Verarbeitung (Art. 4 Nr. 2 DSGVO)
Der Verarbeitungsbegriff der DSGVO: jeder Umgang mit personenbezogenen Daten, automatisiert oder manuell, vom Erheben über Speichern und Offenlegen bis zur Löschung.
Art. 4 Nr. 2 DSGVO definiert die Verarbeitung als jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Der Begriff bildet den zentralen Anknüpfungspunkt der gesamten Verordnung: Erst wenn ein Vorgang als Verarbeitung einzuordnen ist, greifen die Pflichten und Schranken der DSGVO. Er ist denkbar weit gefasst und erfasst praktisch jeden Umgang mit den Daten.
Das Wichtigste in Kürze
- Der Verarbeitungsbegriff ist ein umfassender Auffangbegriff, der jeden Umgang mit personenbezogenen Daten erfasst, von der Beschaffung bis zur Vernichtung.
- Er ist rein objektiv: Absicht oder Kenntnis der verarbeitenden Stelle sind ohne Bedeutung.
- Erfasst sind sowohl automatisierte als auch manuelle Vorgänge; bei manuellen Vorgängen setzt die DSGVO voraus, dass die Daten in einem Dateisystem gespeichert sind oder werden sollen.
- Die Aufzählung der einzelnen Verarbeitungsformen (Erheben, Speichern, Offenlegen usw.) in Art. 4 Nr. 2 DSGVO ist nicht abschließend.
- Die Einordnung eines Vorgangs als Verarbeitung entscheidet über die Anwendbarkeit der gesamten DSGVO, einschließlich der Pflicht zur Rechtsgrundlage nach Art. 6 DSGVO.
1. Überblick
1.1 Legaldefinition und beispielhafte Aufzählung
Die Verordnung nennt eine Reihe von Vorgängen, die als Verarbeitung gelten: das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung sowie das Löschen oder die Vernichtung (Art. 4 Nr. 2 DSGVO). Diese Aufzählung ist nicht abschließend; sie beschreibt typische Erscheinungsformen, ohne den Begriff zu begrenzen. Jeder Umgang mit personenbezogenen Daten, der sich keiner der genannten Formen zuordnen lässt, fällt über den Auffangtatbestand der Verwendung ebenfalls unter die Verarbeitung.
1.2 Rein objektiver Charakter
Der Verarbeitungsbegriff ist rein objektiv. Er knüpft allein an den tatsächlichen Vorgang an und verlangt kein subjektives Element wie Absicht oder Kenntnis. Unerheblich ist auch, wer den Vorgang tatsächlich ausführt. Maßgeblich ist nur, dass ein Vorgang im Zusammenhang mit personenbezogenen Daten stattfindet.
Die DSGVO kennt einen einheitlichen Verarbeitungsbegriff für jeglichen Umgang mit personenbezogenen Daten. Die frühere Aufspaltung des Bundesdatenschutzgesetzes alter Fassung in „Erheben, Verarbeiten und Nutzen" sowie die Unterscheidung von „Erheben und Verwenden" im früheren TKG und TMG sind damit überholt. Seit dem TTDSG (in Kraft seit dem 1. Dezember 2021) gilt dieser einheitliche Begriff auch im Bereich der Telekommunikation und Telemedien.
1.3 Abgegrenzte und verwandte Begriffe
Die „Einschränkung der Verarbeitung" ist zwar in Art. 4 Nr. 2 DSGVO als eine Verarbeitungsform aufgeführt, zugleich aber als eigener Unterfall gesondert definiert (Art. 4 Nr. 3 DSGVO). Was darunter im Einzelnen zu verstehen ist, behandelt die Einschränkung der Verarbeitung.
Eine begriffliche Erweiterung enthält das geänderte Übereinkommen 108 des Europarats: Es erfasst ausdrücklich auch die Anwendung logischer oder arithmetischer Operationen auf personenbezogene Daten. Damit sind die für künstliche Intelligenz typischen Berechnungen, etwa die Bildung von Scorewerten, klar als Verarbeitung erfasst.
2. Automatisierte und nicht-automatisierte Verarbeitung
Die Verordnung unterscheidet danach, ob eine Verarbeitung mit oder ohne Hilfe automatisierter Verfahren erfolgt. Beide Formen sind Verarbeitung im Sinne der DSGVO; die Unterscheidung ist aber für den Anwendungsbereich bei manuellen Vorgängen bedeutsam.
