Was sollte eine Dokumentation der Verarbeitungstätigkeiten nach DSGVO enthalten?

Artikel 9 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) befasst sich mit der Verarbeitung besonderer Kategorien personenbezogener Daten. Diese besonderen Kategorien umfassen Daten, die sensible Informationen enthalten, wie beispielsweise: - Rasse oder ethnische Herkunft - Politische Meinungen - Religiöse oder philosophische Überzeugungen - Gewerkschaftszugehörigkeit - Gesundheit - Sexualleben oder sexuelle Orientierung Der Artikel legt fest, dass die Verarbeitung dieser Daten grundsätzlich verboten ist, es sei denn, es liegt eine der in den folgenden Absätzen genannten Ausnahmen vor. Diese Ausnahmen können beispielsweise die ausdrückliche Einwilligung der betroffenen Person, die Erfüllung von rechtlichen Verpflichtungen oder die Wahrung lebenswichtiger Interessen umfassen. Zusammengefasst bedeutet dies, dass besondere Kategorien personenbezogener Daten einen höheren Schutz genießen und ihre Verarbeitung strengen Bedingungen unterliegt.

Die Grundsätze für die Verarbeitung personenbezogener Daten gemäß Artikel 5 der Datenschutz-Grundverordnung (DSGVO) sind: 1. **Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz**: Die Verarbeitung muss rechtmäßig sein und die betroffenen Personen müssen über die Verarbeitung informiert werden. 2. **Zweckbindung**: Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden. 3. **Datenminimierung**: Es dürfen nur die Daten verarbeitet werden, die für die Zwecke der Verarbeitung notwendig sind. 4. **Richtigkeit**: Die personenbezogenen Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Es sind angemessene Maßnahmen zu treffen, um sicherzustellen, dass unrichtige Daten unverzüglich gelöscht oder berichtigt werden. 5. **Speicherbegrenzung**: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. 6. **Integrität und Vertraulichkeit**: Die Verarbeitung muss so erfolgen, dass die Sicherheit der personenbezogenen Daten gewährleistet ist, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor Verlust, Zerstörung oder Schädigung. 7. **Rechenschaftspflicht**: Der Verantwortliche ist dafür verantwortlich, dass die Grundsätze eingehalten werden, und muss dies auch nachweisen können. **Beispiel aus der Praxis**: Angenommen, ein Unternehmen erhebt personenbezogene Daten von Kunden zur Durchführung von Bestellungen. - **Rechtmäßigkeit**: Das Unternehmen informiert die Kunden über die Datenerhebung und holt deren Einwilligung ein. - **Zweckbindung**: Die Daten werden ausschließlich zur Bearbeitung der Bestellungen verwendet und nicht für Marketingzwecke, es sei denn, die Kunden haben dem zugestimmt. - **Datenminimierung**: Nur die für die Bestellung notwendigen Daten (z.B. Name, Adresse, Zahlungsinformationen) werden erhoben. - **Richtigkeit**: Das Unternehmen ermöglicht es den Kunden, ihre Daten jederzeit zu überprüfen und zu aktualisieren. - **Speicherbegrenzung**: Die Daten werden nach Abschluss der Bestellung und Ablauf der gesetzlichen Aufbewahrungsfristen gelöscht. - **Integrität und Vertraulichkeit**: Das Unternehmen implementiert Sicherheitsmaßnahmen, um die Daten vor unbefugtem Zugriff zu schützen. - **Rechenschaftspflicht**: Das Unternehmen dokumentiert alle Prozesse und Maßnahmen zur Einhaltung der DSGVO, um im Falle einer Überprüfung nachweisen zu können, dass es die Grundsätze beachtet hat.

