Was sollte eine Dokumentation der Verarbeitungstätigkeiten nach DSGVO enthalten?

Der Begriff „Verarbeitung“ im Sinne der DSGVO (Datenschutz-Grundverordnung) ist in Art. 4 Nr. 2 DSGVO definiert. Verarbeitung bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten. Dazu gehören insbesondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Kurz gesagt: Verarbeitung umfasst praktisch jeden Umgang mit personenbezogenen Daten, von der Erhebung bis zur Löschung.

Die Datenschutz-Grundverordnung (DSGVO) sieht in Art. 6 Abs. 1 sechs zentrale Rechtsgrundlagen für die Zulässigkeit der Verarbeitung personenbezogener Daten vor. Eine Verarbeitung ist nur dann rechtmäßig, wenn mindestens eine der folgenden Bedingungen erfüllt ist: 1. **Einwilligung** (Art. 6 Abs. 1 lit. a DSGVO): Die betroffene Person hat ihre freiwillige, informierte und unmissverständliche Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben. 2. **Vertragserfüllung** (Art. 6 Abs. 1 lit. b DSGVO): Die Verarbeitung ist zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen. 3. **Rechtliche Verpflichtung** (Art. 6 Abs. 1 lit. c DSGVO): Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt. 4. **Lebenswichtige Interessen** (Art. 6 Abs. 1 lit. d DSGVO): Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. 5. **Wahrnehmung einer Aufgabe im öffentlichen Interesse oder Ausübung öffentlicher Gewalt** (Art. 6 Abs. 1 lit. e DSGVO): Die Verarbeitung ist zur Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. 6. **Berechtigte Interessen** (Art. 6 Abs. 1 lit. f DSGVO): Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Weitere Informationen findest du direkt im [Wortlaut von Art. 6 DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

Die Datenschutz-Grundverordnung (DSGVO) nennt verschiedene Zwecke der Verarbeitung personenbezogener Daten, legt aber keine abschließende Liste fest. Grundsätzlich versteht die DSGVO unter „Zweck der Verarbeitung“ den Grund, warum personenbezogene Daten erhoben und verarbeitet werden. Die wichtigsten Zwecke ergeben sich aus Art. 6 Abs. 1 DSGVO, der die Rechtmäßigkeit der Verarbeitung regelt. Typische Zwecke sind: 1. **Vertragserfüllung** Verarbeitung ist erforderlich, um einen Vertrag zu erfüllen oder vorvertragliche Maßnahmen durchzuführen (z. B. Kaufabwicklung, Dienstleistungsvertrag). 2. **Erfüllung einer rechtlichen Verpflichtung** Verarbeitung ist notwendig, um gesetzlichen Pflichten nachzukommen (z. B. Aufbewahrungspflichten, Meldepflichten). 3. **Wahrung berechtigter Interessen** Verarbeitung dient den berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte der betroffenen Person überwiegen (z. B. Direktwerbung, IT-Sicherheit). 4. **Einwilligung** Verarbeitung erfolgt auf Grundlage einer freiwilligen, informierten und unmissverständlichen Einwilligung der betroffenen Person (z. B. Newsletter-Versand). 5. **Schutz lebenswichtiger Interessen** Verarbeitung ist notwendig, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (z. B. medizinische Notfälle). 6. **Wahrnehmung einer Aufgabe im öffentlichen Interesse oder Ausübung öffentlicher Gewalt** Verarbeitung ist erforderlich, um eine Aufgabe zu erfüllen, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (z. B. behördliche Tätigkeiten). Jede Verarbeitung personenbezogener Daten muss einem klar definierten Zweck dienen, der vorab festgelegt und dokumentiert wird (Zweckbindung, Art. 5 Abs. 1 lit. b DSGVO). Weitere Informationen findest du direkt im Gesetzestext: [DSGVO – Art. 6 Rechtmäßigkeit der Verarbeitung](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679)

