2. Allgemeine Definition der Verarbeitung
60
Art. 4 Nr. 2 DSGVO definiert die Verarbeitung als jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
61
Die „eigentliche“ Definition der Verarbeitung enthält also insgesamt drei Voraussetzungen:
1. Es muss ein Vorgang oder eine Vorgangsreihe ausgeführt werden.
2. Dies muss mit oder ohne Hilfe automatisierter Verfahren erfolgen.
3. Dies muss im Zusammenhang mit personenbezogenen Daten erfolgen.
Ein subjektiver Verarbeitungswille der verarbeitenden Stelle wird vom Wortlaut der Norm hingegen nicht vorausgesetzt.
a) Ausgeführte(r) Vorgang/Vorgangsreihe
62
Ein ausgeführter Vorgang bzw. eine ausgeführte Vorgangsreihe setzt eine Handlung voraus, die zur Folge hat, dass etwas mit den Daten geschieht bzw. ein Umgang mit ihnen erfolgt.147 In der Regel geht damit die Veränderung des Zustands der Daten einher, so z.B., dass Daten, die vorher nicht bei einer Stelle vorlagen, dort nun vorliegen oder Daten, die bisher nicht gespeichert waren, nunmehr gespeichert sind.148 Unerheblich ist es in diesem Zusammenhang, ob nur ein einzelner Vorgang stattfindet oder eine Reihe aufeinanderfolgender Vorgänge (z.B. zunächst eine Erhebung, danach eine Speicherung und danach eine Offenlegung).149 Dies hat der Verordnungsgeber in der Definition gem. Art. 4 Nr. 2 DSGVO dadurch klargestellt, dass eine Verarbeitung nicht nur durch einen Vorgang, sondern auch durch eine Vorgangsreihe erfolgen kann. Sofern ein Gebäudeeigentümer Akten in seinem Gebäude bloß lagert, ohne diese dort selbst eingelagert zu haben und er mit diesen Akten nicht weiter „umgeht“, er diese also z.B. nicht sichtet, umlagert oder sortiert, stellt dies nach Auffassung des OVG Hamburg keine Handlung und damit auch keinen Vorgang und im Ergebnis keine Datenverarbeitung dar.150
b) Mit oder ohne Hilfe automatisierter Verfahren
63
Die zweite Voraussetzung einer Verarbeitung i.S.d. Art. 4 Nr. 2 DSGVO besteht darin, dass der Vorgang bzw. die Vorgangsreihe mit oder ohne Hilfe automatisierter Verfahren erfolgt. Ein automatisierter Vorgang liegt vor, wenn er mit Hilfe von Datenverarbeitungsanlagen, wie z.B. Computern, Servern, Smartphones, Tablets oder auch Wearables erfolgt.151 Demgegenüber liegt ein nichtautomatisierter Vorgang vor, wenn er ohne die Hilfe von Datenverarbeitungsanlagen, also i.d.R. manuell erfolgt.152 Der Sinn und Zweck dieser Voraussetzung erschließt sich vor diesem Hintergrund nicht unmittelbar, da es mit anderen Worten unerheblich ist, ob die Daten mit Hilfe einer Datenverarbeitungsanlage verarbeitet werden oder nicht. Daher kann diese Voraussetzung nur eine klarstellende Funktion haben.153
64
Sofern der Vorgang automatisiert erfolgt, ist es nach hier vertretener Ansicht nicht zwingend erforderlich – wenngleich in der Praxis die Regel –, dass diese Handlung durch einen Menschen initiiert wurde.154 Für ein solches Erfordernis bietet der Wortlaut der Definition keinen Anhaltspunkt. Insbesondere folgt eine solche Anforderung nach hier vertretener Meinung nicht aus dem in Art. 4 Nr. 2 DSGVO verwendeten Begriff „ausführen“, da auch eine Maschine einen Vorgang ausführen kann.155 Auch die systematische Auslegung der DSGVO, insbesondere die Definition des Verantwortlichen in Art. 4 Nr. 7 DSGVO, erfordert es nach hier vertretener Ansicht nicht, dass ein Mensch den jeweiligen Vorgang initiiert. So ist es zwar zutreffend, dass ein Verantwortlicher (nur) derjenige ist, der über die Zwecke und Mittel der Datenverarbeitung entscheidet. Hieraus lässt sich jedoch nicht ableiten, dass ein Vorgang i.S.d. Art. 4 Nr. 2 DSGVO nicht autonom durch eine Maschine initiiert werden kann bzw. eine Verarbeitung i.S.d. Art. 4 Nr. 2 DSGVO nur dann vorliegt, wenn ein Mensch den jeweiligen Vorgang initiiert hat.156 So kann die Definition des Verantwortlichen nicht die Definition der Verarbeitung beschränken. Vielmehr muss auf Basis des feststehenden Sachverhalts (also des stattfindenden Vorgangs) untersucht werden, wer für die jeweilige Datenverarbeitung verantwortlich ist. Die Definition der Verarbeitung ist mit anderen Worten die Basis, die nicht durch die Definition des Verantwortlichen eingeschränkt werden kann.
