Welche Arbeitspakete sind zur Erstellung eines Verarbeitungsverzeichnisses erforderlich?

Ein Verzeichnis aller Verarbeitungstätigkeiten nach Art. 30 DSGVO (Datenschutz-Grundverordnung) ist ein zentrales Dokumentationsinstrument für Unternehmen und Organisationen, die personenbezogene Daten verarbeiten. Es dient dazu, die Einhaltung der Datenschutzvorschriften nachzuweisen und den Aufsichtsbehörden einen Überblick über die Datenverarbeitungsprozesse zu geben. Nach Art. 30 Abs. 1 DSGVO muss das Verzeichnis folgende Angaben enthalten: 1. **Name und Kontaktdaten** des Verantwortlichen (und ggf. seines Vertreters) sowie des Datenschutzbeauftragten. 2. **Zwecke der Verarbeitung** – also, warum die Daten verarbeitet werden. 3. **Beschreibung der Kategorien betroffener Personen** (z. B. Kunden, Mitarbeiter) und der **Kategorien personenbezogener Daten** (z. B. Name, Adresse, Kontodaten). 4. **Kategorien von Empfängern**, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen. 5. **Übermittlungen von personenbezogenen Daten an ein Drittland** oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands bzw. der internationalen Organisation und der Dokumentierung geeigneter Garantien. 6. **Vorgesehene Fristen für die Löschung** der verschiedenen Datenkategorien, soweit möglich. 7. **Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen** nach Art. 32 DSGVO (z. B. Verschlüsselung, Zugangskontrollen). Für Auftragsverarbeiter (Dienstleister, die im Auftrag Daten verarbeiten) sind die Anforderungen in Art. 30 Abs. 2 DSGVO geregelt. Das Verzeichnis muss dann insbesondere folgende Angaben enthalten: - Name und Kontaktdaten des Auftragsverarbeiters und ggf. jedes Verantwortlichen, in dessen Auftrag er tätig ist. - Die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden. - Übermittlungen von Daten an Drittländer oder internationale Organisationen. - Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen. Das Verzeichnis muss schriftlich geführt werden, auch in elektronischer Form ist zulässig, und ist der Aufsichtsbehörde auf Anfrage vorzulegen. Weitere Informationen findest du direkt im Gesetzestext: [Art. 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679#d1e2207-1-1)

Eine Verarbeitungstätigkeit nach DSGVO bezeichnet jeden Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, unabhängig davon, ob sie mit oder ohne Hilfe automatisierter Verfahren ausgeführt wird. Dazu zählen insbesondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten. Die DSGVO (Datenschutz-Grundverordnung) definiert den Begriff „Verarbeitung“ in Art. 4 Nr. 2 DSGVO. Eine Verarbeitungstätigkeit ist also jede Aktivität, bei der personenbezogene Daten genutzt werden – zum Beispiel das Führen einer Kundenliste, das Versenden von Newslettern oder die Speicherung von Mitarbeiterdaten. Unternehmen und Organisationen sind verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO), um Transparenz und Nachvollziehbarkeit im Umgang mit personenbezogenen Daten zu gewährleisten.

Hier sind einige einfache Ja/Nein-Fragen zum DSGVO-Datenlebenszyklus: 1. Werden personenbezogene Daten erhoben? 2. Werden die betroffenen Personen über die Datenerhebung informiert? 3. Gibt es eine Einwilligung zur Datenverarbeitung? 4. Werden die Daten sicher gespeichert? 5. Werden die Daten regelmäßig aktualisiert? 6. Haben die betroffenen Personen Zugriff auf ihre Daten? 7. Können die Daten auf Anfrage gelöscht werden? 8. Werden die Daten an Dritte weitergegeben? 9. Gibt es eine Dokumentation der Datenverarbeitung? 10. Werden die Daten nach Ablauf der Aufbewahrungsfrist gelöscht?

