Muss eine selten durchgeführte Verarbeitungstätigkeit im Verarbeitungsverzeichnis stehen?

Nach Art. 30 DSGVO (Datenschutz-Grundverordnung) müssen grundsätzlich alle Verarbeitungstätigkeiten, bei denen personenbezogene Daten verarbeitet werden, in das sogenannte Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden. Es gibt jedoch eine Ausnahme: **Kleine Unternehmen und Organisationen** mit weniger als 250 Mitarbeitern müssen kein Verzeichnis führen, **es sei denn**: - Die Verarbeitung erfolgt nicht nur gelegentlich, - es werden besondere Kategorien personenbezogener Daten verarbeitet (z. B. Gesundheitsdaten, Daten zur ethnischen Herkunft, religiöse Überzeugungen), - oder die Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen. In der Praxis bedeutet das: Die meisten Unternehmen und Organisationen müssen ein Verzeichnis führen, da die Ausnahmen sehr eng gefasst sind. Sobald regelmäßig personenbezogene Daten verarbeitet werden (z. B. Lohnbuchhaltung, Kundenverwaltung), ist ein Verzeichnis erforderlich. **Weitere Informationen:** [Art. 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten](https://dsgvo-gesetz.de/art-30-dsgvo/)

Zur Erhebung einer Verarbeitungstätigkeit nach DSGVO (Datenschutz-Grundverordnung) werden typischerweise folgende Fragen gestellt, um die Anforderungen insbesondere aus Art. 30 DSGVO (Verzeichnis von Verarbeitungstätigkeiten) zu erfüllen: 1. **Wer ist Verantwortlicher?** - Name und Kontaktdaten des Verantwortlichen und ggf. des Vertreters. 2. **Wer ist ggf. Auftragsverarbeiter?** - Name und Kontaktdaten des Auftragsverarbeiters. 3. **Wer ist Datenschutzbeauftragter?** - Name und Kontaktdaten des Datenschutzbeauftragten. 4. **Wie heißt die Verarbeitungstätigkeit?** - Titel/Bezeichnung der Verarbeitungstätigkeit. 5. **Was ist der Zweck der Verarbeitung?** - Beschreibung der Zwecke, zu denen die Daten verarbeitet werden. 6. **Welche Kategorien betroffener Personen gibt es?** - Z. B. Kunden, Mitarbeiter, Lieferanten, Nutzer. 7. **Welche Kategorien personenbezogener Daten werden verarbeitet?** - Z. B. Name, Adresse, Kontaktdaten, Bankdaten, Gesundheitsdaten. 8. **Wer sind die Empfänger der Daten?** - Interne und externe Empfänger, z. B. Dienstleister, Behörden. 9. **Werden Daten in Drittländer übermittelt?** - Falls ja: In welche Länder und auf welcher Rechtsgrundlage? 10. **Wie lange werden die Daten gespeichert?** - Angaben zu Löschfristen oder Kriterien für die Festlegung der Speicherdauer. 11. **Welche technischen und organisatorischen Maßnahmen werden getroffen?** - Beschreibung der Maßnahmen zum Schutz der Daten (z. B. Verschlüsselung, Zugriffskontrolle). 12. **Gibt es eine Rechtsgrundlage für die Verarbeitung?** - Z. B. Einwilligung, Vertragserfüllung, gesetzliche Verpflichtung, berechtigtes Interesse. 13. **Gibt es eine automatisierte Entscheidungsfindung oder Profiling?** - Falls ja: Beschreibung und Auswirkungen. Diese Fragen helfen, alle relevanten Informationen für das Verzeichnis der Verarbeitungstätigkeiten gemäß DSGVO zu erfassen. Das Verzeichnis muss auf Anfrage der Aufsichtsbehörde vorgelegt werden können. Weitere Informationen findest du direkt im [Wortlaut von Art. 30 DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

Ja, E-Mail ist im datenschutzrechtlichen Sinne eine Verarbeitungstätigkeit. Nach der Datenschutz-Grundverordnung (DSGVO) ist jede Tätigkeit, bei der personenbezogene Daten erhoben, gespeichert, übermittelt oder anderweitig verarbeitet werden, eine Verarbeitungstätigkeit. Da beim Versenden, Empfangen und Speichern von E-Mails häufig personenbezogene Daten verarbeitet werden (z. B. Name, E-Mail-Adresse, Inhalte), gilt E-Mail-Kommunikation als Verarbeitungstätigkeit und muss entsprechend im Verzeichnis von Verarbeitungstätigkeiten dokumentiert werden.

