Sind Verfahrensverzeichnis und Verzeichnis von Verarbeitungstätigkeiten nach DSGVO identisch?

Ein Verzeichnis aller Verarbeitungstätigkeiten nach Art. 30 DSGVO (Datenschutz-Grundverordnung) ist ein zentrales Dokumentationsinstrument für Unternehmen und Organisationen, die personenbezogene Daten verarbeiten. Es dient dazu, die Einhaltung der Datenschutzvorschriften nachzuweisen und den Aufsichtsbehörden einen Überblick über die Datenverarbeitungsprozesse zu geben. Nach Art. 30 Abs. 1 DSGVO muss das Verzeichnis folgende Angaben enthalten: 1. **Name und Kontaktdaten** des Verantwortlichen (und ggf. seines Vertreters) sowie des Datenschutzbeauftragten. 2. **Zwecke der Verarbeitung** – also, warum die Daten verarbeitet werden. 3. **Beschreibung der Kategorien betroffener Personen** (z. B. Kunden, Mitarbeiter) und der **Kategorien personenbezogener Daten** (z. B. Name, Adresse, Kontodaten). 4. **Kategorien von Empfängern**, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen. 5. **Übermittlungen von personenbezogenen Daten an ein Drittland** oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands bzw. der internationalen Organisation und der Dokumentierung geeigneter Garantien. 6. **Vorgesehene Fristen für die Löschung** der verschiedenen Datenkategorien, soweit möglich. 7. **Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen** nach Art. 32 DSGVO (z. B. Verschlüsselung, Zugangskontrollen). Für Auftragsverarbeiter (Dienstleister, die im Auftrag Daten verarbeiten) sind die Anforderungen in Art. 30 Abs. 2 DSGVO geregelt. Das Verzeichnis muss dann insbesondere folgende Angaben enthalten: - Name und Kontaktdaten des Auftragsverarbeiters und ggf. jedes Verantwortlichen, in dessen Auftrag er tätig ist. - Die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden. - Übermittlungen von Daten an Drittländer oder internationale Organisationen. - Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen. Das Verzeichnis muss schriftlich geführt werden, auch in elektronischer Form ist zulässig, und ist der Aufsichtsbehörde auf Anfrage vorzulegen. Weitere Informationen findest du direkt im Gesetzestext: [Art. 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679#d1e2207-1-1)

Die IT-Leitung ist in Unternehmen häufig für verschiedene Verarbeitungstätigkeiten im Sinne der Datenschutz-Grundverordnung (DSGVO) verantwortlich. Verarbeitungstätigkeiten sind alle Vorgänge im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Speichern, Übermitteln, Löschen oder Auswerten dieser Daten. Typische Verarbeitungstätigkeiten der IT-Leitung nach DSGVO sind: 1. **Benutzer- und Zugriffsverwaltung** Verwaltung von Benutzerkonten, Passwörtern und Zugriffsrechten auf IT-Systeme, um sicherzustellen, dass nur berechtigte Personen Zugriff auf personenbezogene Daten haben. 2. **Betrieb von IT-Systemen und Netzwerken** Betrieb und Wartung von Servern, Datenbanken, E-Mail-Systemen und anderen IT-Infrastrukturen, auf denen personenbezogene Daten verarbeitet werden. 3. **Datensicherung und Backup** Durchführung und Verwaltung von Backups, um Datenverluste zu vermeiden und die Wiederherstellung personenbezogener Daten zu ermöglichen. 4. **IT-Support und Fehlerbehebung** Bearbeitung von Supportanfragen, bei denen personenbezogene Daten eingesehen oder verarbeitet werden können. 5. **Überwachung und Protokollierung** Einsatz von Monitoring- und Logging-Systemen zur Überwachung der IT-Infrastruktur, um Sicherheitsvorfälle zu erkennen und zu dokumentieren. 6. **Software- und Systemaktualisierungen** Durchführung von Updates und Patches, um Sicherheitslücken zu schließen und den Schutz personenbezogener Daten zu gewährleisten. 7. **Löschung und Vernichtung von Daten** Sicherstellung der datenschutzkonformen Löschung oder Vernichtung personenbezogener Daten, z. B. bei Aussonderung von Datenträgern. 8. **Verwaltung mobiler Geräte** Verwaltung und Absicherung von Laptops, Smartphones und anderen mobilen Endgeräten, auf denen personenbezogene Daten verarbeitet werden. 9. **Technische und organisatorische Maßnahmen (TOMs)** Umsetzung und Überwachung von Maßnahmen zum Schutz personenbezogener Daten gemäß Art. 32 DSGVO. **Dokumentationspflicht:** Nach Art. 30 DSGVO muss die IT-Leitung (bzw. das Unternehmen) ein Verzeichnis von Verarbeitungstätigkeiten führen, in dem alle relevanten Prozesse dokumentiert sind. **Beispiel für eine Verarbeitungstätigkeit im Verzeichnis:** - **Zweck:** Verwaltung von Benutzerkonten - **Kategorien betroffener Personen:** Mitarbeiter - **Kategorien personenbezogener Daten:** Name, Benutzername, E-Mail-Adresse, Zugriffsrechte - **Empfänger:** IT-Abteilung, ggf. externe IT-Dienstleister - **Löschfristen:** Nach Ausscheiden des Mitarbeiters, gemäß Löschkonzept - **Technische und organisatorische Maßnahmen:** Zugriffsbeschränkungen, Verschlüsselung, Protokollierung **Weitere Informationen:** - [DSGVO – Art. 30 Verzeichnis von Verarbeitungstätigkeiten](https://dsgvo-gesetz.de/art-30-dsgvo/) - [BfDI: Verarbeitungstätigkeiten](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitungstaetigkeiten/verarbeitungstaetigkeiten-node.html) Die konkrete Ausgestaltung hängt von der jeweiligen Organisation und den eingesetzten IT-Systemen ab.

