Eine Definition für die „Verarbeitung“ von Daten findet sich in Art. 4 Nr. 2 DSGVO: Verarbeitung ist jeder, mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Dazu gehört das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten. Wenn diese Vorgänge mittels automatisierter Verfahren stattfinden spricht man von „automatisierter Verarbeitung“.

Unternehmen, die sich also unmittelbar oder mittelbar mit der Verarbeitung von Daten befassen, fallen unter die allgemeinen Grundsätze des Datenschutzes:

Die Verarbeitung von personenbezogenen Daten muss rechtmäßig, nach Treu und Glauben und für die betroffene Person nachvollziehbar, d.h. transparent, erfolgen (Art. 5 Abs. 1 lit. a DSGVO)

Es sind nur die Daten zu erheben und zu verarbeiten, die für den Vorgang der Verarbeitung erforderlich und für den Zweck angemessen und notwendig sind (Art. 5 Abs. 1 lit. b, c DSGVO).

Personenbezogene Daten müssen sachlich richtig und auf dem neusten Stand sein. Zudem müssen alle angemessenen Maßnahmen getroffen sein, um bei Unrichtigkeit (im Hinblick auf den Zweck ihrer Verarbeitung) eine Löschung oder eine Berichtigung veranlassen zu können (Art. 5 Abs. 1 lit. d DSGVO).

Zudem sind die Daten nur solange zu speichern, wie es für den Zweck der Verarbeitung erforderlich ist (Art. 5 Abs. 1 lit. e DSGVO).

Die Daten müssen in einer Weise, die angemessene Sicherheit gewährleistet, verarbeitet werden und durch geeignete technische und organisatorische Maßnahmen vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung geschützt sein (Art. 5 Abs. 1 lit. f DSGVO).

Zudem finden sich spezielle Grundsätze zur Datenverarbeitung auch im Telemediengesetz (TMG):

Der Unternehmer hat für den größtmöglichen Schutz der Daten besonders im Hinblick auf Zugriff von Dritten zu sorgen (§ 13 Abs. 4 Nr. 3 TMG).

Der Betroffene hat gegen den Unternehmer Anspruch auf Auskunft über die gespeicherten Daten (§ 13 Abs. 8 TMG).