Rz. 19
Art. 4 Nr. 2 DSGVO fasst unter dem Begriff Verarbeitung jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten zusammen. Seit 25.5.2018 fallen somit alle Phasen des Umganges mit personenbezogenen Daten (Vorgang oder Vorgangsreihe) unter den Begriff Verarbeitung; also auch die bis dahin im deutschen Datenschutzrecht getrennt definierten Phasen (Vorgänge) der Erhebung und Nutzung (§ 67 Abs. 5 und 7 SGB X a. F.).
Rz. 20
Art. 2 Nr. 2 DSGVO zählt dann die wesentlichen Vorgänge des Umganges mit personenbezogenen Daten auf. Aus dem Wort "wie" im Gesetzestext ergibt sich, dass es sich nicht um eine abschließende Aufzählung handelt.
Konkret benannt werden "das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung".
2.2.2.1 Erheben
Rz. 21
Seit 25.5.2018 umfasst die Verarbeitung von personenbezogenen Daten nach Art. 4 Nr. 2 DSGVO auch das Erheben (Rz. 19).
Art. 4 Nr. 2 DSGVO selbst definiert den Begriff Erheben nicht. An die Definition des § 67 Abs. 5 SGB X a. F. anknüpfend, die Erheben als "das Beschaffen" von Daten definierte, und den allgemeinen Definitionen in der Forschung folgend, die die Datenerhebung z. B. als die systematische Beschaffung entscheidungsrelevanter Informationen bezeichnet, kann das Erheben zusammengefasst als das zielgerichtete Beschaffen, Aufnehmen und Sammeln von Daten bezeichnet werden.
Rz. 22
§ 67a SGB X sieht auch in der Fassung ab 25.5.2018 besondere Voraussetzungen für eine zulässige Erhebung von Sozialdaten vor. Die in § 67a Abs. 2 bis 5 SGB X a. F. darüber hinaus vorgesehenen Informationspflichten ergeben sich seit dem 25.5.2018 unmittelbar aus Art. 13 DSGVO bei Erhebung bei der betroffenen Person und aus Art. 14 DSGVO bei Erhebung bei anderen Stellen oder Personen.
2.2.2.2 Organisation, Ordnen
Rz. 23
Art. 4 Nr. 2 DSGVO benennt als Vorgänge der Verarbeitung auch die bisher im (Sozial-)Datenschutzrecht nicht definierten Begriffe der Organisation und des Ordnens von Daten, ohne beide Begriffe zu bestimmen.
Synonyme für Organisation in diesem Zusammenhang sind z. B. Aufbau, Organisierung, Architektur, Aufbau, Bau, Gebilde, Gefüge, Struktur, System, Komposition, Konstruktion, Formation oder Formierung,
Ordnen von Daten kann mit anders oder neu gruppieren bzw. sortieren beschrieben werden.
2.2.2.3 Erfassen, Speicherung
Rz. 24
Bis 24.5.2018 definierte § 67 Abs. 6 Satz 2 Nr. 1 SGB X a. F. den Begriff des Speicherns als "das Erfassen, Aufnehmen oder Aufbewahren von Sozialdaten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung". Die technische Beschaffenheit als "Datenträger" war irrelevant, mithin war beispielsweise auch Papier oder die Tonaufnahme mit umfasst.
Seit 25.5.2018 enthalten die Begriffsbestimmungen des Art. 4 Nr. 2 DSGVO die Begriffe Erfassen und Speicherung nebeneinander als Vorgänge der Verarbeitung, ohne diese selbst näher zu definieren.
Nach allgemeiner Bedeutung ist Datenerfassung ein Arbeitsvorgang, mit dem anfallende Daten in eine maschinenlesbare Form gebracht und auf Datenträgern gespeichert werden.
Der Begriff der Speicherung wird definiert als Aufbewahren oder Lagern in einem (elektronischen) Speicher zur späteren Verwendung.
2.2.2.4 Anpassung, Veränderung
Rz. 25
§ 67 Abs. 6 Satz 2 Nr. 2 SGB X a.F. definierte bis 24.5.2018 den Begriff Verändern als das "inhaltliche Umgestalten gespeicherter Sozialdaten".
Art. 4 Nr. 2 DSGVO zählt den Begriff Veränderung als Vorgang der Verarbeitung auf, ohne ihn näher zu bestimmen. Es kann daher auf die bisherige Definition des § 67 SGB X a. F. zurückgegriffen und Veränderung als das inhaltliche Umgestalten von (Sozial)daten bestimmt werden.
Der neue und ebenfalls in der DSGVO nicht definierte Begriff der Anpassung kann mit Angleichen oder auf etwas abstimmen definiert werden.
2.2.2.5 Auslesen und Abfragen
Rz. 26
Art. 4 Nr. 2 DSGVO zählt die Begriffe Auslesen und Abfragen als Vorgänge der Verarbeitung auf, ohne sie näher zu beschreiben. Beide Begriffe sind neu im deutschen Datenschutzrecht und daher noch nicht definiert.
Abfragen wird als Gewinnung von Daten aus einem Datenspeicher oder Feststellung von Informationen auf bestimmten Speicherplätzen definiert.
Auslesen bedeutet in der EDV, Daten abzurufen, die auf einem Datenträger (z. B. einem Chip, einer CD oder einer Festplatte) gespeichert sind.
Abrufen als Synonym von Auslesen ist ein Begriff, der zwar bislang im Sozialdatenschutz nicht definiert ist, aber im Zusammenhang mit automatisierten Abrufverfahren in § 79 verwendet wird. Auf die Ko...