I. Verarbeitung
Rz. 39
Anders als die bisherige Datenschutzgesetzgebung in einigen Mitgliedstaaten, die den Umgang mit Daten in der nationalstaatlichen Umsetzung der Datenschutzrichtlinie in verschiedene Formen eingeteilt und insoweit jedenfalls die Stadien der Erhebung, der Verarbeitung und – als Auffangtatbestand – der Nutzung unterschieden haben, greift der europäische Gesetzgeber in der DSGVO lediglich auf den Einheitsbegriff der "Verarbeitung" zurück (Art. 4 Nr. 2 DSGVO) und orientiert sich damit an den bereits in der Datenschutzrichtlinie enthaltenen Vorgaben. Der in Art. 4 Nr. 2 DSGVO benutzte Begriff der Verarbeitung stellt einen Oberbegriff für die verschiedenen "Nutzungsmöglichkeiten" personenbezogener Daten dar.
Rz. 40
Insoweit gleicht die Terminologie der DSGVO der unionsrechtlichen Vorgabe aus Art. 2 lit. b RiL 95/46/EG. Auch dort wird die Datenerhebung als erste Stufe der Datenverarbeitung definiert. Der unionsrechtliche Begriff der Datenverarbeitung wurde unter Geltung der RiL 95/46/EG weit verstanden und erfasste auch die in zahlreichen nationalen Umsetzungen der RiL 95/46/EG als eigenständig eingestufte Nutzung von Daten. Nach Art. 4 Nr. 2 DSGVO erfasst der Begriff der "Verarbeitung"
Zitat
"jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung."
Rz. 41
Auch wenn die Legaldefinition auf den ersten Blick wörtlich aus der RiL 95/46/EG übernommen scheint, zeigen sich bei näherem Hinsehen feine Unterschiede in der gewählten Terminologie, die nachfolgend entsprechend dargestellt werden:
Zitat
"… jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern Erfassen, die Organisation, das Ordnen, die Aufbewahrung Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung Verwendung, die Weitergabe Offenlegung durch Übermittlung, Verbreitung oder jede eine andere Form der Bereitstellung, die Kombination den Abgleich oder die Verknüpfung sowie, die Einschränkung, das Löschen oder Vernichten die Vernichtung; …"
Rz. 42
So sind die Verarbeitungsstadien des "Erfassens", des "Ordnens" und "des Abgleichs" neu in die DSGVO aufgenommen worden. Überraschend mag scheinen, dass die "Sperrung" auf den ersten Blick entfallen ist. Sie ist jedoch als "Einschränkung der Verarbeitung" in Art. 4 Nr. 3 DSGVO lediglich eigenständig definiert und wird in Art. 4 N. 5 DSGVO im Zusammenhang mit dem dort legal definierten Begriff der "Pseudonymisierung" weiter konkretisiert. Die etwas "sperrige" Formulierung der "Einschränkung der Verarbeitung" zeigt sich damit jedenfalls inhaltlich und vom Regelungsumfang her mit dem aus der RiL 95/46/EG bekannten Begriff des "Sperrens" als gleichbedeutend. Man wird sich insoweit an die neue Terminologie gewöhnen müssen; ob sie sich durchzusetzen vermag oder vielmehr weiterhin einfach vom "Sperren" gesprochen werden wird, bleibt abzuwarten.
Rz. 43
Auch, wenn die Aufzählung der Verarbeitungsstadien in Art. 4 Nr. 2 DSGVO nicht abschließend ist, sollen die dort explizit benannten Verarbeitungsvorgänge nachfolgend näher beleuchtet werden.