Datenverarbeitung im Sinne der DSGVO – Was Unternehmen wissen müssen

Das Wichtigste im Überblick:

• Jeder Umgang mit personenbezogenen Daten gilt als Datenverarbeitung – von der Erhebung bis zur Löschung
• Ohne angemessene Schutzmaßnahmen drohen empfindliche Bußgelder und Reputationsschäden
• Eine professionelle Datenschutz-Compliance-Strategie ist für rechtssichere Geschäftsprozesse unerlässlich

Jetzt Angebot anfordern!

Der umfassende Begriff der Datenverarbeitung nach DSGVO

Die Datenschutz-Grundverordnung (DSGVO) definiert den Begriff der Datenverarbeitung bewusst sehr weit. Nach Art. 4 Nr. 2 DSGVO umfasst dies jeden Vorgang im Zusammenhang mit personenbezogenen Daten – sowohl automatisiert als auch manuell. Dies mag zunächst abstrakt klingen, hat aber sehr konkrete Auswirkungen auf den Geschäftsalltag jedes Unternehmens.

Eine Datenverarbeitung beginnt bereits bei der ersten Erhebung personenbezogener Daten, etwa wenn ein Kunde seine Kontaktdaten in ein Formular einträgt. Sie setzt sich fort über die Speicherung dieser Daten in Ihren Systemen, jede Form der Nutzung, Weitergabe oder Veränderung bis hin zur endgültigen Löschung. Dabei spielt es keine Rolle, ob die Verarbeitung digital oder analog erfolgt – auch die klassische Kundenakte im Aktenschrank fällt unter den Verarbeitungsbegriff der DSGVO. Ein externer Datenschutzbeauftragter hilft Ihnen dabei, diese vielfältigen Verarbeitungsprozesse zu identifizieren und rechtssicher zu gestalten.

Rechtliche Rahmenbedingungen und Anforderungen

Die DSGVO folgt dem Prinzip vom Verbot mit Erlaubnisvorbehalt: Jede Verarbeitung personenbezogener Daten ist grundsätzlich verboten, sofern sie nicht durch eine ausdrückliche Erlaubnis gestattet wird. Eine solche Erlaubnis kann sich aus der Einwilligung der betroffenen Person ergeben oder aus anderen in der DSGVO genannten Rechtfertigungsgründen wie der Erfüllung eines Vertrags oder berechtigten Interessen des Unternehmens.

Für jede Datenverarbeitung müssen zudem die Grundprinzipien der DSGVO eingehalten werden: Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit. Diese Prinzipien müssen nicht nur eingehalten, sondern deren Einhaltung muss auch nachgewiesen werden können.

Jetzt Angebot anfordern!

Besondere Herausforderungen beim Profiling

Eine besondere Form der Datenverarbeitung stellt das Profiling dar. Gemäß Art. 4 Nr. 4 DSGVO bezeichnet dies jede Art der automatisierten Verarbeitung personenbezogener Daten, die dazu dient, bestimmte persönliche Aspekte einer Person zu bewerten. Dies betrifft beispielsweise Analysen des Kaufverhaltens, der Arbeitsleistung oder der gesundheitlichen Situation. Für Profiling gelten besonders strenge Anforderungen, insbesondere wenn darauf automatisierte Entscheidungen gestützt werden. Meist ist dies nur auf Basis einer ausdrücklichen Einwilligung erlaubt. In Ausnahmefällen kann ein rudimentäres Profiling aber auch mit einem berechtigten Interesse des Verantwortlichen gerechtfertigt werden. Hier ist eine sorgfältige rechtliche Prüfung und Dokumentation der Abwägung Pflicht.

Professionelle Unterstützung durch Two Towers Consulting

Als Datenschutzexperten unterstützen wir Sie bei der DSGVO-konformen Gestaltung Ihrer Datenverarbeitungsprozesse. Unser interdisziplinäres Team aus zertifizierten Datenschutzbeauftragten und IT-Rechtsexperten verbindet rechtliches Know-how mit technischem Verständnis.

