Datenschutz Verstehen – Was ist eine automatisierte Verarbeitung?
Kurze Einleitung:
Personenbezogene Daten werden fortdauernd verarbeitet. Im Rahmen der Digitalisierung handelt es sich dabei immer mehr um automatisierte Verarbeitungen. Datenschutzrechtliche Pflichten aus der Datenschutz-Grundverordnung (DSGVO) beziehen sich oft auf sog. “automatisierte Verarbeitungen”. Doch was genau ist eigentliche eine automatisierte Verarbeitung? Und welche Anforderungen werden an sie gestellt?
“Verarbeitung” Definition
Was eine Verarbeitung genau ist, wird in Art. 4 Nr. 2 DSGVO und in Art. 46 Nr. 2 BDSG-neu definiert. Daraus ist zu entnehmen, dass eine Verarbeitung ein ausgeführter Vorgang ist, der mit und ohne Hilfe automatischer Verfahren durchgeführt wird. Hierbei werden personenbezogenen Daten verarbeitet, d.h. erfasst, gespeichert, verändert, übermittelt, oder ausgelesen.
“Automatisierung” Definition
Automatisierung im Kontext des Datenschutzes, ist die Verarbeitung von personenbezogenen Daten mittels z.B. Computer, Tablets, Smartphones und Server. Nicht automatisierte Verarbeitungen, also schriftliche Aufzeichnungen, werden zu automatisierten Verarbeitungen, wenn diese in einem Dateisystem gespeichert werden. Der § 46 Nr. 4 BDSG-neu formuliert eine Legaldefinition für “Profiling”. Demnach ist Profiling jede automatisierte Verarbeitung, die personenbezogene Daten zum Zwecke der Verhaltensanalyse und für die Vorhersage von Verhalten verarbeitet. § 35 NDSG legt speziell für das Land Niedersachsen Anforderungen für die automatisierte Datenverarbeitung fest. Wenn personenbezogene Daten automatisiert verarbeitet werden und im Zuge dessen umfassend und systematisch bewertet und dadurch als Grundlage für eine Entscheidung dienen, muss nach Art. 35 Abs. 3 lit. a) eine Datenschutzfolgenabschätzung durchgeführt werden.
Allgemeine Grundsätze für die Datenverarbeitung von personenbezogenen Daten
Bei der Verarbeitung von Daten müssen die allgemeinen Grundsätze des Datenschutzes beachtet werden. Für die Verarbeitung von personenbezogenen Daten gibt es spezielle Grundsätze, die in Art. 5 Abs. 1 lit. a) DSGVO geregelt sind. So dürfen die Daten nur für einen angemessenen Zweck verarbeitet werden, Art. 5 Abs.1 lit. b), c) DSGVO. Außerdem müssen die Daten gemäß Art. 5 Abs. 1 lit. d) DSGVO sachlich korrekt und aktuell sein. Ebenso muss gemäß Art. 5 Abs. 1 lit. e) DSGVO die Dauer der Verarbeitung festgelegt werden. Zudem muss gemäß Art. 5 Abs. 1 lit. f) DSGVO ein angemessenes Sicherheitsniveau bestehen und die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO muss stets eingehalten werden.
Anforderungen an die Sicherheit der Datenverarbeitung bei automatisierter Verarbeitung
64 BDSG-neu legt Anforderungen an die Sicherheit von Datenverarbeitung fest. Gemäß § 64 Abs. 3 BDSG-neu ist eine Risikobewertung vorzunehmen. Hierbei müssen drohende Risiken identifiziert, die Eintrittswahrscheinlichkeit bestimmt und die Schwere des potenziellen Schadens abgewogen werden. Ist diese Bewertung erfolgt, müssen anschließend Maßnahmen getroffen werden, die ein angemessenes Sicherheitsniveau gewährleisten.
Maßnahmen zur sicheren Verarbeitung von Daten
Um die Verarbeitung von Daten sicherzustellen, müssen einige Vorkehrungen getroffen werden. So tragen die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) und das Festlegen von technische organisatorischen Mitteln (TOM) zur Sicherheit der Verarbeitung bei. Handelt es sich um eine kritische Verarbeitung von Daten oder werden besondere Arten von personenbezogenen Daten verarbeitet, ist die Durchführung einer Datenschutzfolgenabschätzung nötig. Außerdem sollten stets die Betroffenenrechte beachtet und die Informationspflichten eingehalten werden.
Schon während des Wirtschaftsrechts-Studiums entdeckte Frau Konstanze Krollpfeiffer ihr großes Interesse für den Datenschutz und arbeitete bereits als Werkstudentin bei der Keyed GmbH. Nach dem Abschluss des Studiums unterstützt sie das Team nunmehr als Junior Data Protection Consultant und betreut Kunden bei der Umsetzung datenschutzrechtlicher Vorgaben sowie bei der Etablierung datenschutzrechtlicher Standards. Durch ihre juristische sowie wirtschaftsrechtliche Ausbildung bringt Frau Krollpfeiffer dabei die notwendige Sachkenntnis mit.