Was muss in einen DSGVO-Ordner für Prüfungen aufgenommen werden?

Nachweise über die Bearbeitung von Anfragen auf Auskunft, Berichtigung oder Löschung nach DSGVO werden in der Regel durch eine sorgfältige Dokumentation geführt. Die DSGVO verpflichtet Verantwortliche, die Einhaltung der Datenschutzgrundsätze nachweisen zu können (Art. 5 Abs. 2 DSGVO, Rechenschaftspflicht). Das bedeutet konkret: 1. **Erfassung der Anfrage:** Jede eingehende Anfrage (z. B. per E-Mail, Brief, Online-Formular) sollte mit Datum, Art der Anfrage (Auskunft, Berichtigung, Löschung) und Identität des Anfragenden dokumentiert werden. 2. **Bearbeitungsprozess:** Die einzelnen Bearbeitungsschritte (z. B. Identitätsprüfung, Prüfung der Daten, interne Kommunikation, Entscheidung über die Anfrage) werden mit Datum und verantwortlicher Person festgehalten. 3. **Ergebnis und Antwort:** Die ergriffenen Maßnahmen (z. B. Daten wurden berichtigt, gelöscht oder Auskunft erteilt) sowie die Form und das Datum der Antwort an die betroffene Person werden dokumentiert. Auch eine eventuelle Ablehnung mit Begründung sollte festgehalten werden. 4. **Aufbewahrung der Nachweise:** Die Dokumentation sollte so aufbewahrt werden, dass sie im Falle einer Prüfung durch die Aufsichtsbehörde vorgelegt werden kann. Die Aufbewahrungsdauer richtet sich nach den allgemeinen Verjährungsfristen und dem Grundsatz der Datenminimierung. **Typische Dokumentationsformen:** - Datenschutzmanagement-Software - Tabellen (z. B. Excel) - Protokolle oder Aktenvermerke - Einträge im Ticketsystem **Wichtig:** Die Dokumentation darf keine sensiblen Daten enthalten, die über das zur Nachweisführung Erforderliche hinausgehen. **Rechtliche Grundlage:** - Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) - Art. 12 Abs. 3 DSGVO (Fristen und Nachweis der Bearbeitung) Weitere Informationen findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [BfDI](https://www.bfdi.bund.de/).

Ja, das ist möglich und rechtlich zulässig. Nach der Datenschutz-Grundverordnung (DSGVO) hat jede betroffene Person das Recht auf Auskunft darüber, ob und welche personenbezogenen Daten über sie verarbeitet oder an Dritte (wie z.B. ein Inkassounternehmen) übermittelt wurden (Art. 15 DSGVO). **Widerspruch gegen die Datenübermittlung:** Ein Kunde kann der Übermittlung seiner Daten an ein Inkassounternehmen widersprechen. Allerdings ist ein solcher Widerspruch nicht immer wirksam, wenn die Übermittlung zur Wahrung berechtigter Interessen des Unternehmens erforderlich ist (z.B. zur Durchsetzung offener Forderungen, Art. 6 Abs. 1 lit. f DSGVO). Der Widerspruch muss geprüft werden, kann aber die Übermittlung nicht grundsätzlich verhindern, wenn ein berechtigtes Interesse vorliegt. **Auskunftsanspruch:** Der Kunde kann Auskunft verlangen, welche Daten an das Inkassounternehmen übermittelt wurden. Du bist verpflichtet, ihm mitzuteilen: - Welche personenbezogenen Daten übermittelt wurden, - an welches Inkassounternehmen die Daten übermittelt wurden, - zu welchem Zweck die Übermittlung erfolgte, - auf welcher Rechtsgrundlage die Übermittlung erfolgte. **Fazit:** Der Kunde kann also sowohl widersprechen (was aber nicht immer zur Unterlassung der Übermittlung führt) als auch eine DSGVO-Auskunft verlangen. Die Auskunft musst du erteilen. Weitere Informationen zur DSGVO findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).

Ja, auch Verarbeitungstätigkeiten, die nur gelegentlich oder alle paar Jahre durchgeführt werden, müssen im Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO aufgeführt werden. Die DSGVO macht keine Ausnahme für seltene oder unregelmäßige Verarbeitungsvorgänge. Entscheidend ist, dass personenbezogene Daten verarbeitet werden – unabhängig von der Häufigkeit. Das Verzeichnis soll einen vollständigen Überblick über alle Verarbeitungstätigkeiten geben, um Transparenz und Nachvollziehbarkeit zu gewährleisten. Auch seltene Vorgänge, wie z.B. eine alle fünf Jahre stattfindende Mitarbeiterbefragung, müssen daher dokumentiert werden.