In den vergangenen Jahren haben wir über zahlreiche Unternehmen erfolgreich bei der DSGVO-Implementierung begleitet. Unsere Beratung umfasst dabei den gesamten Compliance-Prozess: von der initialen Ist-Analyse über die Implementierung notwendiger Maßnahmen bis hin zur kontinuierlichen Betreuung.

Ihre nächsten Schritte zur DSGVO-Compliance

Der Weg zur vollständigen DSGVO-Compliance mag komplex erscheinen, aber mit der richtigen Unterstützung ist er gut zu bewältigen. Two Towers Consulting bietet Ihnen einen strukturierten Ansatz:

Wir begleiten Sie bei der Umsetzung und stellen durch regelmäßige Audits die dauerhafte Compliance sicher.

In einem Beratungsgespräch analysieren wir Ihre spezifische Situation und identifizieren mögliche Handlungsbedarfe.

Basierend darauf entwickeln wir einen maßgeschneiderten Projektplan mit konkreten Meilensteinen.

Jetzt Angebot anfordern!

Häufig gestellte Fragen

Was genau sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören nicht nur Name und Anschrift, sondern auch Kennungen wie IP-Adressen oder Cookies.

Benötigen wir für jede Datenverarbeitung eine Einwilligung?

Nein, die DSGVO kennt verschiedene Rechtsgrundlagen für die Datenverarbeitung. Neben der Einwilligung kommen etwa die Vertragserfüllung, rechtliche Verpflichtungen oder berechtigte Interessen in Frage.

Welche Dokumentationspflichten bestehen?

Unternehmen müssen bspw. ein Verzeichnis von Verarbeitungstätigkeiten führen, Datenschutz-Folgenabschätzungen durchführen und technisch-organisatorische Maßnahmen dokumentieren. Auch Einwilligungen, deren Widerrufe und Ersuchen von Betroffenen müssen nachgehalten werden.

Was droht bei Verstößen gegen die DSGVO?

Die Aufsichtsbehörden können Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängen. Hinzu kommen mögliche Schadensersatzansprüche und Verfahrenskosten sowie Reputationsschäden.

Wer ist für die Einhaltung der DSGVO verantwortlich?

Die Verantwortung liegt bei der Unternehmensleitung. Ab einer bestimmten Größe oder bei besonders sensiblen Datenverarbeitungen muss zusätzlich ein Datenschutzbeauftragter bestellt werden.

Welche Rechte haben betroffene Personen?

Die DSGVO gewährt umfangreiche Betroffenenrechte, darunter Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch.

Was bedeutet Privacy by Design?

Datenschutz durch Technikgestaltung bedeutet, dass bereits bei der Entwicklung von Produkten und Prozessen Datenschutzanforderungen berücksichtigt werden müssen.

Wie lange dürfen Daten gespeichert werden?

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke der Verarbeitung erforderlich ist. Danach müssen sie gelöscht oder anonymisiert werden. Gesetzliche Aufbewahrungsfristen variieren dabei erheblich je nach Daten- oder Dokumentenart.

Was ist bei der Auftragsverarbeitung zu beachten?

Wenn externe Dienstleister personenbezogene Daten im Auftrag verarbeiten, muss ein Auftragsverarbeitungsvertrag geschlossen werden, der die Pflichten des Auftragsverarbeiters regelt.

Wie sicher müssen die Daten geschützt werden?

Die DSGVO verlangt angemessene technische und organisatorische Maßnahmen zum Schutz der Daten. Das konkrete Schutzniveau richtet sich nach dem Risiko der Verarbeitung.

_{Hinweis: Leistungen, die dem Rechtsdienstleistungsgesetz unterfallen, werden von der Kanzlei Two Towers Legal erbracht.}

Verwandte Themen

• Fällt die Bestellpflicht für Datenschutzbeauftragte?
• Löschung as a Service: Geht das?
• Bereichsausnahmen bei der Einschaltung von Unterauftragsverarbeitern
• Auskunftsersuchen nach Art. 15 DSGVO – erfüllen oder ablehnen?
• Bußgeld gegen Uber: 290 Mio. Euro und jede Menge Rechtsunsicherheit