Verarbeitungsarten (Art. 4 Nr. 2, 4 und 5 DSGVO)

Stand: Juli 2024

Verarbeitung (processing)

Oberbegriff für sämtliche Verarbeitungsarten. Meint jeden mit oder ohne Hilfe automatisierter Verfahren (1) ausgeführten Vorgang oder jede solche Vorgangsreihe (2) im Zusammenhang mit personenbezogenen Daten (3) (eingehend zu den drei Bestandteilen Herbst Rn. 13 ff.). Der Begriff ist weit auszulegen (Reimer Rn. 43). Ein Verarbeitungswille (subjektives Element) muss nicht vorliegen, der Begriff ist also rein objektiv zu verstehen (Schild Rn. 29); andere Ansicht wohl Reimer Rn. 50, der darauf abstellt, dass die Verarbeitung willensgetragen sein muss. Verarbeitung kann ebenso nicht-technisch, nicht automatisiert, also manuell erfolgen (Herbst Rn. 16). Von der nicht-automatisierten Verarbeitung werden Dateisysteme (Art. 4 Nr. 6 DSGVO) erfasst, nicht dagegen unstrukturierte Akten, Aufzeichnungen, oder Notizen (Herbst Rn. 18 f., Schild Rn. 33).

Die aufgezählten Verarbeitungsarten sind nicht abschließend (z. B. werden die Anonymisierung und die Pseudonymisierung nicht extra genannt, obwohl letztere in Art. 4 Nr. 5 DSGVO als Verarbeitung definiert wird, Herbst Rn. 20, Reimer Rn. 54, Roßnagel Rn. 12) und überschneiden sich teilweise (Ernst Rn. 20, Roßnagel Rn. 14).

Erhebung (collection)

Beschaffung von Daten, die dem Verantwortlichen bisher unbekannt waren, entweder bei der betroffenen Person selbst oder bei einem Dritten (Arning/Rothkegel Rn. 70, Herbst Rn. 21; andere Ansicht Schild Rn. 35). Dies kann z. B. durch eine mündliche oder schriftliche Auskunft oder Erklärung oder durch nonverbales Verhalten wie Gestik oder Mimik geschehen, aber auch eine Inaugenscheinnahme ist denkbar (Schild Rn. 35). Es ist eine aktive Handlung des Verantwortlichen erforderlich (Herbst Rn. 21, Roßnagel Rn. 15). Die Methode ist irrelevant (Ernst Rn. 23, Schild Rn. 35). Die Erhebung muss für zumindest einen bestimmten Zweck erforderlich sein (Schild Rn. 37). Die tatsächliche Kenntnisnahme ist nicht erforderlich, es genügt die Möglichkeit der Kenntnisnahme (Herbst Rn. 21).

Erfassung (recording)

Fixierung, d. h. Verkörperung oder Aufnahme von bereits bekannten Daten auf einem Datenträger (Arning/Rothkegel Rn. 73). Z. B. die Aufnahme eines Fotos (Reimer Rn. 56). Die Anfertigung von (Sicherungs-)Kopien stellt ein erneutes Erfassen dar (Schild Rn. 42). Technische Formgebung erhobener Daten kann bei nicht automatisierten Vorgängen z. B. das Aufschreiben darstellen (Roßnagel Rn. 16). Die Erfassung ist wohl nicht immer klar vom Speichern zu unterscheiden (vgl. Reimer Rn. 56 f.).

Eine andere Definition vertritt Herbst, der das Erheben und das Erfassen nicht trennscharf unterscheidet, sondern unter dem Erheben die gezielte Beschaffung einzelner Daten versteht, während das Erfassen die kontinuierliche Aufzeichnung eines Datenstroms darstellen soll (Rn. 22).

Organisation (organisation)

Strukturierung von gespeicherten Daten. Dadurch wird das Auffinden oder die Auswertung der Daten vereinfacht oder verbessert (Herbst Rn. 23, Roßnagel Rn. 17). Die Qualität und Komplexität der Struktur sind irrelevant (Ernst Rn. 26).
Die Organisation von unstrukturierten Daten kann zum Vorliegen eines Dateisystems i. S. v. Art. 4 Nr. 6 DSGVO führen, sodass der Anwendungsbereich der DSGVO eröffnet wird (Herbst Rn. 23).

Ordnung (structuring)

Systematisierung der Daten nach bestimmten Gesichtspunkten, Überlegungen oder Vorstellungen, z. B. Alphabet, Chronologie (Unterbegriff des Organisierens, Arning/Rothkegel Rn. 75, Herbst Rn. 23, Reimer Rn. 59, Roßnagel Rn. 18).