2.1 Automatisierte Verfahren
Automatisiert ist jeder Umgang mit personenbezogenen Daten unter Einsatz von Datenverarbeitungssystemen, also von Hardware, Software und Übertragungsnetzen. Erfasst sind nicht nur klassische Rechner wie Server, Notebooks oder PCs, sondern auch Smartphones, Speichermedien und ebenso Geräte, deren Datenverarbeitung nicht im Vordergrund steht, etwa Videokameras, Kopierer und Multifunktionsgeräte, die Inhalte digital speichern.
Auf die konkrete Hard- oder Software kommt es nicht an. Auch handelsübliche Standardsoftware wie ein Textverarbeitungsprogramm genügt. Entscheidend ist allein, dass die Daten automatisiert auswertbar vorliegen; bereits diese Auswertbarkeit reicht für die Annahme einer automatisierten Verarbeitung aus.
2.2 Nicht-automatisierte (manuelle) Verarbeitung
Auch der manuelle Umgang mit personenbezogenen Daten kann eine Verarbeitung sein. Er ist jedoch nur erfasst, wenn die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 4 Nr. 6 DSGVO). Unstrukturierte Akten oder lose Notizen, die keiner strukturierten und nach bestimmten Kriterien zugänglichen Sammlung angehören, unterfallen der DSGVO bei rein manueller Bearbeitung daher nicht.
3. Die einzelnen Verarbeitungsformen
Die folgenden Formen konkretisieren den weiten Verarbeitungsbegriff. Sie verlaufen grob entlang des Lebenszyklus eines Datensatzes, von der Beschaffung über die Aufbewahrung und Nutzung bis zur endgültigen Beseitigung.
Die folgende Abbildung zeigt diesen Lebenszyklus als Zustandsfolge; die anschließende Tabelle listet jede Form mit einem Praxisbeispiel auf.
| Verarbeitungsform | Kurzbeschreibung | Praxisbeispiel |
|---|---|---|
| Erheben | Aktives Beschaffen von Daten, regelmäßig bei der betroffenen Person | Ausfüllen eines Online-Formulars mit Name und E-Mail-Adresse |
| Erfassen / Speichern | Aufnehmen und Aufbewahren auf einem Datenträger | Ablegen einer unterzeichneten Einwilligungserklärung in einer Akte |
| Organisation / Ordnen | Aufbau einer Struktur innerhalb der Daten | Alphabetische Sortierung einer Kundendatei |
| Anpassung / Veränderung | Inhaltliche Umgestaltung, die den Informationsgehalt ändert | Berichtigung einer unrichtigen Adresse (Art. 16 DSGVO) |
| Auslesen / Abfragen | Zugriff auf eigene oder externe Datenbestände | Abfrage eines Einwohnermelderegisters durch eine Behörde |
| Verwendung | Auffangtatbestand für jeden sonstigen Umgang | Nutzung gespeicherter Kundendaten für eine interne Auswertung |
| Offenlegung / Übermittlung | Bekanntgabe gegenüber Dritten oder Bereithalten zum Abruf | Übersendung von Bewerbungsunterlagen an eine externe Personalberatung |
| Abgleich / Verknüpfung | Zusammenführung von Daten aus verschiedenen Quellen | Verknüpfung von Kaufhistorie und Standortdaten zur Profilerstellung |
| Einschränkung | Markierung gespeicherter Daten für eingeschränkte weitere Verarbeitung | Sperrung eines Datensatzes auf Widerspruch der betroffenen Person |
| Löschen / Vernichten | Endgültige Beseitigung eines Datensatzes | Physische Aktenvernichtung nach Ablauf der Aufbewahrungsfrist |
3.1 Erheben
Erheben ist das Beschaffen von Daten, regelmäßig bei der betroffenen Person selbst. Es setzt ein aktives Tun der erhebenden Stelle voraus. Die Methode ist unerheblich: Befragung, Beobachtung, Bild- und Tonaufnahmen oder Messungen kommen gleichermaßen in Betracht. Gegenstand sind dabei stets personenbezogene Daten.
Werden Daten ohne Aufforderung geliefert, also der Stelle gewissermaßen aufgedrängt, liegt noch keine Erhebung vor. Datenschutzrechtlich relevant wird der Vorgang erst, wenn die Stelle die Daten weiterverarbeitet. Die Erhebung muss zudem für festgelegte, eindeutige und legitime Zwecke erforderlich sein (Art. 5 Abs. 1 lit. b DSGVO). Bereits die Videoüberwachung öffentlich zugänglicher Räume ist eine Erhebung, und zwar auch dann, wenn keine Aufzeichnung stattfindet.
An die Erhebung knüpfen die Informationspflichten an: Bei der Direkterhebung bei der betroffenen Person greift Art. 13 DSGVO, bei der Erhebung über Dritte Art. 14 DSGVO; eine nachträgliche Mitteilung kann nach Art. 19 DSGVO erforderlich werden. Unzulässig erhobene Daten dürfen nicht gespeichert werden und sind zu löschen.