Artikel 9 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) befasst sich mit der Verarbeitung besonderer Kategorien personenbezogener Daten. Diese besonderen Kategorien umfassen Daten, die sensible Informationen enthalten, wie beispielsweise: - Rasse oder ethnische Herkunft - Politische Meinungen - Religiöse oder philosophische Überzeugungen - Gewerkschaftszugehörigkeit - Gesundheit - Sexualleben oder sexuelle Orientierung Der Artikel legt fest, dass die Verarbeitung dieser Daten grundsätzlich verboten ist, es sei denn, es liegt eine der in den folgenden Absätzen genannten Ausnahmen vor. Diese Ausnahmen können beispielsweise die ausdrückliche Einwilligung der betroffenen Person, die Erfüllung von rechtlichen Verpflichtungen oder die Wahrung lebenswichtiger Interessen umfassen. Zusammengefasst bedeutet dies, dass besondere Kategorien personenbezogener Daten einen höheren Schutz genießen und ihre Verarbeitung strengen Bedingungen unterliegt.

Die Grundsätze für die Verarbeitung personenbezogener Daten gemäß Artikel 5 der Datenschutz-Grundverordnung (DSGVO) sind: 1. **Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz**: Die Verarbeitung muss rechtmäßig sein und die betroffenen Personen müssen über die Verarbeitung informiert werden. 2. **Zweckbindung**: Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden. 3. **Datenminimierung**: Es dürfen nur die Daten verarbeitet werden, die für die Zwecke der Verarbeitung notwendig sind. 4. **Richtigkeit**: Die personenbezogenen Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Es sind angemessene Maßnahmen zu treffen, um sicherzustellen, dass unrichtige Daten unverzüglich gelöscht oder berichtigt werden. 5. **Speicherbegrenzung**: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. 6. **Integrität und Vertraulichkeit**: Die Verarbeitung muss so erfolgen, dass die Sicherheit der personenbezogenen Daten gewährleistet ist, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor Verlust, Zerstörung oder Schädigung. 7. **Rechenschaftspflicht**: Der Verantwortliche ist dafür verantwortlich, dass die Grundsätze eingehalten werden, und muss dies auch nachweisen können. **Beispiel aus der Praxis**: Angenommen, ein Unternehmen erhebt personenbezogene Daten von Kunden zur Durchführung von Bestellungen. - **Rechtmäßigkeit**: Das Unternehmen informiert die Kunden über die Datenerhebung und holt deren Einwilligung ein. - **Zweckbindung**: Die Daten werden ausschließlich zur Bearbeitung der Bestellungen verwendet und nicht für Marketingzwecke, es sei denn, die Kunden haben dem zugestimmt. - **Datenminimierung**: Nur die für die Bestellung notwendigen Daten (z.B. Name, Adresse, Zahlungsinformationen) werden erhoben. - **Richtigkeit**: Das Unternehmen ermöglicht es den Kunden, ihre Daten jederzeit zu überprüfen und zu aktualisieren. - **Speicherbegrenzung**: Die Daten werden nach Abschluss der Bestellung und Ablauf der gesetzlichen Aufbewahrungsfristen gelöscht. - **Integrität und Vertraulichkeit**: Das Unternehmen implementiert Sicherheitsmaßnahmen, um die Daten vor unbefugtem Zugriff zu schützen. - **Rechenschaftspflicht**: Das Unternehmen dokumentiert alle Prozesse und Maßnahmen zur Einhaltung der DSGVO, um im Falle einer Überprüfung nachweisen zu können, dass es die Grundsätze beachtet hat.