Das Trennkriterium für eine Verarbeitungstätigkeit nach der Datenschutz-Grundverordnung (DSGVO) bezieht sich darauf, wie einzelne Verarbeitungsvorgänge voneinander abgegrenzt werden, um sie als eigenständige „Verarbeitungstätigkeit“ zu dokumentieren. Eine Verarbeitungstätigkeit im Sinne der DSGVO ist ein zusammenhängender Vorgang oder eine Gruppe von Vorgängen, bei denen personenbezogene Daten für einen bestimmten Zweck verarbeitet werden. Das zentrale Trennkriterium ist daher der **Zweck der Verarbeitung**. **Wichtige Aspekte:** - **Gleicher Zweck:** Alle Verarbeitungsvorgänge, die demselben Zweck dienen (z. B. Lohnabrechnung, Kundenverwaltung), werden als eine Verarbeitungstätigkeit betrachtet. - **Unterschiedliche Zwecke:** Werden Daten für verschiedene Zwecke verarbeitet (z. B. Personalverwaltung vs. Marketing), handelt es sich um getrennte Verarbeitungstätigkeiten. - **Technische oder organisatorische Trennung:** Auch unterschiedliche technische Systeme oder organisatorische Abläufe können ein Indiz für verschiedene Verarbeitungstätigkeiten sein, sind aber nachrangig gegenüber dem Zweck. **Beispiel:** - Die Verarbeitung von Mitarbeiterdaten zur Gehaltsabrechnung ist eine eigene Verarbeitungstätigkeit. - Die Verarbeitung derselben Daten für die Zutrittskontrolle ist eine andere Verarbeitungstätigkeit, da der Zweck ein anderer ist. **Fazit:** Das maßgebliche Trennkriterium für eine Verarbeitungstätigkeit nach DSGVO ist der **Verarbeitungszweck**. Jede Verarbeitung personenbezogener Daten für einen eigenständigen Zweck gilt als eigene Verarbeitungstätigkeit und muss entsprechend im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden. Weitere Informationen findest du z. B. beim [BfDI](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitungstaetigkeiten/Verarbeitungstaetigkeiten.html) oder bei der [BayLDA](https://www.lda.bayern.de/de/verarbeitungstaetigkeiten.html).

Eine Verarbeitungstätigkeit nach DSGVO bezeichnet jeden Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, unabhängig davon, ob sie mit oder ohne Hilfe automatisierter Verfahren ausgeführt wird. Dazu zählen insbesondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten. Die DSGVO (Datenschutz-Grundverordnung) definiert den Begriff „Verarbeitung“ in Art. 4 Nr. 2 DSGVO. Eine Verarbeitungstätigkeit ist also jede Aktivität, bei der personenbezogene Daten genutzt werden – zum Beispiel das Führen einer Kundenliste, das Versenden von Newslettern oder die Speicherung von Mitarbeiterdaten. Unternehmen und Organisationen sind verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO), um Transparenz und Nachvollziehbarkeit im Umgang mit personenbezogenen Daten zu gewährleisten.

