Was ist eine Verarbeitungstätigkeit nach DSGVO?

Ja, auch Verarbeitungstätigkeiten, die nur gelegentlich oder alle paar Jahre durchgeführt werden, müssen im Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO aufgeführt werden. Die DSGVO macht keine Ausnahme für seltene oder unregelmäßige Verarbeitungsvorgänge. Entscheidend ist, dass personenbezogene Daten verarbeitet werden – unabhängig von der Häufigkeit. Das Verzeichnis soll einen vollständigen Überblick über alle Verarbeitungstätigkeiten geben, um Transparenz und Nachvollziehbarkeit zu gewährleisten. Auch seltene Vorgänge, wie z.B. eine alle fünf Jahre stattfindende Mitarbeiterbefragung, müssen daher dokumentiert werden.

Zur Erhebung einer Verarbeitungstätigkeit nach DSGVO (Datenschutz-Grundverordnung) werden typischerweise folgende Fragen gestellt, um die Anforderungen insbesondere aus Art. 30 DSGVO (Verzeichnis von Verarbeitungstätigkeiten) zu erfüllen: 1. **Wer ist Verantwortlicher?** - Name und Kontaktdaten des Verantwortlichen und ggf. des Vertreters. 2. **Wer ist ggf. Auftragsverarbeiter?** - Name und Kontaktdaten des Auftragsverarbeiters. 3. **Wer ist Datenschutzbeauftragter?** - Name und Kontaktdaten des Datenschutzbeauftragten. 4. **Wie heißt die Verarbeitungstätigkeit?** - Titel/Bezeichnung der Verarbeitungstätigkeit. 5. **Was ist der Zweck der Verarbeitung?** - Beschreibung der Zwecke, zu denen die Daten verarbeitet werden. 6. **Welche Kategorien betroffener Personen gibt es?** - Z. B. Kunden, Mitarbeiter, Lieferanten, Nutzer. 7. **Welche Kategorien personenbezogener Daten werden verarbeitet?** - Z. B. Name, Adresse, Kontaktdaten, Bankdaten, Gesundheitsdaten. 8. **Wer sind die Empfänger der Daten?** - Interne und externe Empfänger, z. B. Dienstleister, Behörden. 9. **Werden Daten in Drittländer übermittelt?** - Falls ja: In welche Länder und auf welcher Rechtsgrundlage? 10. **Wie lange werden die Daten gespeichert?** - Angaben zu Löschfristen oder Kriterien für die Festlegung der Speicherdauer. 11. **Welche technischen und organisatorischen Maßnahmen werden getroffen?** - Beschreibung der Maßnahmen zum Schutz der Daten (z. B. Verschlüsselung, Zugriffskontrolle). 12. **Gibt es eine Rechtsgrundlage für die Verarbeitung?** - Z. B. Einwilligung, Vertragserfüllung, gesetzliche Verpflichtung, berechtigtes Interesse. 13. **Gibt es eine automatisierte Entscheidungsfindung oder Profiling?** - Falls ja: Beschreibung und Auswirkungen. Diese Fragen helfen, alle relevanten Informationen für das Verzeichnis der Verarbeitungstätigkeiten gemäß DSGVO zu erfassen. Das Verzeichnis muss auf Anfrage der Aufsichtsbehörde vorgelegt werden können. Weitere Informationen findest du direkt im [Wortlaut von Art. 30 DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

Für die Erstellung eines Verarbeitungsverzeichnisses gemäß Art. 30 DSGVO können folgende Arbeitspakete sinnvoll sein: 1. **Projektvorbereitung und Zieldefinition** - Verantwortlichkeiten festlegen - Ziele und Umfang des Verzeichnisses definieren 2. **Informationssammlung** - Erhebung aller Geschäftsprozesse, in denen personenbezogene Daten verarbeitet werden - Identifikation der verantwortlichen Abteilungen und Ansprechpartner 3. **Prozesserhebung und -dokumentation** - Detaillierte Erfassung der einzelnen Verarbeitungstätigkeiten (Zweck, Kategorien betroffener Personen und Daten, Empfänger, Übermittlungen in Drittländer, Löschfristen, technische und organisatorische Maßnahmen) - Nutzung von Fragebögen oder Interviews zur Datenerhebung 4. **Strukturierung und Erstellung des Verzeichnisses** - Zusammenführung und Strukturierung der gesammelten Informationen - Erstellung des Verzeichnisses in der geforderten Form (z. B. Excel, spezielle Software) 5. **Abstimmung und Validierung** - Überprüfung der Inhalte mit den Fachabteilungen - Korrekturen und Ergänzungen einarbeiten 6. **Freigabe und Dokumentation** - Endgültige Freigabe durch die verantwortliche Stelle (z. B. Datenschutzbeauftragter) - Ablage und Sicherstellung der Verfügbarkeit für Aufsichtsbehörden 7. **Schulung und Sensibilisierung** - Information und Schulung der Mitarbeitenden über das Verarbeitungsverzeichnis und deren Mitwirkungspflichten 8. **Regelmäßige Aktualisierung** - Festlegung eines Prozesses zur regelmäßigen Überprüfung und Aktualisierung des Verzeichnisses Diese Arbeitspakete können je nach Unternehmensgröße und Komplexität angepasst werden.

