Welche Fragen sind zur Erhebung einer Verarbeitungstätigkeit nach DSGVO notwendig?

Ja, auch Verarbeitungstätigkeiten, die nur gelegentlich oder alle paar Jahre durchgeführt werden, müssen im Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO aufgeführt werden. Die DSGVO macht keine Ausnahme für seltene oder unregelmäßige Verarbeitungsvorgänge. Entscheidend ist, dass personenbezogene Daten verarbeitet werden – unabhängig von der Häufigkeit. Das Verzeichnis soll einen vollständigen Überblick über alle Verarbeitungstätigkeiten geben, um Transparenz und Nachvollziehbarkeit zu gewährleisten. Auch seltene Vorgänge, wie z.B. eine alle fünf Jahre stattfindende Mitarbeiterbefragung, müssen daher dokumentiert werden.

Ja, E-Mail ist im datenschutzrechtlichen Sinne eine Verarbeitungstätigkeit. Nach der Datenschutz-Grundverordnung (DSGVO) ist jede Tätigkeit, bei der personenbezogene Daten erhoben, gespeichert, übermittelt oder anderweitig verarbeitet werden, eine Verarbeitungstätigkeit. Da beim Versenden, Empfangen und Speichern von E-Mails häufig personenbezogene Daten verarbeitet werden (z. B. Name, E-Mail-Adresse, Inhalte), gilt E-Mail-Kommunikation als Verarbeitungstätigkeit und muss entsprechend im Verzeichnis von Verarbeitungstätigkeiten dokumentiert werden.

Das Trennkriterium für eine Verarbeitungstätigkeit nach der Datenschutz-Grundverordnung (DSGVO) bezieht sich darauf, wie einzelne Verarbeitungsvorgänge voneinander abgegrenzt werden, um sie als eigenständige „Verarbeitungstätigkeit“ zu dokumentieren. Eine Verarbeitungstätigkeit im Sinne der DSGVO ist ein zusammenhängender Vorgang oder eine Gruppe von Vorgängen, bei denen personenbezogene Daten für einen bestimmten Zweck verarbeitet werden. Das zentrale Trennkriterium ist daher der **Zweck der Verarbeitung**. **Wichtige Aspekte:** - **Gleicher Zweck:** Alle Verarbeitungsvorgänge, die demselben Zweck dienen (z. B. Lohnabrechnung, Kundenverwaltung), werden als eine Verarbeitungstätigkeit betrachtet. - **Unterschiedliche Zwecke:** Werden Daten für verschiedene Zwecke verarbeitet (z. B. Personalverwaltung vs. Marketing), handelt es sich um getrennte Verarbeitungstätigkeiten. - **Technische oder organisatorische Trennung:** Auch unterschiedliche technische Systeme oder organisatorische Abläufe können ein Indiz für verschiedene Verarbeitungstätigkeiten sein, sind aber nachrangig gegenüber dem Zweck. **Beispiel:** - Die Verarbeitung von Mitarbeiterdaten zur Gehaltsabrechnung ist eine eigene Verarbeitungstätigkeit. - Die Verarbeitung derselben Daten für die Zutrittskontrolle ist eine andere Verarbeitungstätigkeit, da der Zweck ein anderer ist. **Fazit:** Das maßgebliche Trennkriterium für eine Verarbeitungstätigkeit nach DSGVO ist der **Verarbeitungszweck**. Jede Verarbeitung personenbezogener Daten für einen eigenständigen Zweck gilt als eigene Verarbeitungstätigkeit und muss entsprechend im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden. Weitere Informationen findest du z. B. beim [BfDI](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitungstaetigkeiten/Verarbeitungstaetigkeiten.html) oder bei der [BayLDA](https://www.lda.bayern.de/de/verarbeitungstaetigkeiten.html).