Ob ein Neutrovendor als Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung (DSGVO) gilt, hängt davon ab, welche Rolle das Unternehmen im konkreten Fall einnimmt. **Definition Aufverarbeiter:** Ein Auftragsverarbeiter ist gemäß Art. 4 Nr. 8 DSGVO eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Das bedeutet, der Auftragsverarbeiter handelt ausschließlich nach Weisung des Verantwortlichen und nutzt die Daten nicht für eigene Zwecke. **Neutrovendor:** Der Begriff „Neutrovendor“ ist kein fest definierter Begriff im Datenschutzrecht. In der Praxis bezeichnet er meist einen neutralen Anbieter oder Vermittler, der Dienstleistungen oder Produkte verschiedener Hersteller anbietet, ohne selbst Partei eines Vertrags zwischen Endkunde und Hersteller zu sein. **Entscheidend ist die Tätigkeit:** - **Verarbeitet der Neutrovendor personenbezogene Daten im Auftrag eines Verantwortlichen (z.B. eines Kunden) und ausschließlich nach dessen Weisung,** dann ist er als Auftragsverarbeiter zu qualifizieren. - **Verarbeitet der Neutrovendor die Daten jedoch zu eigenen Zwecken oder entscheidet selbst über die Mittel und Zwecke der Verarbeitung,** ist er Verantwortlicher im Sinne der DSGVO. **Fazit:** Ob ein Neutrovendor ein Auftragsverarbeiter ist, hängt von der konkreten Ausgestaltung der Zusammenarbeit und der Datenverarbeitung ab. Es kommt darauf an, ob er ausschließlich im Auftrag und nach Weisung handelt oder eigene Zwecke verfolgt. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_24_10_auslegung_hinweise_zur_auftragsverarbeitung.pdf) (DSK) oder direkt in der [DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

Nach der Datenschutz-Grundverordnung (DSGVO) besteht keine ausdrückliche Pflicht, Löschprotokolle zu führen. Allerdings ergibt sich aus den Rechenschafts- und Nachweispflichten gemäß Art. 5 Abs. 2 und Art. 24 DSGVO, dass Verantwortliche nachweisen können müssen, dass personenbezogene Daten ordnungsgemäß gelöscht wurden, wenn dies erforderlich ist (z. B. nach Art. 17 DSGVO – Recht auf Löschung). Löschprotokolle werden insbesondere dann relevant, wenn: - Betroffene Personen ihr Recht auf Löschung geltend machen und nachweisen möchten, dass ihre Daten tatsächlich gelöscht wurden. - Aufsichtsbehörden im Rahmen einer Prüfung oder eines Auskunftsersuchens einen Nachweis über die Löschung verlangen. - Im Rahmen von Datenschutz-Folgenabschätzungen oder Audits die Einhaltung der Löschpflichten dokumentiert werden muss. Zusammengefasst: Löschprotokolle müssen immer dann nachgewiesen werden, wenn ein Nachweis über die erfolgte Löschung personenbezogener Daten erforderlich ist – insbesondere gegenüber Betroffenen oder Aufsichtsbehörden. Sie sind ein wichtiges Instrument, um die Einhaltung der DSGVO-Anforderungen zu dokumentieren und im Bedarfsfall belegen zu können.

Nach der Datenschutz-Grundverordnung (DSGVO) besteht grundsätzlich die Pflicht, personenbezogene Daten zu löschen, sobald der Zweck der Verarbeitung entfällt oder eine andere Löschpflicht greift (Art. 17 DSGVO). Das bedeutet: Wenn die Löschfristen abgelaufen sind, müssen die Daten tatsächlich gelöscht werden. Das Anlegen einer sogenannten „Blacklist“ mit den Daten gelöschter Personen ist in der Regel **nicht zulässig**, da dies dem Grundsatz der Datenminimierung und dem Löschgebot widerspricht. Eine Ausnahme kann bestehen, wenn es einen **berechtigten Zweck** gibt, z. B. um sich vor missbräuchlichen Neuanmeldungen zu schützen. In diesem Fall dürfen aber nur die unbedingt erforderlichen Daten (z. B. Name und E-Mail-Adresse) und nur für den notwendigen Zeitraum gespeichert werden. Auch dann muss die betroffene Person über diese Verarbeitung informiert werden (Transparenzpflicht). **Fazit:** Eigentümer, deren Daten nach den Löschfristen zu löschen sind, dürfen **nicht pauschal in eine Blacklist eingetragen werden**. Eine Speicherung auf einer Blacklist ist nur in Ausnahmefällen und unter strengen Voraussetzungen der DSGVO zulässig. Weitere Informationen findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [BfDI](https://www.bfdi.bund.de/). **Hinweis:** Dies ist keine Rechtsberatung, sondern eine allgemeine Information zur DSGVO.