Der englische Gesetzestext spricht hier von Strukturierung, was in der deutschen Literatur unter der Organisation gefasst wird.

Speicherung (storage)

Aufbewahrung der Daten in verkörperter Form auf einem Datenträger (auch in einer Cloud, Roßnagel Rn. 19) mit dem Ziel, die Daten später weiterzuverarbeiten oder auszulesen. Auch Notizblöcke, Karteikästen und eine Sammlung Aktenordner können Datenträger sein (Herbst Rn. 24). Die Aufbewahrung eines Datenträgers stellt ebenfalls eine Speicherung dar (Herbst Rn. 24). Strittig ist, ob die Aufbewahrung von Akten zur Lagerung (die Archivierung) ein Speichern darstellt (dafür Schild Rn. 42, dagegen HmbOVG Beschl. v. 15.10.2020 - 5 Bs 152/20, Rn. 24, auf den Umstand der bloßen Lagerung als Zustand ohne menschliche Aktivität abstellend). Auch die Aufbewahrung einer Gewebeprobe stellt ein Speichern dar (Ernst Rn. 25).

Anpassung (adaption)

Umgestaltung des Inhalts der in einem Datum enthaltenen Information in einer Art und Weise, dass dieser im Hinblick auf ein anderes personenbezogenes Datum hin adaptiert wird (Unterbegriff der Veränderung, Arning/Rothkegel Rn. 77, Herbst Rn. 26, Roßnagel Rn. 21). Z. B. wird die Anschrift oder das Einkommen an die realen Verhältnisse angepasst (Herbst Rn. 26) oder ein Datum wird periodisch angepasst (Ernst Rn. 27, Roßnagel Rn. 21).

Veränderung (alteration)

Umgestaltung des Informationsgehalts der Daten, z. B. in Form einer Korrektur (Arning/Rothkegel Rn. 78). Eine Reduktion ist nicht ausreichend (Arning/Rothkegel Rn. 78, Reimer Rn. 62, Schild Rn. 45), ebenso wenig das Umorganisieren oder Neuordnen (Herbst Rn. 25). Die Daten müssen einen neuen Informationswert erhalten (Schild Rn. 45). Bezeichnet nicht das Hinzufügen weiterer personenbezogener Daten, das eine Ergänzung darstellt (Schild Rn. 45).

Die Anonymisierung und Pseudonymisierung könnten als Unterfälle der Veränderung gefasst werden (so Gola Rn. 52; diskutierend aber im Ergebnis ablehnend Roßnagel Rn. 20; ebenfalls ablehnend Arning/Rothkegel Rn. 78, Schild Rn. 45).

Auslesung (retrieval)

Wiederherstellung gespeicherter Daten zum Zwecke der Verarbeitung oder der Kenntnisnahme. Hier wird ein vorhandener Datensatz genutzt (Ernst Rn. 28). Zugleich Zugänglichmachen der Wahrnehmbarkeit (so jedenfalls Roßnagel Rn. 22).

Abfragung (consultation)

Gezieltes Durchsuchen eines Datenträgers anhand bestimmter Kriterien. Der Unterschied zur Auslesung soll darin bestehen, dass eine externe Datenbank genutzt wird (Ernst Rn. 28, Schild Rn. 47; andere Ansicht Herbst Rn. 27; Reimer schlägt vor, danach zu unterscheiden, ob ein vorab über ein Indexmerkmal eindeutig bestimmter Dateneintrag herausgesucht wird (Auslesung) oder eine Menge zuvor unbestimmter Größe (Abfragung), Rn. 64). (Unterfall der Auslesung, Herbst Rn. 27, Roßnagel Rn. 23).

Verwendung (use)

Jeder Umgang mit personenbezogenen Daten (außer der Erhebung (Arning/Rothkegel Rn. 81, Roßnagel Rn. 24, der auch die Erfassung ausschließt; strittig, nicht explizit ausschließend Ernst Rn. 29, Herbst Rn. 28; Reimer schließt dagegen das Auslesen und das Abfragen aus, Rn. 67); auch die Anonymisierung (Arning/Rothkegel Rn. 82). (Auffangtatbestand, Arning/Rothkegel Rn. 81, Schild Rn. 48, andere Ansicht Reimer Rn. 67).