Ja, E-Mail ist im datenschutzrechtlichen Sinne eine Verarbeitungstätigkeit. Nach der Datenschutz-Grundverordnung (DSGVO) ist jede Tätigkeit, bei der personenbezogene Daten erhoben, gespeichert, übermittelt oder anderweitig verarbeitet werden, eine Verarbeitungstätigkeit. Da beim Versenden, Empfangen und Speichern von E-Mails häufig personenbezogene Daten verarbeitet werden (z. B. Name, E-Mail-Adresse, Inhalte), gilt E-Mail-Kommunikation als Verarbeitungstätigkeit und muss entsprechend im Verzeichnis von Verarbeitungstätigkeiten dokumentiert werden.

Das Trennkriterium für eine Verarbeitungstätigkeit nach der Datenschutz-Grundverordnung (DSGVO) bezieht sich darauf, wie einzelne Verarbeitungsvorgänge voneinander abgegrenzt werden, um sie als eigenständige „Verarbeitungstätigkeit“ zu dokumentieren. Eine Verarbeitungstätigkeit im Sinne der DSGVO ist ein zusammenhängender Vorgang oder eine Gruppe von Vorgängen, bei denen personenbezogene Daten für einen bestimmten Zweck verarbeitet werden. Das zentrale Trennkriterium ist daher der **Zweck der Verarbeitung**. **Wichtige Aspekte:** - **Gleicher Zweck:** Alle Verarbeitungsvorgänge, die demselben Zweck dienen (z. B. Lohnabrechnung, Kundenverwaltung), werden als eine Verarbeitungstätigkeit betrachtet. - **Unterschiedliche Zwecke:** Werden Daten für verschiedene Zwecke verarbeitet (z. B. Personalverwaltung vs. Marketing), handelt es sich um getrennte Verarbeitungstätigkeiten. - **Technische oder organisatorische Trennung:** Auch unterschiedliche technische Systeme oder organisatorische Abläufe können ein Indiz für verschiedene Verarbeitungstätigkeiten sein, sind aber nachrangig gegenüber dem Zweck. **Beispiel:** - Die Verarbeitung von Mitarbeiterdaten zur Gehaltsabrechnung ist eine eigene Verarbeitungstätigkeit. - Die Verarbeitung derselben Daten für die Zutrittskontrolle ist eine andere Verarbeitungstätigkeit, da der Zweck ein anderer ist. **Fazit:** Das maßgebliche Trennkriterium für eine Verarbeitungstätigkeit nach DSGVO ist der **Verarbeitungszweck**. Jede Verarbeitung personenbezogener Daten für einen eigenständigen Zweck gilt als eigene Verarbeitungstätigkeit und muss entsprechend im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden. Weitere Informationen findest du z. B. beim [BfDI](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitungstaetigkeiten/Verarbeitungstaetigkeiten.html) oder bei der [BayLDA](https://www.lda.bayern.de/de/verarbeitungstaetigkeiten.html).

IT-Sicherheit selbst ist keine Verarbeitungstätigkeit im Sinne der Datenschutz-Grundverordnung (DSGVO). Einestätigkeit beschreibt einen Vorgang oder eine Reihe von Vorgängen im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Speichern, Übermitteln oder Löschen dieser Daten. IT-Sicherheitsmaßnahmen (z. B. Firewalls, Verschlüsselung, Zugriffskontrollen) dienen dazu, die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Sie sind also unterstützende Maßnahmen, die im Rahmen von Verarbeitungstätigkeiten eingesetzt werden, aber keine eigenständige Verarbeitungstätigkeit darstellen. In einem Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO werden die eigentlichen Prozesse (z. B. Lohnabrechnung, Kundenverwaltung) dokumentiert. Die dabei eingesetzten IT-Sicherheitsmaßnahmen werden in der Regel als technische und organisatorische Maßnahmen (TOM) separat beschrieben. Zusammengefasst: IT-Sicherheit ist keine Verarbeitungstätigkeit, sondern eine Maßnahme zum Schutz der Verarbeitungstätigkeiten.