Eine Verarbeitungstätigkeit nach DSGVO bezeichnet jeden Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, unabhängig davon, ob sie mit oder ohne Hilfe automatisierter Verfahren ausgeführt wird. Dazu zählen insbesondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten. Die DSGVO (Datenschutz-Grundverordnung) definiert den Begriff „Verarbeitung“ in Art. 4 Nr. 2 DSGVO. Eine Verarbeitungstätigkeit ist also jede Aktivität, bei der personenbezogene Daten genutzt werden – zum Beispiel das Führen einer Kundenliste, das Versenden von Newslettern oder die Speicherung von Mitarbeiterdaten. Unternehmen und Organisationen sind verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO), um Transparenz und Nachvollziehbarkeit im Umgang mit personenbezogenen Daten zu gewährleisten.

Ob ein Neutrovendor als Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung (DSGVO) gilt, hängt davon ab, welche Rolle das Unternehmen im konkreten Fall einnimmt. **Definition Aufverarbeiter:** Ein Auftragsverarbeiter ist gemäß Art. 4 Nr. 8 DSGVO eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Das bedeutet, der Auftragsverarbeiter handelt ausschließlich nach Weisung des Verantwortlichen und nutzt die Daten nicht für eigene Zwecke. **Neutrovendor:** Der Begriff „Neutrovendor“ ist kein fest definierter Begriff im Datenschutzrecht. In der Praxis bezeichnet er meist einen neutralen Anbieter oder Vermittler, der Dienstleistungen oder Produkte verschiedener Hersteller anbietet, ohne selbst Partei eines Vertrags zwischen Endkunde und Hersteller zu sein. **Entscheidend ist die Tätigkeit:** - **Verarbeitet der Neutrovendor personenbezogene Daten im Auftrag eines Verantwortlichen (z.B. eines Kunden) und ausschließlich nach dessen Weisung,** dann ist er als Auftragsverarbeiter zu qualifizieren. - **Verarbeitet der Neutrovendor die Daten jedoch zu eigenen Zwecken oder entscheidet selbst über die Mittel und Zwecke der Verarbeitung,** ist er Verantwortlicher im Sinne der DSGVO. **Fazit:** Ob ein Neutrovendor ein Auftragsverarbeiter ist, hängt von der konkreten Ausgestaltung der Zusammenarbeit und der Datenverarbeitung ab. Es kommt darauf an, ob er ausschließlich im Auftrag und nach Weisung handelt oder eigene Zwecke verfolgt. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_24_10_auslegung_hinweise_zur_auftragsverarbeitung.pdf) (DSK) oder direkt in der [DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

Nach der Datenschutz-Grundverordnung (DSGVO) besteht keine ausdrückliche Pflicht, Löschprotokolle zu führen. Allerdings ergibt sich aus den Rechenschafts- und Nachweispflichten gemäß Art. 5 Abs. 2 und Art. 24 DSGVO, dass Verantwortliche nachweisen können müssen, dass personenbezogene Daten ordnungsgemäß gelöscht wurden, wenn dies erforderlich ist (z. B. nach Art. 17 DSGVO – Recht auf Löschung). Löschprotokolle werden insbesondere dann relevant, wenn: - Betroffene Personen ihr Recht auf Löschung geltend machen und nachweisen möchten, dass ihre Daten tatsächlich gelöscht wurden. - Aufsichtsbehörden im Rahmen einer Prüfung oder eines Auskunftsersuchens einen Nachweis über die Löschung verlangen. - Im Rahmen von Datenschutz-Folgenabschätzungen oder Audits die Einhaltung der Löschpflichten dokumentiert werden muss. Zusammengefasst: Löschprotokolle müssen immer dann nachgewiesen werden, wenn ein Nachweis über die erfolgte Löschung personenbezogener Daten erforderlich ist – insbesondere gegenüber Betroffenen oder Aufsichtsbehörden. Sie sind ein wichtiges Instrument, um die Einhaltung der DSGVO-Anforderungen zu dokumentieren und im Bedarfsfall belegen zu können.