65
Soweit der Vorgang nicht automatisiert erfolgt, ist aber darauf zu achten, dass der Anwendungsbereich der DSGVO bei der nichtautomatisierten Verarbeitung gem. Art. 2 Abs. 1 DSGVO nur dann eröffnet ist, wenn personenbezogene Daten verarbeitet werden, die in einem Dateisystem i.S.d. Art. 4 Nr. 6 DSGVO gespeichert sind oder gespeichert werden sollen (siehe hierzu ausführlich Art. 2 Rn. 10ff.).
c) Im Zusammenhang mit personenbezogenen Daten
66
Schließlich muss der (nicht) automatisierte Vorgang bzw. die (nicht) automatisierte Vorgangsreihe noch im Zusammenhang mit personenbezogenen Daten erfolgen. Dies ist der Fall, wenn die (nicht) automatisierte Handlung personenbezogene Daten i.S.d. Art. 4 Nr. 1 DSGVO (siehe hierzu ausführlich Rn. 2ff.) betrifft. Die englischsprachige Fassung von Art. 4 Nr. 2 DSGVO spricht insoweit auch präziser von „any operation or set of operations which is performed on personal data or on sets of personal data“.157
d) Verarbeitungswille
67
Das Vorliegen einer Verarbeitung ist objektiv zu bestimmen. Der subjektive Verarbeitungswille der verarbeitenden Stelle ist bei der Bestimmung, ob eine Verarbeitung i.S.d. Art. 4 Nr. 2 DSGVO vorliegt, daher grundsätzlich unbeachtlich (siehe auch oben Rn. 64).158 Allerdings kann der (fehlende) Verarbeitungswille unter Umständen bei der Bestimmung des „Verantwortlichen“ gem. Art. 4 Nr. 7 DSGVO eine Rolle spielen.
3. Beispiele für Verarbeitungsformen
68
Im Anschluss an diese „eigentliche“ Definition der Verarbeitung listet der Verordnungsgeber in Art. 4 Nr. 2 DSGVO insgesamt 16 Beispiele für Verarbeitungsformen auf. Diese Liste mit Verarbeitungsformen ist aber nicht abschließend, wie aus dem Wortlaut von Art. 4 Nr. 2 DSGVO eindeutig hervorgeht („wie das Erheben, das Erfassen, die...“). Somit können also auch andere in Art. 4 Nr. 2 DSGVO nicht ausdrücklich genannte Verarbeitungsformen eine Verarbeitung i.S.d. Art. 4 Nr. 2 DSGVO darstellen, sofern sie die Voraussetzungen der gerade erläuterten „eigentlichen“ Definition der Verarbeitung erfüllen.
69
Die in Art. 4 Nr. 2 DSGVO genannte Liste mit Beispielen beinhaltet 1. das Erheben, 2. das Erfassen, 3. die Organisation, 4. das Ordnen, 5. die Speicherung, 6. die Anpassung, 7. die Veränderung, 8. das Auslesen, 9. das Abfragen, 10. die Verwendung, 11. die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, 12. den Abgleich, 13. die Verknüpfung, 14. die Einschränkung, 15. das Löschen und 16. die Vernichtung.
a) Das Erheben personenbezogener Daten (1. Alt.)
70
Das Erheben personenbezogener Daten bezeichnet – in Anlehnung an § 3 Abs. 4 BDSG a.F. – das Beschaffen von Daten