Immer auf dem Laufenden bleibenEine Verarbeitung (Art. 4 Nr. 2 DS-GVO) beschreibt jeden Vorgang in Zusammenhang mit personenbezogenen Daten, welcher mit oder ohne Hilfe eines automatisierten Verfahrens erfolgt.
Ein automatisiertes Verfahren ist ein Verfahren, welches durch Datenverarbeitungssysteme, wie beispielsweise einer Software oder eines Netzwerks mit Servern, unterstützt wird. Eine händisch erstellte Personalakte in Papierform stellt widerum eine Verarbeitung ohne automatisiertes Verfahren dar.
Jede der folgenden Vorgänge stellt eine Verarbeitung mit oder ohne Hilfe eines Datenverarbeitungssystems dar:
- das Erheben und Erfassen,
- die Organisation, das Ordnen und Speichern,
- die Anpassung oder Veränderung,
- das Auslesen, Abfragen und Verwenden,
- die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung,
- der Abgleich oder die Verknüpfung,
- sowie die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten.
Beispiele für eine Verarbeitung sind die Anpassung der Wohnadresse in einer Personalakte oder das Speichern von personenbezogenen Daten auf einem Datenträger.
Eine Verarbeitung darf grundsätzlich nur durchgeführt werden, wenn eine geeignete Rechtsgrundlage besteht, beispielsweise eine gesetzliche Verpflichtung zur Durchführung der Verarbeitung oder das Bestehen einer Einwilligung der betroffenen Person.
Besteht für eine Verarbeitung eine geeignete Rechtsgrundlage, so müssen in der Regel weitere gesetzliche Pflichten berücksichtigt werden, wie zum Beispiel die Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DS-GVO) oder die Datensicherheit (Art. 32 DS-GVO).