Miro hat Maßnahmen ergriffen, um die Anforderungen der Europäischen Datenschutzgrundverordnung (DSGVO) zu erfüllen. Dazu gehören: 1. **Datenverarbeitung**: Miro informiert die Nutzer darüber, wie ihre Daten verarbeitet werden, und stellt sicher, dass die Verarbeitung auf einer rechtlichen Grundlage beruht, wie z.B. Einwilligung oder berechtigtem Interesse. 2. **Transparenz**: Miro bietet eine klare Datenschutzerklärung, die erklärt, welche Daten gesammelt werden, zu welchem Zweck und wie lange sie gespeichert werden. 3. **Nutzerrechte**: Miro ermöglicht es Nutzern, ihre Rechte gemäß der DSGVO auszuüben, einschließlich des Rechts auf Auskunft, Berichtigung, Löschung und Widerspruch gegen die Verarbeitung ihrer Daten. 4. **Datensicherheit**: Miro implementiert technische und organisatorische Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten und sie vor unbefugtem Zugriff zu schützen. 5. **Datenübertragbarkeit**: Miro ermöglicht es Nutzern, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. 6. **Auftragsverarbeitung**: Wenn Miro Drittanbieter zur Verarbeitung von Daten einsetzt, stellt das Unternehmen sicher, dass diese ebenfalls die DSGVO einhalten und entsprechende Verträge zur Auftragsverarbeitung abgeschlossen werden. Für detaillierte Informationen zu den Datenschutzpraktiken von Miro ist es ratsam, die offizielle Datenschutzerklärung auf der Miro-Website zu konsultieren.

Ein Kooperationsverfahren im Sinne der Datenschutz-Grundverordnung (DSGVO) bezieht sich auf die Zusammenarbeit zwischen verschiedenen Datenschutzbehörden der EU, insbesondere wenn es um grenzüberschreitende Datenverarbeitungen geht. Dieses Verfahren wird in Artikel 60 der DSGVO beschrieben und dient dazu, eine einheitliche Anwendung der Datenschutzvorschriften in der gesamten EU zu gewährleisten. Wenn ein Unternehmen in mehreren EU-Mitgliedstaaten tätig ist und dort personenbezogene Daten verarbeitet, ist die zuständige Aufsichtsbehörde in dem Land, in dem das Unternehmen seinen Hauptsitz hat, für die Überwachung der Datenverarbeitung verantwortlich. Bei grenzüberschreitenden Fällen müssen die beteiligten Aufsichtsbehörden zusammenarbeiten, um sicherzustellen, dass die Rechte der betroffenen Personen gewahrt bleiben und die Vorschriften der DSGVO eingehalten werden. Das Kooperationsverfahren umfasst unter anderem den Austausch von Informationen, die Konsultation zwischen den Behörden und die Möglichkeit, gemeinsame Entscheidungen zu treffen. Ziel ist es, eine kohärente und konsistente Anwendung des Datenschutzrechts in der gesamten EU zu fördern.

In Deutschland ist die zuständige Aufsichtsbehörde für Datenschutzfragen in der Regel die Landesdatenschutzbehörde des jeweiligen Bundeslandes. Für spezifische Anliegen oder Beschwerden zur Datenschutz-Grundverordnung (DSGVO) kannst du dich an die Datenschutzbehörde deines Wohnsitzlandes wenden. Eine Übersicht der Datenschutzbehörden in Deutschland findest du auf der Website der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder.

Ein gemeinsamer Verantwortlicher im Sinne der DSGVO (Datenschutz-Grundverordnung) liegt vor, wenn zwei oder mehr Parteien gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen (Art. 26 DSGVO). Das bedeutet, sie entscheiden zusammen, warum und wie die Daten verarbeitet werden. Typische Beispiele sind Kooperationen zwischen Unternehmen, gemeinsame Projekte oder Plattformen, bei denen beide Seiten Einfluss auf die Datenverarbeitung haben. Die gemeinsamen Verantwortlichen müssen in einer Vereinbarung festlegen, wer welche datenschutzrechtlichen Pflichten übernimmt (z. B. Information der Betroffenen, Beantwortung von Auskunftsanfragen). Die wesentlichen Inhalte dieser Vereinbarung müssen den betroffenen Personen zugänglich gemacht werden. Weitere Informationen findest du direkt im Gesetzestext: [Art. 26 DSGVO – Gemeinsame Verantwortliche](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679#d1e2207-1-1)

