rel="nofollow" href="#ulink_ba63c9b4-61cf-566e-919a-8a737a1f6f7c">Art. 4 Nr. 2 und ist daher mit Rechtsunsicherheit behaftet.
53
In der Rechtssache C-40/17 (Fashion ID)[126] befasste sich der EuGH mit der Frage, ob der Betreiber einer Website, der in dieser Website ein Social-Plugin einbindet, das den Browser des Besuchers der Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, als für die Verarbeitung Verantwortlicher angesehen werden kann, obwohl dieser Betreiber keinen Einfluss auf die Verarbeitung der auf diese Weise an den Anbieter übermittelten Daten hat.[127] In diesem Zusammenhang führte der EuGH aus, dass die Verantwortlichkeit verschiedener Akteure im Rahmen eines Datenverarbeitungsvorgangs für verschiedene Phasen unterschiedlich zu beurteilen sei.[128] Die Verarbeitung personenbezogener Daten könne „aus einem oder mehreren Vorgängen bestehen, von denen jeder eine der verschiedenen Phasen betrifft, die eine Verarbeitung personenbezogener Daten umfassen kann“.[129] Die Verarbeitung personenbezogener Daten kann daraus resultierend auch als Verarbeitungskette bezeichnet werden.[130] Die Ansicht des EuGH verdeutlicht, dass der Begriff der Verarbeitung weit zu verstehen ist, um einen (voll-)umfänglichen Schutz der vom Datenverarbeitungsvorgang betroffenen Personen zu gewährleisten.
2. Inhalt
54
Im Gegensatz zur deutschen Datenschutztradition nach dem BDSG mit ihrem differenzierenden Begriffsverständnis geht die DS-GVO von einem umfassenden Verarbeitungsbegriff aus. So hat man in Deutschland in der Vergangenheit jeden einzelnen Verarbeitungsschritt vom Erheben bis zum Nutzen definiert und geregelt. Dies ist nun wegen des einheitlichen Verarbeitungsbegriffs nach der DS-GVO nicht mehr möglich. Damit entfällt auch die bisherige wörtliche Privilegierung der Auftragsverarbeitung, wie sie noch in BDSG a.F. enthalten war.[131]
55
Erfasst von der Definition der Verarbeitung nach Art. 4 Nr. 2 sind alle Arten des Umgangs mit personenbezogenen Daten von der Erhebung bis zur Vernichtung. Die DS-GVO differenziert nicht nach Intensität, Dauer oder der verwendeten Verarbeitungstechnik.[132] Dies macht insbesondere ErwG 15 deutlich, wonach der Schutz natürlicher Personen technologieneutral und nicht von den verwendeten Techniken abhängen soll. Lediglich unstrukturierte Akten oder Aktensammlungen sowie ihre Deckblätter sind laut ErwG 15 vom Anwendungsbereich der Verordnung ausgenommen.
56
Da der Begriff der Verarbeitung nicht nach der Dauer des Vorgangs differenziert fällt auch die nur kurzzeitige Verwendung weniger, scheinbar unbedeutender personenbezogener Daten grundsätzlich in den Anwendungsbereich der DS-GVO.[133] Beispielhaft kann hier die Zwischenspeicherung personenbezogener Daten im Cache eines Browsers genannt werden.[134]
57
Der Begriff der Verarbeitung der DS-GVO umfasst sowohl die automatisierte, als auch die nichtautomatisierte Verarbeitung personenbezogener Daten. Automatisiert ist eine Verarbeitung personenbezogener Daten durch eine Maschine, wenn sie ohne menschliche Einwirkung stattfindet.[135] So zum Beispiel, die kontinuierliche Videoüberwachung und Aufzeichnung der Aufnahmen auf einer Festplatte.[136] Ausweislich ErwG 15 S. 2 fällt auch eine nichtautomatisierte Verarbeitung, die manuell ohne jedes technische Hilfsmittel erfolgt, in den Anwendungsbereich der DS-GVO. Voraussetzung dafür ist zusätzlich, dass die personenbezogenen Daten in einem Dateisystem[137] gesichert werden oder gespeichert werden sollen.[138]
3. Praxishinweise
58
Aufgrund des weiten Verarbeitungsbegriffs ist es aus Sicht des Rechtsanwenders ratsam, bei jedem Umgang mit personenbezogenen Daten von einer Verarbeitung i.S.d. DS-GVO auszugehen.[139] Andernfalls drohen erhebliche Sanktionen nach Art. 82 ff. Die Verarbeitung bedarf immer einer Legitimierung. Zu beachten ist daneben, dass Auftragsverarbeitungen unter der DS-GVO nicht mehr privilegiert sind. Nach aktueller Rechtslage bedarf jede Auftragsverarbeitung einer gesetzlichen Erlaubnis. Bestehende Auftragsverarbeitungen sollten daher auf ihre Rechtmäßigkeit hin überprüft werden.