3.2 Erfassen und Speichern
Erfassen und Speichern bezeichnen das Aufnehmen und Aufbewahren von Daten auf einem Datenträger. Beide Begriffe sind weit zu verstehen und umfassen auch optische und akustische Signale sowie Kopien. Bereits die bloße Aufbewahrung in Akten durch Lagerung und die Archivierung sind eine Verarbeitung. Eine subjektive Komponente ist nicht erforderlich; es genügt der tatsächliche Vorgang des Aufbewahrens.
3.3 Organisation und Ordnen
Organisation und Ordnen meinen den Aufbau einer Struktur innerhalb der Daten. Ob die Strukturierung einfach oder komplex ausfällt, ist ohne Bedeutung; auf die Qualität der Strukturierung kommt es nicht an. Auch eine schlichte Sortierung genügt.
3.4 Anpassung und Veränderung
Anpassung und Veränderung erfassen jede inhaltliche Umgestaltung, durch die der Informationsgehalt der Daten geändert oder ergänzt wird. Auch die Verknüpfung von Daten aus verschiedenen Quellen kann eine Veränderung sein, weil dadurch ein neuer Informations- und Aussagekontext entsteht. Keine Veränderung liegt hingegen vor, wenn die Daten nur äußerlich umgestaltet werden, etwa beim bloßen Wechsel des Trägers oder bei der Verwendung von Abkürzungen.
Die Berichtigung unrichtiger Daten (Art. 16 DSGVO) ist ein praktisch bedeutsamer Unterfall der Veränderung. Auch die Anonymisierung ist eine Veränderung; sie führt allerdings nicht zur Löschung, solange eine Re-Identifizierung mit verhältnismäßigem Aufwand möglich bleibt (Erwägungsgrund 26 DSGVO).
3.5 Auslesen und Abfragen
Auslesen und Abfragen unterscheiden sich nach dem Ort des Datenbestands: Beim Auslesen wird auf einen bereits vorhandenen eigenen Datensatz zugegriffen, beim Abfragen auf eine externe Datenbank. Beide Vorgänge sind zugleich eine Unterform des Erhebens, weil sich die Stelle dadurch Kenntnis von den Daten verschafft.
3.6 Verwendung
Die Verwendung ist ein unbestimmter Auffangtatbestand. Sie erfasst jede sonstige Form des Umgangs mit personenbezogenen Daten, die sich keiner der übrigen ausdrücklich benannten Verarbeitungsformen zuordnen lässt. Damit ist sichergestellt, dass kein praktisch relevanter Umgang aus dem Verarbeitungsbegriff herausfällt.
3.7 Offenlegung und Übermittlung
Die Offenlegung umfasst das Bekanntgeben von Daten gegenüber anderen. Das Bereithalten zum Abruf korrespondiert dabei mit dem Auslesen und Abfragen auf der Empfängerseite. Eine Übermittlung ist die Bekanntgabe an einen Dritten.
Davon abzugrenzen ist die Weitergabe innerhalb der verantwortlichen Stelle, an einen Auftragsverarbeiter oder an die betroffene Person selbst. Diese ist keine Übermittlung im technischen Sinne, sondern eine Nutzung in Form der Weitergabe; sie unterliegt gleichwohl der Zweckbindung und dem Erforderlichkeitsgrundsatz. Die Form der Bekanntgabe ist unerheblich: Schriftform, mündliche Auskunft, Fax, E-Mail, Übergabe eines Datenträgers oder Veröffentlichung kommen gleichermaßen in Betracht.
Selbst die mündliche Auskunft über Daten, die in einem Dateisystem oder automatisiert gespeichert sind, ist eine Verarbeitung. Der EuGH hat das für den Fall einer mündlichen Auskunft über strafrechtliche Verurteilungen klargestellt, die einem Unternehmen auf Anfrage erteilt werden sollte (EuGH, Urt. v. 07.03.2024, C-740/22, Endemol Shine Finland). Die Veröffentlichung personenbezogener Daten im Internet bedarf einer konkreten Rechtsgrundlage. Kein Abruf und keine Offenlegung der verantwortlichen Stelle liegt dagegen vor, wenn sich ein Dritter unbefugt Zugriff verschafft.
3.8 Abgleich und Verknüpfung
Beim Abgleich wird geprüft, ob Daten in mehreren Dateisystemen identisch sind oder ob dieselbe Person an mehreren Sachverhalten beteiligt ist. Die Verknüpfung geht darüber hinaus: Sie verbindet oder vervollständigt vorhandene Datensätze und schafft so neue Aussagezusammenhänge.