Laut der Datenschutz-Grundverordnung (DSGVO) sind mehrere Verfahren und Maßnahmen notwendig, wenn personenbezogene Daten verarbeitet werden. Dazu gehören: 1. **Rechtsgrundlage**: Es muss eine gültige Rechtsgrundlage für die Verarbeitung vorliegen, wie Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe oder berechtigtes Interesse. 2. **Transparenz**: Betroffene Personen müssen über die Verarbeitung ihrer Daten informiert werden, einschließlich der Zwecke der Verarbeitung, der Rechtsgrundlage, der Speicherdauer und der Rechte der Betroffenen. 3. **Datenschutz-Folgenabschätzung (DSFA)**: Bei bestimmten Arten von Datenverarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen, ist eine DSFA erforderlich. 4. **Technische und organisatorische Maßnahmen**: Es müssen geeignete Maßnahmen ergriffen werden, um die Sicherheit der Daten zu gewährleisten, wie z.B. Verschlüsselung, Zugriffskontrollen und regelmäßige Sicherheitsüberprüfungen. 5. **Dokumentation**: Die Verarbeitungstätigkeiten müssen dokumentiert werden, um die Einhaltung der DSGVO nachweisen zu können. 6. **Rechte der Betroffenen**: Die Rechte der betroffenen Personen, wie das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch, müssen gewährleistet und respektiert werden. 7. **Meldung von Datenschutzverletzungen**: Im Falle einer Datenschutzverletzung muss diese innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden, sofern ein Risiko für die Rechte und Freiheiten der Betroffenen besteht. Diese Verfahren sind entscheidend, um den Anforderungen der DSGVO gerecht zu werden und den Schutz personenbezogener Daten sicherzustellen.

Eine Stelle gilt als Auftragsverarbeiter gemäß der Datenschutz-Grundverordnung (DSGVO), wenn sie personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Die wichtigsten Merkmale sind: 1. **Verarbeitung im Auftrag**: Der Auftragsverarbeiter handelt nur auf Weisung des Verantwortlichen und nicht in eigenem Interesse. 2. **Verarbeitung personenbezogener Daten**: Die Stelle muss Daten verarbeiten, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen. 3. **Vertragliche Regelung**: Es muss ein schriftlicher Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter bestehen, der die Bedingungen der Datenverarbeitung festlegt. Auftragsverarbeiter können Unternehmen oder Einzelpersonen sein, die Dienstleistungen anbieten, die eine Datenverarbeitung erfordern, wie z.B. Cloud-Dienste, IT-Dienstleister oder Marketingagenturen.

Im Sinne der Datenschutz-Grundverordnung (DSGVO) bezieht sich der Begriff "Verarbeitung" auf jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Dies umfasst eine Vielzahl von Tätigkeiten, darunter das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder eine andere Form der Bereitstellung, Abgleichen oder Verknüpfen, Einschränken, Löschen oder Vernichten von Daten. Die vollständige Definition findest du in Artikel 4 Absatz 2 der DSGVO. Hier ist der Link zur DSGVO für weitere Details: [DSGVO Text](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

Hier sind einige einfache Ja/Nein-Fragen zum DSGVO-Datenlebenszyklus: 1. Werden personenbezogene Daten erhoben? 2. Werden die betroffenen Personen über die Datenerhebung informiert? 3. Gibt es eine Einwilligung zur Datenverarbeitung? 4. Werden die Daten sicher gespeichert? 5. Werden die Daten regelmäßig aktualisiert? 6. Haben die betroffenen Personen Zugriff auf ihre Daten? 7. Können die Daten auf Anfrage gelöscht werden? 8. Werden die Daten an Dritte weitergegeben? 9. Gibt es eine Dokumentation der Datenverarbeitung? 10. Werden die Daten nach Ablauf der Aufbewahrungsfrist gelöscht?

Der besondere Schutz von Gesundheitsdaten ist in der Datenschutz-Grundverordnung (DSGVO) in **Artikel 9** geregelt. Dort werden „besondere Kategorien personenbezogener Daten“ aufgeführt, zu denen auch Gesundheitsdaten gehören. **Artikel 9 Absatz 1 DSGVO** lautet: > Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, **Gesundheitsdaten** oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt. **Gesundheitsdaten** werden in **Erwägungsgrund 35** und in **Artikel 4 Nr. 15 DSGVO** näher definiert. Weitere Informationen findest du direkt im Gesetzestext: [DSGVO – Artikel 9: Verarbeitung besonderer Kategorien personenbezogener Daten](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679#d1e1882-1-1)