Nach der Datenschutz-Grundverordnung (DSGVO) besteht grundsätzlich die Pflicht, personenbezogene Daten zu löschen, sobald der Zweck der Verarbeitung entfällt oder eine andere Löschpflicht greift (Art. 17 DSGVO). Das bedeutet: Wenn die Löschfristen abgelaufen sind, müssen die Daten tatsächlich gelöscht werden. Das Anlegen einer sogenannten „Blacklist“ mit den Daten gelöschter Personen ist in der Regel **nicht zulässig**, da dies dem Grundsatz der Datenminimierung und dem Löschgebot widerspricht. Eine Ausnahme kann bestehen, wenn es einen **berechtigten Zweck** gibt, z. B. um sich vor missbräuchlichen Neuanmeldungen zu schützen. In diesem Fall dürfen aber nur die unbedingt erforderlichen Daten (z. B. Name und E-Mail-Adresse) und nur für den notwendigen Zeitraum gespeichert werden. Auch dann muss die betroffene Person über diese Verarbeitung informiert werden (Transparenzpflicht). **Fazit:** Eigentümer, deren Daten nach den Löschfristen zu löschen sind, dürfen **nicht pauschal in eine Blacklist eingetragen werden**. Eine Speicherung auf einer Blacklist ist nur in Ausnahmefällen und unter strengen Voraussetzungen der DSGVO zulässig. Weitere Informationen findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [BfDI](https://www.bfdi.bund.de/). **Hinweis:** Dies ist keine Rechtsberatung, sondern eine allgemeine Information zur DSGVO.

Artikel 25 der Datenschutz-Grundverordnung (DSGVO) regelt das Prinzip „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ („Privacy by Design“ und „Privacy by Default“). Kernpunkte von Artikel 25 DSGVO: 1. **Datenschutz durch Technikgestaltung**: Verantwortliche müssen bereits bei der Entwicklung und Auswahl von Technologien und Prozessen geeignete technische und organisatorische Maßnahmen treffen, um die Datenschutzgrundsätze (z. B. Datenminimierung, Integrität, Vertraulichkeit) wirksam umzusetzen. 2. **Datenschutzfreundliche Voreinstellungen**: Es muss sichergestellt werden, dass standardmäßig nur die personenbezogenen Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind. Das betrifft insbesondere die Menge der erhobenen Daten, den Umfang ihrer Verarbeitung, die Speicherfrist und ihre Zugänglichkeit. 3. **Berücksichtigung von Stand der Technik und Kosten**: Bei der Auswahl der Maßnahmen sind der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Ziel von Artikel 25 ist es, Datenschutz von Anfang an in Systeme und Prozesse zu integrieren und nicht erst nachträglich zu berücksichtigen. Den vollständigen Wortlaut findest du hier: [Artikel 25 DSGVO (eur-lex.europa.eu)](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679#d1e2202-1-1)

