Читать книгу DS-GVO/BDSG - David Klein - Страница 112

48

Art. 4 Nr. 2 definiert den Begriff der Verarbeitung als jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten.

49

Als Beispiele nennt Art. 4 Nr. 2 das Erheben, das Erfassen, das Organisieren, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten. Die Aufzählung ist nicht abschließend und bringt zum Ausdruck, dass jeglicher Umgang mit personenbezogenen Daten eine Verarbeitung im Sinne der DS-GVO darstellt.[121] Wie die Konkretisierungen belegen, ist der Begriff der Verarbeitung schon nach dem Schutzzweck der DS-GVO weit zu verstehen und kann sich sowohl auf den Inhalt des personenbezogenen Datums als auch auf das personenbezogene Datum als abstraktes Datum sowie auf das Zusammenspiel von mehreren personenbezogenen Daten beziehen.[122]

50

Ausgehend von dieser weiten Definition der Verarbeitung, die zur Folge hat, das jeder Umgang mit personenbezogenen Daten als ein Verarbeiten im Sinne der DS-GVO zu klassifizieren ist und damit einen datenschutzrechtlichen Tatbestand darstellt, muss der für die Verarbeitung Verantwortliche über eine Legitimation für die Verarbeitung verfügen.[123] Soweit also ein Datum Personenbezug aufweist, ist jeder Vorgang, der in Verbindung mit dem Datum steht, eine Datenverarbeitung, die in den Anwendungsbereich der DS-GVO fällt.

51

In zahlreichen Normen der DS-GVO ist der Begriff der Verarbeitung ein wesentliches Tatbestandsmerkmal. Eine grundlegende Norm zur Verarbeitung ist Art. 6, wonach diese nur dann rechtmäßig ist, wenn sie auf einer der in Art. 6 Abs. 1 angegebenen Rechtsgrundlagen beruht.[124] Zu beachten sind ebenfalls die Grundsätze des Art. 5, die für jede Verarbeitung gelten.[125]

52

Hinsichtlich der Verwendung des Begriffs der Verarbeitung nach der DS-GVO in der Praxis ist festzuhalten, dass bei der bisherigen Benennung des Trias „erheben, verarbeiten, übermitteln“ alle Vorgänge gemeint sind, die der in Art. 4 Nr. 2 genannte Oberbegriff „verarbeiten“ erfasst. Es ist zu empfehlen aus Gründen der Rechtssicherheit möglichst darauf zu verzichten, Teilschritten, wie „erheben“ und „übermitteln“, eine eigene Bezeichnung zu geben. So sollte der Begriff „Nutzung“ nicht verwendet werden. Dieser findet sich nicht in der Definition des Art. 4 Nr. 2 und ist daher mit Rechtsunsicherheit behaftet.

53

In der Rechtssache C-40/17 (Fashion ID)[126] befasste sich der EuGH mit der Frage, ob der Betreiber einer Website, der in dieser Website ein Social-Plugin einbindet, das den Browser des Besuchers der Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, als für die Verarbeitung Verantwortlicher angesehen werden kann, obwohl dieser Betreiber keinen Einfluss auf die Verarbeitung der auf diese Weise an den Anbieter übermittelten Daten hat.[127] In diesem Zusammenhang führte der EuGH aus, dass die Verantwortlichkeit verschiedener Akteure im Rahmen eines Datenverarbeitungsvorgangs für verschiedene Phasen unterschiedlich zu beurteilen sei.[128] Die Verarbeitung personenbezogener Daten könne „aus einem oder mehreren Vorgängen bestehen, von denen jeder eine der verschiedenen Phasen betrifft, die eine Verarbeitung personenbezogener Daten umfassen kann“.[129] Die Verarbeitung personenbezogener Daten kann daraus resultierend auch als Verarbeitungskette bezeichnet werden.[130] Die Ansicht des EuGH verdeutlicht, dass der Begriff der Verarbeitung weit zu verstehen ist, um einen (voll-)umfänglichen Schutz der vom Datenverarbeitungsvorgang betroffenen Personen zu gewährleisten.