Ob Distributoren als Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung (DSGVO) gelten, hängt von ihrer konkreten Rolle und den verarbeiteten Daten ab. **Definitionen nach DSGVO:** - **Auftragsverarbeiter** ist eine Stelle, die personenbezogene Daten im Auftrag und nach Weisung eines Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO). - **Verantwortlicher** ist die Stelle, die über die Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO). **Typische Rolle von Distributoren:** Distributoren sind in der Regel Unternehmen, die Produkte von Herstellern an Händler oder Endkunden weiterverkaufen. Sie handeln dabei meist im eigenen Namen und auf eigene Rechnung. In diesem Zusammenhang verarbeiten sie Kundendaten für eigene Zwecke (z.B. zur Abwicklung von Bestellungen, Rechnungsstellung etc.). **Fazit:** - **In der Regel sind Distributoren keine Auftragsverarbeiter**, sondern selbst Verantwortliche, da sie über die Zwecke und Mittel der Datenverarbeitung entscheiden. - **Ausnahme:** Wenn ein Distributor im Einzelfall ausschließlich im Auftrag eines anderen Unternehmens personenbezogene Daten verarbeitet und dabei keine eigenen Zwecke verfolgt, könnte er als Auftragsverarbeiter gelten. Das ist aber im klassischen Distributionsgeschäft selten. **Weiterführende Informationen:** - [Art. 4 DSGVO – Begriffsbestimmungen](https://dsgvo-gesetz.de/art-4-dsgvo/) - [Auftragsverarbeitung nach DSGVO – IHK](https://www.ihk.de/berlin/produktmarken/beratung-service/recht-und-steuern/datenschutz/auftragsverarbeitung-4189642) **Zusammengefasst:** Distributoren sind in der Regel keine Auftragsverarbeiter, sondern Verantwortliche im Sinne der DSGVO.

Nach der Datenschutz-Grundverordnung (DSGVO) kann ein immaterieller Schaden grundsätzlich ersatzfähig sein. Artikel 82 DSGVO sieht vor, dass jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz hat. Der Begriff des „immateriellen Schadens“ ist in der DSGVO nicht abschließend definiert. Der sogenannte „Kontrollverlust“ über personenbezogene Daten wird in der juristischen Diskussion und Rechtsprechung häufig als möglicher immaterieller Schaden angesehen. Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 4. Mai 2023 (C-300/21) klargestellt, dass bereits der Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, sofern die betroffene Person tatsächlich einen Nachteil erlitten hat. Allerdings reicht allein der Verstoß gegen die DSGVO nicht aus; es muss ein konkreter Schaden (z. B. ein erlebter Kontrollverlust mit nachweisbaren negativen Folgen) vorliegen. Die Gerichte prüfen im Einzelfall, ob und in welchem Umfang ein solcher Schaden tatsächlich entstanden ist. Zusammengefasst: Ja, Kontrollverlust kann als immaterieller Schaden nach DSGVO ersatzfähig sein, wenn er zu einem tatsächlichen Nachteil für die betroffene Person geführt hat. Die genaue Bewertung erfolgt jedoch immer im Einzelfall durch die Gerichte. Weitere Informationen: - [Artikel 82 DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) - [EuGH, Urteil vom 4. Mai 2023, C-300/21](https://curia.europa.eu/juris/document/document.jsf?docid=261932&doclang=DE)

Nach Artikel 7 der DSGVO (Datenschutz-Grundverordnung) hat eine betroffene Person nach Abgabe ihrer Einwilligung insbesondere folgende Rechte: 1. **Widerrufsrecht**: Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der Verarbeitung, die aufgrund der Einwilligung bis zum Widerruf erfolgt ist (Artikel 7 Absatz 3 DSGVO). 2. **Information über das Widerrufsrecht**: Die betroffene Person muss vor Abgabe der Einwilligung darüber informiert werden, dass sie das Recht hat, die Einwilligung jederzeit zu widerrufen (Artikel 7 Absatz 3 Satz 2 DSGVO). 3. **Freiwilligkeit der Einwilligung**: Die Einwilligung muss freiwillig erfolgen. Die Erbringung einer Dienstleistung darf grundsätzlich nicht von einer Einwilligung abhängig gemacht werden, wenn die Einwilligung für die Erbringung der Dienstleistung nicht erforderlich ist (Artikel 7 Absatz 4 DSGVO). Weitere Informationen findest du direkt im Gesetzestext: [Artikel 7 DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679#d1e2207-1-1)