Das DSGVO-Risiko bei diesem Vorgehen ist als **erhöht** einzustufen, da mehrere datenschutzrechtlich relevante Aspekte betroffen sind: **1. Personenbezogene Daten:** Fotos, auf denen Personen erkennbar sind, gelten als personenbezogene Daten im Sinne der DSGVO. Auch im B2B-Kontext ist die DSGVO anwendbar, da es um natürliche Personen geht. **2. Rechtsgrundlage:** Für das Anfertigen und Verarbeiten (Speichern, Teilen) der Bilder ist eine Rechtsgrundlage erforderlich. In der Regel ist dies die **Einwilligung** der abgebildeten Personen (Art. 6 Abs. 1 lit. a DSGVO). Diese muss freiwillig, informiert und nachweisbar erfolgen. **3. Information und Transparenz:** Die betroffenen Personen müssen vorab über die Verarbeitung informiert werden (Art. 13 DSGVO). Dazu gehören u.a. Zweck, Speicherdauer, Empfänger und Rechte der Betroffenen. **4. Auftragsverarbeitung und Cloud-Speicherung:** OneDrive ist ein Cloud-Dienst von Microsoft ([Link](https://www.microsoft.com/de-de/microsoft-365/onedrive/online-cloud-storage)). Die Speicherung personenbezogener Daten bei einem externen Dienstleister erfordert einen **Auftragsverarbeitungsvertrag** (Art. 28 DSGVO). Zudem muss geprüft werden, wo die Daten gespeichert werden (EU/EWR oder Drittland) und ob ein angemessenes Datenschutzniveau besteht. **5. Zugang per QR-Code:** Der Zugang zu den Bildern per QR-Code muss so gestaltet sein, dass nur berechtigte Personen Zugriff erhalten. Öffentliche Freigabelinks ohne Zugangsbeschränkung sind kritisch. Es sollte eine Authentifizierung erfolgen. **6. Datensicherheit:** Die Übertragung und Speicherung der Bilder muss technisch und organisatorisch abgesichert sein (Art. 32 DSGVO). **Empfohlene Maßnahmen zur Risikominimierung:** - Vorab Einwilligungen der abgebildeten Personen einholen (schriftlich/digital). - Betroffene umfassend informieren (z.B. durch Datenschutzhinweise beim Event). - Auftragsverarbeitungsvertrag mit Microsoft abschließen. - Sicherstellen, dass die Daten in der EU/EWR gespeichert werden. - Zugang zu den Bildern nur für berechtigte Personen, z.B. durch passwortgeschützte Links. - Löschfristen festlegen und kommunizieren. **Fazit:** Ohne Einwilligung und angemessene technische sowie organisatorische Maßnahmen besteht ein erhebliches DSGVO-Risiko (Abmahnungen, Bußgelder). Mit korrekter Umsetzung lässt sich das Risiko jedoch deutlich reduzieren. Eine datenschutzrechtliche Beratung wird empfohlen.

Ob ein Whistleblower-Anbieter als Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung (DSGVO) gilt, hängt davon ab, wie die Dienstleistung ausgestaltet ist. **Grundsätzliches:** Ein Auftragsverarbeiter ist nach Art. 4 Nr. 8 DSGVO eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Verantwortliche (z. B. ein Unternehmen, das ein Hinweisgebersystem einführt) entscheidet über Zweck und Mittel der Datenverarbeitung. **Typischer Fall:** Ein externer Whistleblower-Anbieter stellt meist eine technische Plattform (z. B. ein Hinweisgebersystem) zur Verfügung und verarbeitet dabei personenbezogene Daten (z. B. Name des Hinweisgebers, beschuldigte Personen, Inhalte der Meldung) im Auftrag des Unternehmens. In diesem Fall ist der Anbieter in der Regel ein Auftragsverarbeiter, da er die Daten nur im Auftrag und nach Weisung des Unternehmens verarbeitet. **Ausnahme:** Handelt der Anbieter eigenverantwortlich, z. B. indem er selbst über die Zwecke und Mittel der Datenverarbeitung entscheidet (etwa bei einer anonymen Ombudsstelle, die eigenständig Fälle prüft und entscheidet, ob und wie sie weitergeleitet werden), könnte er als (gemeinsamer) Verantwortlicher gelten. **Fazit:** In den meisten Fällen ist ein Whistleblower-Anbieter ein Auftragsverarbeiter im Sinne der DSGVO. Es sollte jedoch immer im Einzelfall geprüft werden, wie die Rollenverteilung konkret ausgestaltet ist. Weitere Informationen: - [Art. 4 Nr. 8 DSGVO – Definition Auftragsverarbeiter](https://dsgvo-gesetz.de/art-4-dsgvo/) - [Hinweise der Datenschutzkonferenz zu Whistleblowing-Systemen (PDF)](https://www.datenschutzkonferenz-online.de/media/dskb/2022_24_Whistleblowing.pdf)