Wann werden personenbezogen Daten eigentlich verarbeitet?
Die DSGVO spricht in Art. 4 DSGVO davon, dass als „Verarbeitung“ im Sinne des Datenschutzrecht folgendes bezeichnet wird:
„jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“
Wichtig ist hier, dass praktisch jede heute gängige Behandlung von personenbezogenen Daten unter die Verarbeitung fehlt. Das fängt also bereits beim Erheben der Daten, z.B. durch Eingeben und Übermitteln des Kunden über ein Website-Formular an, und hört erst bei der endgültigen Löschung auf.
Aber auch das Übertragen von Daten eines Kunden aus seiner E-Mail in eine Datenbank des Adressaten wäre solch eine Verarbeitung. Der Wortlaut („…mit oder ohne Hilfe automatisierter Verfahren…“) sagt es ganz klar: Eine automatische Verarbeitung ist gerade keine Voraussetzung.
Auch wenn beispielsweise ein Nutzer die Homepage eines Unternehmens aufruft, werden in der Regel bereits personenbezogene Daten verarbeitet. So speichert die Website (bzw. der Server mit der Website darauf) häufig zu Statistikzwecken, oder einfach um die Anfrage technisch beantworten zu können, die IP-Adresse des Besuchers. Bereits hier ist das Datenschutzrecht einschlägig, weshalb für jede Website eine Datenschutzerklärung zwingend erforderlich ist. Der Besucher soll wissen, wozu und zu welchem Zweck seine Daten verwendet werden. Die Datenschutzerklärung erfüllt genau diesen Zweck.
Dabei stellen Art. 5 bis 11 DSGVO Grundsätze der Verarbeitung auf. Konkretisiert wird dies durch den Art. 32 der DSGVO.