1. Allgemeines
59
Die Einschränkung der Verarbeitung nach Art. 4 Nr. 3 ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken. Die Verarbeitungseinschränkung ist ein zulässiges „Minus“ zum Löschen, wenn die personenbezogenen Daten für bestimmte Zwecke nach wie vor rechtmäßig verarbeitet werden dürfen.[140] Inhaltlich entspricht die Einschränkung der Verarbeitung dem bisher gebräuchlichen „Sperren“ von Daten.[141] Das Sperren war auch der DSRL nicht fremd. Zwar wurde der Begriff dort nicht definiert. Als eine Form der Verarbeitung personenbezogener Daten wurde das Sperren aber in Art. 2 lit. b ausdrücklich erwähnt. Im deutschen Datenschutzrecht definierte § 3 Abs. 4 Nr. 4 BDSG a.F. das Sperren als das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken. Diese Definition ist zwar nicht deckungsgleich mit der der DS-GVO. Sie ist aber bereits nah an der Definition der Einschränkung der Verarbeitung nach Art. 4 Nr. 3. Mit § 35 Abs. 1 und 2 BDSG n.F. hält auch der nationale Gesetzgeber an der Berechtigung des Verantwortlichen fest, anstelle einer Löschung eine Verarbeitungseinschränkung (früher: Sperrung) vorzunehmen.[142]
60
Eine Einschränkung der Verarbeitung kommt immer dann in Betracht, wenn personenbezogene Daten für ihren eigentlichen Zweck nicht mehr benötigt werden, es aber notwendig ist, sie temporär aufzubewahren. Dies kann beispielweise dann der Fall sein, wenn gesetzliche Aufbewahrungspflichten die Aufbewahrung auch nach Wegfall des Zwecks notwendig machen. Dabei gilt es zu beachten, dass die schlichte Archivierung von Datensätzen keine Einschränkung nach den Vorgaben der DS-GVO ist, denn sie erhält die Verfügungsbefugnis des Verantwortlichen und trennt die Datensätze lediglich vom operativen Geschäft.[143]
61
Die Einschränkung der Verarbeitung ist eine der in Art. 4 Nr. 2 ausdrücklich aufgezählten Verarbeitungsformen. Damit bedarf es zur Einschränkung der Verarbeitung, wie für alle Verarbeitungsvorgänge im Zusammenhang mit personenbezogenen Daten, einer Rechtsgrundlage, die die Norm nicht benennt. In der Regel dürfte die Einschränkung der Verarbeitung personenbezogener Daten bei Vorliegen der sonstigen Voraussetzungen von der ursprünglichen Rechtsgrundlage der Erhebung gedeckt oder als kompatible Weiterverarbeitung nach Art. 6 Abs. 4 einzuordnen sein.[144]
62
Das Recht des Betroffenen auf Einschränkung der Verarbeitung ist in Art. 18 normiert. Hier wird der Anspruch des Betroffenen auf Verarbeitungseinschränkung geregelt. Wie die Einschränkung der Verarbeitung tatsächlich zu erfolgen hat, regelt die DS-GVO nicht. Vielmehr regelt Art. 18 Abs. 2, dass im Falle der Einschränkung nur unter besonderen einzeln aufgeführten Bedingungen auf die Daten zugegriffen werden darf.[145]