Laut der Datenschutz-Grundverordnung (DSGVO) sind mehrere Verfahren und Maßnahmen notwendig, wenn personenbezogene Daten verarbeitet werden. Dazu gehören: 1. **Rechtsgrundlage**: Es muss eine gültige Rechtsgrundlage für die Verarbeitung vorliegen, wie Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe oder berechtigtes Interesse. 2. **Transparenz**: Betroffene Personen müssen über die Verarbeitung ihrer Daten informiert werden, einschließlich der Zwecke der Verarbeitung, der Rechtsgrundlage, der Speicherdauer und der Rechte der Betroffenen. 3. **Datenschutz-Folgenabschätzung (DSFA)**: Bei bestimmten Arten von Datenverarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen, ist eine DSFA erforderlich. 4. **Technische und organisatorische Maßnahmen**: Es müssen geeignete Maßnahmen ergriffen werden, um die Sicherheit der Daten zu gewährleisten, wie z.B. Verschlüsselung, Zugriffskontrollen und regelmäßige Sicherheitsüberprüfungen. 5. **Dokumentation**: Die Verarbeitungstätigkeiten müssen dokumentiert werden, um die Einhaltung der DSGVO nachweisen zu können. 6. **Rechte der Betroffenen**: Die Rechte der betroffenen Personen, wie das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch, müssen gewährleistet und respektiert werden. 7. **Meldung von Datenschutzverletzungen**: Im Falle einer Datenschutzverletzung muss diese innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden, sofern ein Risiko für die Rechte und Freiheiten der Betroffenen besteht. Diese Verfahren sind entscheidend, um den Anforderungen der DSGVO gerecht zu werden und den Schutz personenbezogener Daten sicherzustellen.

Eine Stelle gilt als Auftragsverarbeiter gemäß der Datenschutz-Grundverordnung (DSGVO), wenn sie personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Die wichtigsten Merkmale sind: 1. **Verarbeitung im Auftrag**: Der Auftragsverarbeiter handelt nur auf Weisung des Verantwortlichen und nicht in eigenem Interesse. 2. **Verarbeitung personenbezogener Daten**: Die Stelle muss Daten verarbeiten, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen. 3. **Vertragliche Regelung**: Es muss ein schriftlicher Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter bestehen, der die Bedingungen der Datenverarbeitung festlegt. Auftragsverarbeiter können Unternehmen oder Einzelpersonen sein, die Dienstleistungen anbieten, die eine Datenverarbeitung erfordern, wie z.B. Cloud-Dienste, IT-Dienstleister oder Marketingagenturen.

Nachweise über die Bearbeitung von Anfragen auf Auskunft, Berichtigung oder Löschung nach DSGVO werden in der Regel durch eine sorgfältige Dokumentation geführt. Die DSGVO verpflichtet Verantwortliche, die Einhaltung der Datenschutzgrundsätze nachweisen zu können (Art. 5 Abs. 2 DSGVO, Rechenschaftspflicht). Das bedeutet konkret: 1. **Erfassung der Anfrage:** Jede eingehende Anfrage (z. B. per E-Mail, Brief, Online-Formular) sollte mit Datum, Art der Anfrage (Auskunft, Berichtigung, Löschung) und Identität des Anfragenden dokumentiert werden. 2. **Bearbeitungsprozess:** Die einzelnen Bearbeitungsschritte (z. B. Identitätsprüfung, Prüfung der Daten, interne Kommunikation, Entscheidung über die Anfrage) werden mit Datum und verantwortlicher Person festgehalten. 3. **Ergebnis und Antwort:** Die ergriffenen Maßnahmen (z. B. Daten wurden berichtigt, gelöscht oder Auskunft erteilt) sowie die Form und das Datum der Antwort an die betroffene Person werden dokumentiert. Auch eine eventuelle Ablehnung mit Begründung sollte festgehalten werden. 4. **Aufbewahrung der Nachweise:** Die Dokumentation sollte so aufbewahrt werden, dass sie im Falle einer Prüfung durch die Aufsichtsbehörde vorgelegt werden kann. Die Aufbewahrungsdauer richtet sich nach den allgemeinen Verjährungsfristen und dem Grundsatz der Datenminimierung. **Typische Dokumentationsformen:** - Datenschutzmanagement-Software - Tabellen (z. B. Excel) - Protokolle oder Aktenvermerke - Einträge im Ticketsystem **Wichtig:** Die Dokumentation darf keine sensiblen Daten enthalten, die über das zur Nachweisführung Erforderliche hinausgehen. **Rechtliche Grundlage:** - Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) - Art. 12 Abs. 3 DSGVO (Fristen und Nachweis der Bearbeitung) Weitere Informationen findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [BfDI](https://www.bfdi.bund.de/).