Ja, im Sinne der Datenschutz-Grundverordnung (DSGVO) kann die Beschaffung als Verarbeitungstätigkeit gelten, sofern dabei personenbezogene Daten verarbeitet werden. **Begründung:** Die DSGVO definiert „Verarbeitung“ sehr weit und umfasst jeden Vorgang im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Offenlegen, Übermitteln, Verknüpfen, Einschränken, Löschen oder Vernichten. **Beispiel:** Wenn im Rahmen der Beschaffung (z. B. Einkauf von Waren oder Dienstleistungen) personenbezogene Daten von Ansprechpartnern bei Lieferanten, Mitarbeitern oder anderen natürlichen Personen verarbeitet werden (z. B. Name, Kontaktdaten, Bankverbindung), handelt es sich um eine Verarbeitungstätigkeit. **Praxis:** In vielen Unternehmen wird die Beschaffung daher als eigene Verarbeitungstätigkeit im Verzeichnis der Verarbeitungstätigkeiten dokumentiert. **Fazit:** Beschaffung ist dann eine Verarbeitungstätigkeit im Sinne der DSGVO, wenn dabei personenbezogene Daten verarbeitet werden.

Hier sind einige einfache Ja/Nein-Fragen zum DSGVO-Datenlebenszyklus: 1. Werden personenbezogene Daten erhoben? 2. Werden die betroffenen Personen über die Datenerhebung informiert? 3. Gibt es eine Einwilligung zur Datenverarbeitung? 4. Werden die Daten sicher gespeichert? 5. Werden die Daten regelmäßig aktualisiert? 6. Haben die betroffenen Personen Zugriff auf ihre Daten? 7. Können die Daten auf Anfrage gelöscht werden? 8. Werden die Daten an Dritte weitergegeben? 9. Gibt es eine Dokumentation der Datenverarbeitung? 10. Werden die Daten nach Ablauf der Aufbewahrungsfrist gelöscht?

Miro hat Maßnahmen ergriffen, um die Anforderungen der Europäischen Datenschutzgrundverordnung (DSGVO) zu erfüllen. Dazu gehören: 1. **Datenverarbeitung**: Miro informiert die Nutzer darüber, wie ihre Daten verarbeitet werden, und stellt sicher, dass die Verarbeitung auf einer rechtlichen Grundlage beruht, wie z.B. Einwilligung oder berechtigtem Interesse. 2. **Transparenz**: Miro bietet eine klare Datenschutzerklärung, die erklärt, welche Daten gesammelt werden, zu welchem Zweck und wie lange sie gespeichert werden. 3. **Nutzerrechte**: Miro ermöglicht es Nutzern, ihre Rechte gemäß der DSGVO auszuüben, einschließlich des Rechts auf Auskunft, Berichtigung, Löschung und Widerspruch gegen die Verarbeitung ihrer Daten. 4. **Datensicherheit**: Miro implementiert technische und organisatorische Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten und sie vor unbefugtem Zugriff zu schützen. 5. **Datenübertragbarkeit**: Miro ermöglicht es Nutzern, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. 6. **Auftragsverarbeitung**: Wenn Miro Drittanbieter zur Verarbeitung von Daten einsetzt, stellt das Unternehmen sicher, dass diese ebenfalls die DSGVO einhalten und entsprechende Verträge zur Auftragsverarbeitung abgeschlossen werden. Für detaillierte Informationen zu den Datenschutzpraktiken von Miro ist es ratsam, die offizielle Datenschutzerklärung auf der Miro-Website zu konsultieren.

Ein Kooperationsverfahren im Sinne der Datenschutz-Grundverordnung (DSGVO) bezieht sich auf die Zusammenarbeit zwischen verschiedenen Datenschutzbehörden der EU, insbesondere wenn es um grenzüberschreitende Datenverarbeitungen geht. Dieses Verfahren wird in Artikel 60 der DSGVO beschrieben und dient dazu, eine einheitliche Anwendung der Datenschutzvorschriften in der gesamten EU zu gewährleisten. Wenn ein Unternehmen in mehreren EU-Mitgliedstaaten tätig ist und dort personenbezogene Daten verarbeitet, ist die zuständige Aufsichtsbehörde in dem Land, in dem das Unternehmen seinen Hauptsitz hat, für die Überwachung der Datenverarbeitung verantwortlich. Bei grenzüberschreitenden Fällen müssen die beteiligten Aufsichtsbehörden zusammenarbeiten, um sicherzustellen, dass die Rechte der betroffenen Personen gewahrt bleiben und die Vorschriften der DSGVO eingehalten werden. Das Kooperationsverfahren umfasst unter anderem den Austausch von Informationen, die Konsultation zwischen den Behörden und die Möglichkeit, gemeinsame Entscheidungen zu treffen. Ziel ist es, eine kohärente und konsistente Anwendung des Datenschutzrechts in der gesamten EU zu fördern.