Beispiele für Verarbeitungstätigkeiten nach DSGVO sind: 1. **Personalverwaltung**: Erfassung und Verwaltung von Mitarbeiterdaten (z.B. Lohnabrechnung, Urlaubsverwaltung). 2. **Kundenverwaltung**: Speicherung und Nutzung von Kundendaten für Bestellungen, Rechnungsstellung oder Kundenservice. 3. **Newsletter-Versand**: Erhebung und Nutzung von E-Mail-Adressen für den Versand von Newslettern. 4. **Videoüberwachung**: Aufzeichnung und Speicherung von Bilddaten zur Sicherung von Gebäuden. 5. **Bewerbermanagement**: Verarbeitung von Bewerberdaten im Rahmen von Bewerbungsverfahren. 6. **Zutrittskontrolle**: Erfassung von Daten zur Kontrolle des Zugangs zu Gebäuden oder IT-Systemen. 7. **Veranstaltungsmanagement**: Erhebung und Verwaltung von Teilnehmerdaten bei Veranstaltungen. 8. **Lieferantenverwaltung**: Speicherung und Nutzung von Daten von Lieferanten und Dienstleistern. 9. **Nutzerverwaltung von IT-Systemen**: Verwaltung von Benutzerkonten und Zugriffsrechten. 10. **Kundenbefragungen**: Erhebung und Auswertung von Daten im Rahmen von Umfragen. Jede dieser Tätigkeiten erfordert gemäß Art. 30 DSGVO ein Verzeichnis der Verarbeitungstätigkeiten. Weitere Informationen findest du direkt bei der [Europäischen Kommission](https://ec.europa.eu/info/law/law-topic/data-protection_de).

Ob ein Whistleblower-Anbieter als Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung (DSGVO) gilt, hängt davon ab, wie die Dienstleistung ausgestaltet ist. **Grundsätzliches:** Ein Auftragsverarbeiter ist nach Art. 4 Nr. 8 DSGVO eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Verantwortliche (z. B. ein Unternehmen, das ein Hinweisgebersystem einführt) entscheidet über Zweck und Mittel der Datenverarbeitung. **Typischer Fall:** Ein externer Whistleblower-Anbieter stellt meist eine technische Plattform (z. B. ein Hinweisgebersystem) zur Verfügung und verarbeitet dabei personenbezogene Daten (z. B. Name des Hinweisgebers, beschuldigte Personen, Inhalte der Meldung) im Auftrag des Unternehmens. In diesem Fall ist der Anbieter in der Regel ein Auftragsverarbeiter, da er die Daten nur im Auftrag und nach Weisung des Unternehmens verarbeitet. **Ausnahme:** Handelt der Anbieter eigenverantwortlich, z. B. indem er selbst über die Zwecke und Mittel der Datenverarbeitung entscheidet (etwa bei einer anonymen Ombudsstelle, die eigenständig Fälle prüft und entscheidet, ob und wie sie weitergeleitet werden), könnte er als (gemeinsamer) Verantwortlicher gelten. **Fazit:** In den meisten Fällen ist ein Whistleblower-Anbieter ein Auftragsverarbeiter im Sinne der DSGVO. Es sollte jedoch immer im Einzelfall geprüft werden, wie die Rollenverteilung konkret ausgestaltet ist. Weitere Informationen: - [Art. 4 Nr. 8 DSGVO – Definition Auftragsverarbeiter](https://dsgvo-gesetz.de/art-4-dsgvo/) - [Hinweise der Datenschutzkonferenz zu Whistleblowing-Systemen (PDF)](https://www.datenschutzkonferenz-online.de/media/dskb/2022_24_Whistleblowing.pdf)