3.9 Löschen und Vernichten
Löschen und Vernichten beenden den Lebenszyklus eines Datensatzes. Der Anspruch auf Beseitigung nicht mehr erforderlicher Daten hat eine verfassungsrechtliche Wurzel im allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG).
3.9.1 Technische Anforderungen an die Löschung
Wirksames Löschen verlangt mehr als das Entfernen einer logischen Verknüpfung. Bei automatisierten Verfahren genügt das bloße Aufheben des Verweises auf den Datensatz nicht; auch ein einfaches Formatieren reicht regelmäßig nicht aus. Erforderlich ist ein tatsächliches Beseitigen, etwa durch mehrfaches Überschreiben. In nicht-automatisierten Akten erfolgt die Beseitigung durch Schwärzen oder durch physische Vernichtung des Trägers nach den einschlägigen technischen Standards (heute DIN 66399, früher DIN 32757-1 und DIN 33858).
Datensicherungen sind in das Löschen einzubeziehen. Eine zeitliche Verzögerung ist im Rahmen der Verhältnismäßigkeit hinzunehmen, regelmäßig jedoch nicht über einen Zeitraum von etwa zwei Monaten hinaus.
3.9.2 Löschzeitpunkt, Fristen und Routinen
Der Verantwortliche sollte Regelfristen festlegen und Löschroutinen einrichten, um die Beseitigung verlässlich umzusetzen. Der Löschzeitpunkt richtet sich nach der Erforderlichkeit. Vorrangig sind gesetzliche Aufbewahrungsfristen zu beachten, etwa nach §§ 146 ff. AO und § 257 HGB. Fehlt eine spezielle Frist, kann sich die Aufbewahrung an Verjährungs-, Gewährleistungs- oder Berufsordnungsfristen orientieren.
3.9.3 Privilegierung von Archivzwecken
Trotz einer bestehenden Löschpflicht bleibt eine Weiterverarbeitung zu Archivzwecken zulässig (Art. 17 Abs. 3 lit. d DSGVO), sofern die Garantien des Art. 89 DSGVO eingehalten werden. Hinzu treten archivrechtliche Sonderregelungen des Bundes und der Länder (Bundesarchivgesetz und Landesarchivgesetze) sowie § 28 BDSG.
3.9.4 Recht auf Vergessenwerden
Das Recht auf Löschung schließt das Recht auf Vergessenwerden ein (Art. 17 DSGVO). Ein Suchmaschinenbetreiber kann verpflichtet sein, Verweise aus seiner Ergebnisliste auszulisten (EuGH C-131/12, Google Spain). Die Pflicht zur Auslistung ist allerdings auf den räumlichen Anwendungsbereich der DSGVO und damit auf die Mitgliedstaaten beschränkt; eine weltweite Auslistung schuldet der Betreiber grundsätzlich nicht (EuGH, Urt. v. 24.09.2019, C-507/17, Google/CNIL). Für besonders sensible Daten und für Daten über strafrechtliche Verurteilungen gelten dabei verschärfte Anforderungen (EuGH C-136/17, GC u.a./CNIL).
4. Bezug zu den Verarbeitungsgrundsätzen
Jede Verarbeitung muss sich an den Grundsätzen des Art. 5 DSGVO messen lassen. Praktisch bedeutsam sind vor allem die Zweckbindung, die den Bezugspunkt jeder Verarbeitung festlegt, und die Speicherbegrenzung, die das Löschen zeitlich steuert.
Einschränkung der Verarbeitung
Art. 4 Nr. 3 DSGVO: Markierung gespeicherter Daten als gesondert definierter Unterfall.
Dateisystem
Art. 4 Nr. 6 DSGVO: Voraussetzung der manuellen Verarbeitung.
Empfänger
Art. 4 Nr. 9 DSGVO: Adressat einer Offenlegung.
Dritter
Art. 4 Nr. 10 DSGVO: maßgeblich für die Abgrenzung der Übermittlung.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Personenbezogene Daten (Art. 4 Nr. 1 DSGVO)
Personenbezogene Daten als Anwendungsschwelle des Datenschutzrechts: Bezug auf eine identifizierte oder identifizierbare natürliche Person, direkte und indirekte Identifizierbarkeit, Sach- und synthetische Daten, Abgrenzung zu anonymen Daten.
Einschränkung der Verarbeitung (Art. 4 Nr. 3 DSGVO)
Einschränkung der Verarbeitung bezeichnet die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung zu begrenzen. Sie entspricht der früheren Sperrung und bildet die technische Grundlage des Rechts aus Art. 18 DSGVO.