Das fällt alles unter "Verarbeitung"

Datenverarbeitung ist das allgemeine Verwenden von Daten. Um die DSGVO zu verstehen, müssen wir uns den Begriff „Verarbeitung personenbezogener Daten“ merken. Die DSGVO bezieht sich nicht auf alle Daten sondern, eben nur auf diese spezielle Kategorie: „Personenbezogene Daten“. 

Am besten verstehst Du das Prinzip „Verarbeitung“ wenn Du es mit „Verwendung“ in Zusammenhang bringst. Jede Verwendung von Daten, ist gleich auch eine Verarbeitung.

Wenn Du mit oder ohne automatisierter Verfahren personenbezogene Daten verwendest, nennt man das Verarbeitung. Wie Du siehst es ist immer der Bezug zu personenbezogenen Daten gemeint. Wie verwendet man Daten?

Das beginnt schon beim Erheben oder Erfassen der Daten und setzt sich folgendermaßen fort:

  • Organisation und Ordnen der Daten
  • Speicherung
  • Bereitstellung
  • Lagerung
  • Auslesen
  • Abfragen
  • Veränderung
  • Übermittlung
  • Verbreitung
  • Abgleich
  • Verknüpfungen
  • Löschung und Vernichtung
  • Einschränkung

Auch die Darstellung am Bildschirm fällt darunter. Da mit der DSGVO alle personenbezogenen Daten geregelt werden, fallen auch Akten in Papierform darunter. Das sind beispielsweise Kundenakten sowie Patientenakten oder auch Karteikarten.

Lagerung fällt ebenfalls unter Verarbeitung, also sind auch Medien wie externe Festplatten und USB-Sticks bei der Evaluierung zu berücksichtigen. Bei der Speicherung bedenke auch, dass personenbezogene Daten auf Geräten wie Telefonen und I-Pads gespeichert sind. Neben den Geräten sind die Daten auch in verschiedenen Datei-Formaten abgespeichert wie Emails (Outlook oder Thunderbird), Excel-Listen, Word-Dokumente und Ähnliches.

Bedenke auch, dass es jede Menge Datensätze in Papierform gibt.

Grundsätzlich gilt, dass die Verarbeitung von personenbezogenen Daten verboten ist, außer es wird ausdrücklich erlaubt. Das nennen sie das Verbotsprinzip.

Zum Reduzieren des Risikos überlege dir vielleicht eine geeignete Verschlüsselung

Profiling ist eine Art der Verarbeitung

Im Artikel 4/4 DSGVO wird der Begriff Profiling definiert. Bei Profiling handelt es sich um bestimmte personenbezogene Daten, die persönliche Aspekte einer natürlichen Person betreffen. Das sind im Wesentlichen Bewertungen und Einschätzungen. Das kann ein bestimmtes Verhalten oder Neigung sein, Auskunft darüber, wie zuverlässig die Person ist, und Ähnliches. Profiling dient dazu, um Personen einzuschätzen und richtig einzuschätzen. Diese Daten werden eingesetzt um Leute entsprechend einzusetzen, oder um ein Risiko abzuschätzen, das mit ihnen verbunden ist. Diese Daten ermöglichen es, eine Analyse der Person zu machen. 

Ein Beispiel wo das interssant ist, ist die Versicherungsbranche. Es ist für den Versicherer sicher gut zu wissen, dass er einen „Risiko-Kunden“ hat. 

Profiling wird in Zukunft nicht verboten sein, aber die automatisierte Auswertung und Handhabung von personenbezogenen Daten, die sich möglicherweise zum Nachteil des Betroffenen auswirken können, sind weitgehend untersagt, wenn der Betroffene nicht vorher zugestimmt hat. Also wenn man Profiling mit automatisiertem Auswerten betreiben will, braucht man dazu die Einwilligung.

Die Anforderungen, die an das Profiling von der Verordnung gestellt werden, sind im Art.22 DSGVO aufgeschrieben.

Hier findest Du die Referenz

Im Artikel 4/2 DSGVO steht der rechtliche Text, der die Verarbeitung definiert. Gleich am Anfang wird klar gestellt, dass sich die „Verarbeitung“ nicht nur auf automatisierte Verarbeitung alleine bezieht. 

Verbotsprinzip

Die Datenschutzgesetze und Verordnungen sind grundsätzlich „Verbotsgesetze“. Grundsätzlich ist die Verarbeitung von personenbezogenen Daten strikt verboten. Und wenn Du fragst, ob Du das darfst, ist die Antwort darauf immer: „Nein!“

Außer

Du erfüllst die Voraussetzungen für die Rechtmäßigkeit der Verarbeitung –  sogenannte „Erlaubnistatbestände“.