1]

Das war vor drei Jahren – Happy Bir­th­day DS-GVO.

Es gab viele Kri­ti­ker der Voll­har­mo­ni­sie­rung des Da­ten­schutz­rechts durch die DS-GVO und des an­geb­li­chen Pa­ra­dig­men­wech­sels. Dabei wurde viel­fach über­se­hen, dass bereits eine in­halt­lich weit­rei­chen­de se­kun­där­recht­li­che Eu­ro­päi­si­ie­rung des Da­ten­schutz­rechts erfolgt war. Im Kern geschah dies mit der im Jahr 1995 ver­ab­schie­de­ten Da­ten­schutz­richt­li­nie 95/46/EG. Sie er­fass­te sämt­li­che Da­ten­ver­ar­bei­tungs­pro­zes­se und schloss le­dig­lich Da­ten­ver­ar­bei­tun­gen im fa­mi­liä­ren und rein per­sön­li­chen Zu­sam­men­hän­gen aus, wie es auch die DS-GVO (Art. 2 Abs. 2 lit. c) aktuell regelt. [2]

Ab­bil­dung 1: Ge­setz­ge­bungs­ver­fah­ren der DS-GVO (Quelle: Regina Mühlich)

Mit der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung wurde das Da­ten­schutz­recht in­ner­halb der Eu­ro­päi­schen Union (EU) und des Eu­ro­päi­schen Wirt­schafts­raums (EWR) [3] für den pri­va­ten und öf­fent­li­chen Bereich ver­ein­heit­licht. Der Da­ten­schutz­stan­dard gilt für fast 448 Mio EU-Bürger  [4], und es gilt glei­ches Recht für alle.

Zweck des Datenschutzes

Der Zweck des Daten­schutz ist der Schutz der per­so­nen­be­zo­ge­nen Daten, es geht nicht um den Schutz von Daten. Der Mensch, i.S.v. die natürliche/betroffene Person, steht folg­lich im Mit­tel­punkt. Die be­trof­fe­nen Person haben ein In­ter­es­se daran, dass die pri­va­ten Daten nicht „miss­braucht werden“ und un­recht­mä­ßig ver­ar­bei­tet werden. Die Pri­vat­sphä­re soll ge­schützt werden, (er­for­der­li­che) Ver­ar­bei­tun­gen sollen trans­pa­rent und rechts­staat­lich er­fol­gen (in­for­ma­tio­nel­le Selbstbestimmung).

Um dies si­cher­zu­stel­len hat der EU-Ge­­set­z­­ge­­ber im Rahmen der DS-GVO, wie bereits das BDSG a.F., die Ver­ar­bei­tung durch einen Dienst­leis­ter, dem so­ge­nann­ten Auf­trags­ver­ar­bei­ter, ge­re­gelt. Eine Auf­trags­ver­ar­bei­tung kann nur unter be­stimm­ten Rah­men­be­din­gun­gen er­fol­gen. Wobei die Ver­trags­part­ner, der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter, einen ge­wis­sen Re­ge­lungs­spiel­raum haben.

Ver­ant­wort­lich für die Ver­ar­bei­tung ist und bleibt auch bei der Auf­trags­ver­ar­bei­tung der Auf­trag­ge­ber, d.h. der Ver­ant­wort­li­che i.S.d. Art. 4 Nr. 7 DS-GVO. Im Rahmen von Art. 5 Abs. 2 DS-GVO ist er für die Ein­hal­tung der Grund­sät­ze für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten (Art. 5 DS-GVO) ver­ant­wort­lich und muss dessen Ein­hal­tung nach­wei­sen können („Re­chen­schafts­pflicht“). Der Ver­ant­wort­li­che hat somit, wie auch der Auf­trags­ver­ar­bei­ter, nicht nur Rechte, sondern auch Pflichten.

Kapitel 1 DS-GVO – Zweck des Datenschutzes:
(1) … zum Schutz na­tür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und zum freien Verkehr solcher Daten.
(2) … schützt Grund­rech­te und Grund­frei­hei­ten na­tür­li­cher Per­so­nen und ins­be­son­de­re deren Recht auf schütz per­so­nen­be­zo­ge­ner Daten. 

Ver­ar­bei­ten

Ver­ar­bei­ten ist ein um­fas­sen­der Begriff für den Umgang mit per­so­nen­be­zo­ge­nen Daten. Er umfasst das Erheben (Daten be­schaf­fen, sammeln), Spei­chern, Ändern (z.B. Be­rich­ti­gung einer E-Mail­­adres­­se), Nutzen (Abfrage starten), Über­mit­teln (durch Wei­ter­ga­be von Daten oder auch „rein­schau­en lassen“), Ver­knüp­fen (mit anderen Daten) oder Löschen (ein­schließ­lich Ver­nich­ten eines Da­ten­trä­gers). [5]

Der Begriff der Ver­ar­bei­tung ist in Art. 4 Nr. 2 DS-GVO ge­re­gelt. Dieser wird weit ver­stan­den und umfasst letz­lich jeg­li­chen Umgang mit per­so­nen­be­zo­ge­nen Daten. [6] Dazu zählt auch der Vorgang der An­ony­mi­sie­rung von per­so­nen­be­zo­ge­nen Daten, da dies eine Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten i.S.d. DS-GVO darstellt.

Ab­bil­dung 2: Umgang mit per­so­nen­be­zo­ge­nen Daten (Quelle: Regina Mühlich)

Daten­schutz ist kein Produkt. Daten­schutz ist ein Prozess.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lö­sun­gen für pro­fes­sio­nel­len und fach­kun­di­gen Datenschutz.

[1] Mühlich, R., (2020), Kap. 1 Ein­füh­rung und Neue­run­gen im Über­blick, S. 19, In: Daten­schutz 2020, Forum Verlag Herkert GmbH.
[2] Ebenda.
[3] Mit­glieds­staa­ten des EWR. EU, Island, Liech­ten­stein, Norwegen.
[4] Vgl. https://de.statista.com/statistik/daten/studie/14035/umfrage/europaeische-union-bevoelkerung-einwohner/ (zuletzt ab­ge­ru­fen am: 24.04.2021).
[5] Kranig, T., Ehmann, E., (2017), S. 9, Erste Hilfe zur Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung, C.H.Beck-Verlag GmbH & Co. KG
[6] Mühlich, R., (2021), An­ony­mi­sie­ren statt löschen?, S. 32, In: Lösch­kon­zept nach DSGVO er­stel­len und an­wen­den, Forum Herkert Verlag GmbH.