Offenlegung (disclosure)

Vorgang der Zugänglichmachung von Daten, sodass andere die Möglichkeit der Kenntnisnahme des Informationsgehalts erhalten. Ob der Adressat ein Empfänger i. S. d. Art. 4 Nr. 9 DSGVO sein muss oder ob er auch Dritter i. S. d. Art. 4 Nr. 10 DSGVO sein kann, ist strittig (vgl. Arning/Rothkegel Rn. 84, Herbst Rn. 29, Roßnagel Rn. 26, Schild Rn. 49).

Unterbegriffe der Offenlegung sind:

Abgleich (alignment)

Vergleich von Daten. Auch die Prüfung, ob diese in zwei verschiedenen Dateisystemen enthalten sind oder identisch sind oder welche Unterschiede sie aufweisen. Bsp. Rasterfahndung (Roßnagel Rn. 27, andere Ansicht Verknüpfung Reimer Rn. 73).

Verknüpfung (combination)

Zusammenführung von Daten, i. d. R. aus mehreren Dateisystemen. Z. B. Daten zum Kaufverhalten einer Person mit ihrem Einkommen (Herbst Rn. 34). Also insb. Erstellung von Persönlichkeitsprofilen. Auch die Verknüpfung von mehreren Personen über ein verbindendes Merkmal (Ernst Rn. 32).

Einschränkung (restriction)

Markierung gespeicherter Daten mit dem Ziel, deren künftige Verarbeitung einzuschränken, Art. 4 Nr. 3 DSGVO. Entspricht dem früher verwendeten Begriff der Sperrung von Daten (Ernst Rn. 33, Herbst Rn. 35). Methoden der Einschränkung sind z. B. das vorübergehende Übertragen von Daten auf ein anderes Verarbeitungssystem, das Sperren für Nutzer oder das vorübergehende Entfernen von einer Website (Erwägungsgrund 67 zur DSGVO).

Löschung (erasure)

Unkenntlichmachung von Daten. Es muss danach unmöglich sein den Informationsgehalt wahrzunehmen (Herbst Rn. 36). Die Wiederherstellung muss unmöglich sein. Datensicherungen und Archive müssen ebenfalls gelöscht werden. Verschlüsseln ist nicht ausreichend (Roßnagel Rn. 31), es sei denn der Schlüssel wird anschließend gelöscht (Reimer Rn. 75) und die Daten können nicht auf andere Weise wieder entschlüsselt werden (Roßnagel Rn. 31). Die in Standardsoftware enthaltene Löschungsfunktion genügt den gesetzlichen Anforderungen regelmäßig nicht. Gefordert ist ein mehrfaches (mindestens 7-maliges, Schild Rn. 54) Überschreiben. Bei analogen Dateien kann das Schwärzen eine Löschung darstellen (Schild Rn. 56, andere Ansicht Roßnagel, der das Löschen nur auf einem elektronischen Datenträger für möglich hält, Rn. 30).

Ob die Auslistung (delisting) und die Anonymisierung eine Löschung darstellen, ist strittig (dafür Arning/Rothkegel Rn. 100 ff.; Herbst Rn. 36; dagegen Roßnagel Rn. 32, Schild Rn. 45a).

Vernichtung (destruction)

Physische Zerstörung des Datenträgers, auf dem sich Daten befinden (Unterbegriff der Löschung, Arning/Rothkegel Rn. 105, Herbst Rn. 37, Reimer Rn. 76).

Anonymisierung (anonymisation)

Wird in der DSGVO selbst nicht definiert. Laut Erwägungsgrund 26 zur DSGVO liegt eine Anonymisierung vor, wenn die Identifizierbarkeit nicht mehr gegeben ist.

Wird in der Literatur zum Teil als eigener, unbenannter Verarbeitungspunkt gesehen, zum Teil unter „Veränderung“, „Verwendung“ oder „Löschung“ gefasst (ausführlich Arning/Rothkegel Rn. 47–54, 143, 154, 156; Ernst Rn. 48-51; Gola Rn. 51–54; Hansen Rn. 23–24; Herbst Rn. 37b; Klabunde/Horváth Rn. 20, 34–35; Klar/Kühling Rn. 31–34; Schild Rn. 15–15a, 45–45a, 68; Spindler/Dalby Rn. 14–16; Ziebarth Rn. 24–32, 95-98).