Ein DSGVO-Ordner dient dazu, bei Prüfungen durch Aufsichtsbehörden nachzuweisen, dass die Anforderungen der Datenschutz-Grundverordnung (DSGVO) eingehalten werden. Folgende Dokumente und Nachweise sollten typischerweise enthalten sein: 1. **Verzeichnis von Verarbeitungstätigkeiten** Nach Art. 30 DSGVO ist dies für die meisten Unternehmen Pflicht. Es listet alle Prozesse auf, bei denen personenbezogene Daten verarbeitet werden. 2. **Datenschutzrichtlinien und -konzepte** Interne Richtlinien, wie mit personenbezogenen Daten umgegangen wird. 3. **Auftragsverarbeitungsverträge (AVV)** Verträge mit Dienstleistern, die personenbezogene Daten im Auftrag verarbeiten (z.B. IT-Dienstleister, Cloud-Anbieter). 4. **Technische und organisatorische Maßnahmen (TOMs)** Dokumentation der Maßnahmen zum Schutz personenbezogener Daten (z.B. Zutrittskontrolle, Verschlüsselung, Backup). 5. **Mitarbeiterschulungen und -verpflichtungen** Nachweise über Datenschutzschulungen und Verpflichtungserklärungen der Mitarbeiter auf das Datengeheimnis. 6. **Informationspflichten und Einwilligungen** Muster und Nachweise für die Erfüllung der Informationspflichten gegenüber Betroffenen (z.B. Datenschutzerklärungen, Einwilligungsformulare). 7. **Meldung von Datenschutzverletzungen** Dokumentation von Datenschutzvorfällen und deren Meldung an die Aufsichtsbehörde (Art. 33 DSGVO). 8. **Betroffenenrechte** Nachweise über die Bearbeitung von Anfragen auf Auskunft, Berichtigung, Löschung etc. 9. **Datenschutz-Folgenabschätzungen (DSFA)** Falls erforderlich, Dokumentation der DSFA für risikoreiche Verarbeitungen. 10. **Kontakt zum Datenschutzbeauftragten** Benennung und Kontaktdaten des Datenschutzbeauftragten (sofern erforderlich). 11. **Sonstige relevante Dokumente** Z.B. Löschkonzepte, Protokolle von Datenschutz-Audits, Verfahrensanweisungen. **Tipp:** Der Ordner kann sowohl physisch als auch digital geführt werden. Wichtig ist die Aktualität und Vollständigkeit der Unterlagen. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder dem [BfDI](https://www.bfdi.bund.de/).

Ja, das ist möglich und rechtlich zulässig. Nach der Datenschutz-Grundverordnung (DSGVO) hat jede betroffene Person das Recht auf Auskunft darüber, ob und welche personenbezogenen Daten über sie verarbeitet oder an Dritte (wie z.B. ein Inkassounternehmen) übermittelt wurden (Art. 15 DSGVO). **Widerspruch gegen die Datenübermittlung:** Ein Kunde kann der Übermittlung seiner Daten an ein Inkassounternehmen widersprechen. Allerdings ist ein solcher Widerspruch nicht immer wirksam, wenn die Übermittlung zur Wahrung berechtigter Interessen des Unternehmens erforderlich ist (z.B. zur Durchsetzung offener Forderungen, Art. 6 Abs. 1 lit. f DSGVO). Der Widerspruch muss geprüft werden, kann aber die Übermittlung nicht grundsätzlich verhindern, wenn ein berechtigtes Interesse vorliegt. **Auskunftsanspruch:** Der Kunde kann Auskunft verlangen, welche Daten an das Inkassounternehmen übermittelt wurden. Du bist verpflichtet, ihm mitzuteilen: - Welche personenbezogenen Daten übermittelt wurden, - an welches Inkassounternehmen die Daten übermittelt wurden, - zu welchem Zweck die Übermittlung erfolgte, - auf welcher Rechtsgrundlage die Übermittlung erfolgte. **Fazit:** Der Kunde kann also sowohl widersprechen (was aber nicht immer zur Unterlassung der Übermittlung führt) als auch eine DSGVO-Auskunft verlangen. Die Auskunft musst du erteilen. Weitere Informationen zur DSGVO findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).