Die Durchführung und die Bereitstellung von Verarbeitungstätigkeiten sind aus datenschutzrechtlicher Sicht unterschiedliche Rollen. **Durchführung von Verarbeitungstätigkeiten** bedeutet, dass eine Partei (z. B. ein Unternehmen oder ein Dienstleister) tatsächlich personenbezogene Daten verarbeitet – also erhebt, speichert, verändert, übermittelt oder löscht. Wer die Verarbeitung durchführt, ist entweder **Verantwortlicher** oder **Auftragsverarbeiter** im Sinne der Datenschutz-Grundverordnung (DSGVO). **Bereitstellung von Verarbeitungstätigkeiten** ist kein fest definierter Begriff in der DSGVO, wird aber oft so verstanden, dass eine Partei die Infrastruktur, Software oder Plattform zur Verfügung stellt, mit der andere dann personenbezogene Daten verarbeiten können. Wer lediglich die technische Möglichkeit zur Verarbeitung bereitstellt, ohne selbst über die Zwecke und Mittel der Verarbeitung zu entscheiden, ist in der Regel **Auftragsverarbeiter**. **Fazit:** - Wer die Verarbeitung **durchführt** und über Zwecke und Mittel entscheidet, ist **Verantwortlicher**. - Wer die Verarbeitung **durchführt**, aber im Auftrag und nach Weisung eines anderen, ist **Auftragsverarbeiter**. - Wer nur die technische **Bereitstellung** ermöglicht, ist meist **Auftragsverarbeiter**, kann aber im Einzelfall auch Verantwortlicher sein, wenn er eigene Zwecke verfolgt. Die Rollen sind also unterschiedlich und hängen davon ab, wer über die Zwecke und Mittel der Verarbeitung entscheidet und wie die tatsächliche Tätigkeit ausgestaltet ist. Weitere Informationen findest du direkt bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder im [Text der DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

Ja, das ist grundsätzlich möglich. Die Datenschutz-Grundverordnung (DSGVO) gilt für Unternehmen in der EU unabhängig davon, wo die betroffene Person lebt oder ihren gewöhnlichen Aufenthalt hat. Das bedeutet: Jeder, dessen personenbezogene Daten von einem Unternehmen mit Sitz in der EU verarbeitet werden, kann sich auf die Rechte der DSGVO berufen – also auch Personen aus den USA. Relevant ist dabei, dass das Unternehmen tatsächlich personenbezogene Daten der betroffenen Person verarbeitet und seinen Sitz in der EU hat oder die Verarbeitung im Zusammenhang mit der Tätigkeit einer Niederlassung in der EU steht. In diesem Fall hat die betroffene Person das Recht auf Auskunft nach Art. 15 DSGVO, unabhängig von ihrer Staatsangehörigkeit oder ihrem Wohnsitz. Weitere Informationen zur DSGVO findest du z.B. auf der offiziellen Seite der Europäischen Kommission: https://commission.europa.eu/law/law-topic/data-protection_de

In einem Unternehmen ist in der Regel der Verantwortliche für den Datenschutz, also der Datenschutzbeauftragte (DSB), für die Festlegung und Überwachung von Löschfristen zuständig. Die eigentliche Verantwortung liegt jedoch bei der Geschäftsführung bzw. der verantwortlichen Stelle gemäß Datenschutz-Grundverordnung (DSGVO). Sie muss sicherstellen, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist, und entsprechende Löschkonzepte implementieren. Der Datenschutzbeauftragte berät und unterstützt dabei, die gesetzlichen und betrieblichen Anforderungen umzusetzen, aber die letztendliche Verantwortung trägt die Unternehmensleitung. Oft arbeiten Datenschutzbeauftragte, IT-Abteilung, Fachabteilungen und ggf. die Rechtsabteilung gemeinsam an der Festlegung und Umsetzung von Löschfristen.