Nach Art. 30 DSGVO (Datenschutz-Grundverordnung) müssen grundsätzlich alle Verarbeitungstätigkeiten, bei denen personenbezogene Daten verarbeitet werden, in das sogenannte Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden. Es gibt jedoch eine Ausnahme: **Kleine Unternehmen und Organisationen** mit weniger als 250 Mitarbeitern müssen kein Verzeichnis führen, **es sei denn**: - Die Verarbeitung erfolgt nicht nur gelegentlich, - es werden besondere Kategorien personenbezogener Daten verarbeitet (z. B. Gesundheitsdaten, Daten zur ethnischen Herkunft, religiöse Überzeugungen), - oder die Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen. In der Praxis bedeutet das: Die meisten Unternehmen und Organisationen müssen ein Verzeichnis führen, da die Ausnahmen sehr eng gefasst sind. Sobald regelmäßig personenbezogene Daten verarbeitet werden (z. B. Lohnbuchhaltung, Kundenverwaltung), ist ein Verzeichnis erforderlich. **Weitere Informationen:** [Art. 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten](https://dsgvo-gesetz.de/art-30-dsgvo/)

Der Begriff „Verarbeitung“ im Sinne der DSGVO (Datenschutz-Grundverordnung) ist in Art. 4 Nr. 2 DSGVO definiert. Verarbeitung bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten. Dazu gehören insbesondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Kurz gesagt: Verarbeitung umfasst praktisch jeden Umgang mit personenbezogenen Daten, von der Erhebung bis zur Löschung.

Zur Erhebung einer Verarbeitungstätigkeit nach DSGVO (Datenschutz-Grundverordnung) werden typischerweise folgende Fragen gestellt, um die Anforderungen insbesondere aus Art. 30 DSGVO (Verzeichnis von Verarbeitungstätigkeiten) zu erfüllen: 1. **Wer ist Verantwortlicher?** - Name und Kontaktdaten des Verantwortlichen und ggf. des Vertreters. 2. **Wer ist ggf. Auftragsverarbeiter?** - Name und Kontaktdaten des Auftragsverarbeiters. 3. **Wer ist Datenschutzbeauftragter?** - Name und Kontaktdaten des Datenschutzbeauftragten. 4. **Wie heißt die Verarbeitungstätigkeit?** - Titel/Bezeichnung der Verarbeitungstätigkeit. 5. **Was ist der Zweck der Verarbeitung?** - Beschreibung der Zwecke, zu denen die Daten verarbeitet werden. 6. **Welche Kategorien betroffener Personen gibt es?** - Z. B. Kunden, Mitarbeiter, Lieferanten, Nutzer. 7. **Welche Kategorien personenbezogener Daten werden verarbeitet?** - Z. B. Name, Adresse, Kontaktdaten, Bankdaten, Gesundheitsdaten. 8. **Wer sind die Empfänger der Daten?** - Interne und externe Empfänger, z. B. Dienstleister, Behörden. 9. **Werden Daten in Drittländer übermittelt?** - Falls ja: In welche Länder und auf welcher Rechtsgrundlage? 10. **Wie lange werden die Daten gespeichert?** - Angaben zu Löschfristen oder Kriterien für die Festlegung der Speicherdauer. 11. **Welche technischen und organisatorischen Maßnahmen werden getroffen?** - Beschreibung der Maßnahmen zum Schutz der Daten (z. B. Verschlüsselung, Zugriffskontrolle). 12. **Gibt es eine Rechtsgrundlage für die Verarbeitung?** - Z. B. Einwilligung, Vertragserfüllung, gesetzliche Verpflichtung, berechtigtes Interesse. 13. **Gibt es eine automatisierte Entscheidungsfindung oder Profiling?** - Falls ja: Beschreibung und Auswirkungen. Diese Fragen helfen, alle relevanten Informationen für das Verzeichnis der Verarbeitungstätigkeiten gemäß DSGVO zu erfassen. Das Verzeichnis muss auf Anfrage der Aufsichtsbehörde vorgelegt werden können. Weitere Informationen findest du direkt im [Wortlaut von Art. 30 DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

Für die Erstellung eines Verarbeitungsverzeichnisses gemäß Art. 30 DSGVO können folgende Arbeitspakete sinnvoll sein: 1. **Projektvorbereitung und Zieldefinition** - Verantwortlichkeiten festlegen - Ziele und Umfang des Verzeichnisses definieren 2. **Informationssammlung** - Erhebung aller Geschäftsprozesse, in denen personenbezogene Daten verarbeitet werden - Identifikation der verantwortlichen Abteilungen und Ansprechpartner 3. **Prozesserhebung und -dokumentation** - Detaillierte Erfassung der einzelnen Verarbeitungstätigkeiten (Zweck, Kategorien betroffener Personen und Daten, Empfänger, Übermittlungen in Drittländer, Löschfristen, technische und organisatorische Maßnahmen) - Nutzung von Fragebögen oder Interviews zur Datenerhebung 4. **Strukturierung und Erstellung des Verzeichnisses** - Zusammenführung und Strukturierung der gesammelten Informationen - Erstellung des Verzeichnisses in der geforderten Form (z. B. Excel, spezielle Software) 5. **Abstimmung und Validierung** - Überprüfung der Inhalte mit den Fachabteilungen - Korrekturen und Ergänzungen einarbeiten 6. **Freigabe und Dokumentation** - Endgültige Freigabe durch die verantwortliche Stelle (z. B. Datenschutzbeauftragter) - Ablage und Sicherstellung der Verfügbarkeit für Aufsichtsbehörden 7. **Schulung und Sensibilisierung** - Information und Schulung der Mitarbeitenden über das Verarbeitungsverzeichnis und deren Mitwirkungspflichten 8. **Regelmäßige Aktualisierung** - Festlegung eines Prozesses zur regelmäßigen Überprüfung und Aktualisierung des Verzeichnisses Diese Arbeitspakete können je nach Unternehmensgröße und Komplexität angepasst werden.