Artikel 25 der Datenschutz-Grundverordnung (DSGVO) regelt das Prinzip „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ („Privacy by Design“ und „Privacy by Default“). Kernpunkte von Artikel 25 DSGVO: 1. **Datenschutz durch Technikgestaltung**: Verantwortliche müssen bereits bei der Entwicklung und Auswahl von Technologien und Prozessen geeignete technische und organisatorische Maßnahmen treffen, um die Datenschutzgrundsätze (z. B. Datenminimierung, Integrität, Vertraulichkeit) wirksam umzusetzen. 2. **Datenschutzfreundliche Voreinstellungen**: Es muss sichergestellt werden, dass standardmäßig nur die personenbezogenen Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind. Das betrifft insbesondere die Menge der erhobenen Daten, den Umfang ihrer Verarbeitung, die Speicherfrist und ihre Zugänglichkeit. 3. **Berücksichtigung von Stand der Technik und Kosten**: Bei der Auswahl der Maßnahmen sind der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Ziel von Artikel 25 ist es, Datenschutz von Anfang an in Systeme und Prozesse zu integrieren und nicht erst nachträglich zu berücksichtigen. Den vollständigen Wortlaut findest du hier: [Artikel 25 DSGVO (eur-lex.europa.eu)](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679#d1e2202-1-1)

Das DSGVO-Risiko bei diesem Vorgehen ist als **erhöht** einzustufen, da mehrere datenschutzrechtlich relevante Aspekte betroffen sind: **1. Personenbezogene Daten:** Fotos, auf denen Personen erkennbar sind, gelten als personenbezogene Daten im Sinne der DSGVO. Auch im B2B-Kontext ist die DSGVO anwendbar, da es um natürliche Personen geht. **2. Rechtsgrundlage:** Für das Anfertigen und Verarbeiten (Speichern, Teilen) der Bilder ist eine Rechtsgrundlage erforderlich. In der Regel ist dies die **Einwilligung** der abgebildeten Personen (Art. 6 Abs. 1 lit. a DSGVO). Diese muss freiwillig, informiert und nachweisbar erfolgen. **3. Information und Transparenz:** Die betroffenen Personen müssen vorab über die Verarbeitung informiert werden (Art. 13 DSGVO). Dazu gehören u.a. Zweck, Speicherdauer, Empfänger und Rechte der Betroffenen. **4. Auftragsverarbeitung und Cloud-Speicherung:** OneDrive ist ein Cloud-Dienst von Microsoft ([Link](https://www.microsoft.com/de-de/microsoft-365/onedrive/online-cloud-storage)). Die Speicherung personenbezogener Daten bei einem externen Dienstleister erfordert einen **Auftragsverarbeitungsvertrag** (Art. 28 DSGVO). Zudem muss geprüft werden, wo die Daten gespeichert werden (EU/EWR oder Drittland) und ob ein angemessenes Datenschutzniveau besteht. **5. Zugang per QR-Code:** Der Zugang zu den Bildern per QR-Code muss so gestaltet sein, dass nur berechtigte Personen Zugriff erhalten. Öffentliche Freigabelinks ohne Zugangsbeschränkung sind kritisch. Es sollte eine Authentifizierung erfolgen. **6. Datensicherheit:** Die Übertragung und Speicherung der Bilder muss technisch und organisatorisch abgesichert sein (Art. 32 DSGVO). **Empfohlene Maßnahmen zur Risikominimierung:** - Vorab Einwilligungen der abgebildeten Personen einholen (schriftlich/digital). - Betroffene umfassend informieren (z.B. durch Datenschutzhinweise beim Event). - Auftragsverarbeitungsvertrag mit Microsoft abschließen. - Sicherstellen, dass die Daten in der EU/EWR gespeichert werden. - Zugang zu den Bildern nur für berechtigte Personen, z.B. durch passwortgeschützte Links. - Löschfristen festlegen und kommunizieren. **Fazit:** Ohne Einwilligung und angemessene technische sowie organisatorische Maßnahmen besteht ein erhebliches DSGVO-Risiko (Abmahnungen, Bußgelder). Mit korrekter Umsetzung lässt sich das Risiko jedoch deutlich reduzieren. Eine datenschutzrechtliche Beratung wird empfohlen.