Pseudonymisierung (pseudonymisation)

Ist zwar nicht in der beispielhaften Aufzählung in Art. 4 Nr. 2 DSGVO enthalten, wird aber in Art. 4 Nr. 5 DSGVO ausdrücklich als Verarbeitung bezeichnet. Meint die Verarbeitung in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden (ausführlich Arning/Rothkegel Rn. 55, 124–156; Ernst Rn. 40–47; Gola Rn. 46–55; Hansen Rn. 1–57; Herbst Rn. 37a; Klabunde/Horváth Rn. 33–­35; Klar/Kühling Rn. 1–14; Schild Rn. 68–80; Spindler/Dalby Rn. 13–16; Ziebarth Rn. 90–106).

Profiling (profiling)

Ist zwar nicht in der beispielhaften Aufzählung in Art. 4 Nr. 2 DSGVO enthalten, wird aber in Art. 4 Nr. 4 DSGVO ausdrücklich als Verarbeitung bezeichnet. Meint jede Art der automatisierten Verarbeitung, die darin besteht, dass die personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insb. um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen (Unterfall der automatisierten Entscheidungsfindung, vgl. Art. 13 Abs. 2 lit. f, Art. 14 Abs. 2 lit. g, Art. 15 Abs. 1 lit. h, Art. 22 Abs. 1, Art. 35 Abs. 3 lit. a, Art. 47 Abs. 2 lit. e und Erwägungsgrund 71 zur DSGVO sowie Arning/Rothkegel Rn. 116 f.).

Ausführlich zum Profiling Arning/Rothkegel Rn. 114–123; Buchner Rn. 1–9a; Ernst Rn. 36–39; Gola Rn. 41–45; Klabunde/Horváth Rn. 29–32; Schild Rn. 64–67; Scholz Rn. 1–12; Spindler/Dalby Rn. 12; Ziebarth Rn. 84–89.

Verarbeitungszwecke Glossar

Quellen:

Ehmann, Eugen/Selmayr, Martin (Hrsg.), Datenschutz-Grundverordnung, 3. Auflage, München 2024.
zitiert:
Klabunde/Horváth, Art. 4 DS-GVO, Rn. 20, 29–35.

Gola, Peter/Heckmann, Dirk (Hrsg.), Datenschutz-Grundverordnung - Bundesdatenschutzgesetz, 3. Auflage, München 2022.
zitiert:
Gola, Art. 4 DS-GVO, Rn. 41–55.

Kühling, Jürgen/Buchner, Benedikt (Hrsg.), DS-GVO BDSG, 4. Auflage, München 2024.
zitiert:
Buchner, Art. 4 Nr. 4 DS-GVO, Rn. 1–9a.
Herbst, Art. 4 Nr. 2 DS-GVO, Rn. 11–37b.
Klar/Kühling, Art. 4 Nr. 1 Rn. 31–34; Art. 4 Nr. 5 DS-GVO, Rn. 1–14.

Paal, Boris P./Pauly, Daniel A. (Hrsg.), DS-GVO BDSG, 3. Auflage, München 2021.
zitiert:
Ernst, Art. 4 DS-GVO, Rn. 20–51.

Simitis, Spiros/Hornung, Gerrit/Spiecker gen. Döhmann, Indra (Hrsg.), Datenschutzrecht, 1. Auflage, Baden-Baden 2019.
zitiert:
Roßnagel, Art. 4 Nr. 2 DSGVO, Rn. 10–33.
Hansen, Art. 4 Nr. 5 DSGVO, Rn. 1–57.
Scholz, Art. 4 Nr. 4 DSGVO, Rn. 1–12.

Spindler, Gerald/Schuster, Fabian (Hrsg.), Recht der elektronischen Medien, 4. Auflage, München 2019.
zitiert:
Spindler/Dalby, Art. 4 Rn. 12–16.

Sydow, Gernot/Marsch, Nikolaus (Hrsg.), DS GVO | BDSG, 3. Auflage, Baden-Baden 2022.
zitiert:
Reimer, Art. 4 Nr. 2 DS GVO, Rn. 42–76.
Ziebarth, Art. 4 Nr. 1 DS GVO, Rn. 24–32; Art. 4 Nr. 4 DS GVO, Rn. 84–89; Art. 4 Nr. 5 DS GVO, Rn. 90–106.

Taeger, Jürgen/Gabel, Detlev (Hrsg.), DSGVO - BDSG - TTDSG, 4. Auflage, Frankfurt am Main 2022.
zitiert:
Arning/Rothkegel, Art. 4 DS-GVO Rn. 47–156.

Wolff, Amadeus/Brink, Stefan/v. Ungern-Sternberg, Antje (Hrsg.), BeckOK Datenschutzrecht, 48. Edition, München 2024.
zitiert:
Schild, Art. 4 DS-GVO Rn. 15, 29–80.