Ein gemeinsamer Verantwortlicher im Sinne der DSGVO (Datenschutz-Grundverordnung) liegt vor, wenn zwei oder mehr Parteien gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen (Art. 26 DSGVO). Das bedeutet, sie entscheiden zusammen, warum und wie die Daten verarbeitet werden. Typische Beispiele sind Kooperationen zwischen Unternehmen, gemeinsame Projekte oder Plattformen, bei denen beide Seiten Einfluss auf die Datenverarbeitung haben. Die gemeinsamen Verantwortlichen müssen in einer Vereinbarung festlegen, wer welche datenschutzrechtlichen Pflichten übernimmt (z. B. Information der Betroffenen, Beantwortung von Auskunftsanfragen). Die wesentlichen Inhalte dieser Vereinbarung müssen den betroffenen Personen zugänglich gemacht werden. Weitere Informationen findest du direkt im Gesetzestext: [Art. 26 DSGVO – Gemeinsame Verantwortliche](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679#d1e2207-1-1)

Ja, das ist grundsätzlich möglich. Die Datenschutz-Grundverordnung (DSGVO) gilt für Unternehmen in der EU unabhängig davon, wo die betroffene Person lebt oder ihren gewöhnlichen Aufenthalt hat. Das bedeutet: Jeder, dessen personenbezogene Daten von einem Unternehmen mit Sitz in der EU verarbeitet werden, kann sich auf die Rechte der DSGVO berufen – also auch Personen aus den USA. Relevant ist dabei, dass das Unternehmen tatsächlich personenbezogene Daten der betroffenen Person verarbeitet und seinen Sitz in der EU hat oder die Verarbeitung im Zusammenhang mit der Tätigkeit einer Niederlassung in der EU steht. In diesem Fall hat die betroffene Person das Recht auf Auskunft nach Art. 15 DSGVO, unabhängig von ihrer Staatsangehörigkeit oder ihrem Wohnsitz. Weitere Informationen zur DSGVO findest du z.B. auf der offiziellen Seite der Europäischen Kommission: https://commission.europa.eu/law/law-topic/data-protection_de

Ob eine Dienstleistung mit Telefonnummernvalidierung eine Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist, hängt davon ab, wie die Dienstleistung ausgestaltet ist und welche Rolle der Dienstleister einnimmt. **Auftragsverarbeitung** liegt gemäß Art. 4 Nr. 8 und Art. 28 DSGVO immer dann vor, wenn ein Dienstleister personenbezogene Daten im Auftrag und nach Weisung eines Verantwortlichen verarbeitet. **Konkret:** - Wenn du als Unternehmen einen externen Dienstleister beauftragst, Telefonnummern deiner Kunden zu validieren (z.B. auf Gültigkeit oder Format), und der Dienstleister diese Daten ausschließlich nach deinen Vorgaben verarbeitet, handelt es sich in der Regel um eine Auftragsverarbeitung. In diesem Fall muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden. - Wenn der Dienstleister die Telefonnummern jedoch für eigene Zwecke verarbeitet oder die Daten mit anderen Datenquellen abgleicht, um eigene Produkte oder Services zu verbessern, ist er selbst Verantwortlicher oder ggf. gemeinsam Verantwortlicher. Dann liegt keine Auftragsverarbeitung vor. **Beispiel:** - Ein Dienstleister prüft im Auftrag deines Unternehmens, ob eine Telefonnummer existiert oder korrekt formatiert ist, und nutzt die Daten nicht für eigene Zwecke → Auftragsverarbeitung. - Ein Dienstleister sammelt Telefonnummern, wertet sie aus und nutzt sie für eigene Marketingzwecke → keine Auftragsverarbeitung. **Fazit:** In den meisten Fällen ist eine Dienstleistung zur Telefonnummernvalidierung eine Auftragsverarbeitung, sofern der Dienstleister die Daten ausschließlich im Auftrag und nach Weisung verarbeitet. Es sollte aber immer im Einzelfall geprüft werden, wie die Datenverarbeitung konkret erfolgt. Weitere Informationen findest du z.B. beim [BayLDA](https://www.lda.bayern.de/de/thema-auftragsverarbeitung.html) oder [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_24_10_auftragsverarbeitung.pdf).