Was bedeutet „umfangreiche Bearbeitung“?

In der DS-GVO ist nicht definiert, was unter „umfangreicher Verarbeitung“ zu verstehen ist. Die WP29 empfiehlt, bei der Klärung der Frage, ob sich von einer umfangreichen Verarbeitung sprechen lässt, die folgenden Faktoren zu berücksichtigen:

  • die Zahl der betroffenen Personen – entweder als bestimmte Zahl oder als Anteil an der maßgeblichen Bevölkerung
  • das Datenvolumen und/oder das Spektrum an in Bearbeitung befindlichen Daten
  • die Dauer oder Permanenz der Datenverarbeitungstätigkeit
  • die geografische Ausdehnung der Verarbeitungstätigkeit

Beispiele für eine umfangreiche Verarbeitung stellen dar:

  • die Verarbeitung von Patientendaten im gewöhnlichen Geschäftsbetrieb eines Krankenhauses
  • die Verarbeitung von Reisedaten natürlicher Personen, die ein Verkehrsmittel des kommunalen ÖPNV nutzen (z. B. Nachverfolgung über Netzkarten)
  • die Verarbeitung von Geolokalisierungsdaten von Kunden einer internationalen Fast-Food-Kette in Echtzeit zu statistischen Zwecken durch einen auf Dienstleistungen dieser Art spezialisierten Auftragsverarbeiter
  • die Verarbeitung von Kundendaten im gewöhnlichen Geschäftsbetrieb eines Versicherungsunternehmens oder einer Bank
  • die Verarbeitung personenbezogener Daten durch eine Suchmaschine zu Zwecken der verhaltensbasierten Werbung
  • die Verarbeitung von Daten (Inhalte, Datenverkehrsaufkommen, Standort) durch Telefon- oder Internetdienstleister

Keine umfangreiche Verarbeitung stellen die folgenden Beispiele dar:

  • die Verarbeitung von Patientendaten durch einen einzelnen Arzt

die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten durch einen einzelnen Rechtsanwalt