Eine Datenverarbeitung im öffentlichen Dienst ist nach der Datenschutz-Grundverordnung (DSGVO) rechtmäßig, wenn mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Bedingungen erfüllt ist. Für Behörden und öffentliche Stellen sind insbesondere folgende Rechtsgrundlagen relevant: 1. **Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO):** Die Verarbeitung ist rechtmäßig, wenn sie zur Erfüllung einer gesetzlichen Pflicht erforderlich ist, der die Behörde unterliegt. 2. **Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt (Art. 6 Abs. 1 lit. e DSGVO):** Die Verarbeitung ist zulässig, wenn sie zur Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die der Behörde übertragen wurde. Die jeweilige Aufgabe muss durch ein Gesetz oder eine andere Rechtsvorschrift festgelegt sein. 3. **Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO):** Auch im öffentlichen Dienst kann eine Verarbeitung auf einer freiwilligen, informierten und eindeutigen Einwilligung der betroffenen Person beruhen. Weitere Voraussetzungen: - Die Verarbeitung muss auf das notwendige Maß beschränkt sein (Datenminimierung). - Es müssen angemessene technische und organisatorische Maßnahmen zum Schutz der Daten getroffen werden. - Die Betroffenenrechte (z. B. Auskunft, Berichtigung, Löschung) müssen gewährleistet sein. **Zusätzlich:** In Deutschland konkretisieren das Bundesdatenschutzgesetz (BDSG) und die jeweiligen Landesdatenschutzgesetze die Vorgaben der DSGVO für öffentliche Stellen. **Fazit:** Im öffentlichen Dienst ist eine Datenverarbeitung rechtmäßig, wenn sie auf einer gesetzlichen Grundlage, einer öffentlichen Aufgabe oder einer Einwilligung beruht und die weiteren Vorgaben der DSGVO eingehalten werden. Weitere Informationen findest du direkt bei der [DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) und beim [BfDI](https://www.bfdi.bund.de/DE/Home/home_node.html).

Nach der Datenschutz-Grundverordnung (DSGVO) ist die Einwilligung der Kunden im Maklerbüro insbesondere in folgenden Fällen und nach bestimmten Vorschriften erforderlich: **1. Artikel 6 DSGVO – Rechtmäßigkeit der Verarbeitung:** Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Bedingungen erfüllt ist. Die Einwilligung ist eine dieser Bedingungen (Art. 6 Abs. 1 lit. a DSGVO). Das bedeutet: Immer dann, wenn keine andere Rechtsgrundlage (z.B. Vertragserfüllung, gesetzliche Verpflichtung, berechtigtes Interesse) greift, ist eine ausdrückliche Einwilligung der betroffenen Person erforderlich. **2. Artikel 7 DSGVO – Bedingungen für die Einwilligung:** Hier werden die Anforderungen an die Einwilligung geregelt. Sie muss freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben werden. Die betroffene Person muss ihre Einwilligung jederzeit widerrufen können. **3. Artikel 9 DSGVO – Verarbeitung besonderer Kategorien personenbezogener Daten:** Für die Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) ist grundsätzlich eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO erforderlich, sofern keine andere Ausnahme greift. **Typische Anwendungsfälle im Maklerbüro:** - Weitergabe von Kundendaten an Dritte (z.B. Banken, Versicherungen, andere Makler), sofern dies nicht zur Vertragserfüllung notwendig ist. - Nutzung von Kundendaten zu Werbezwecken (z.B. Newsletter, Angebote). - Veröffentlichung von Kundendaten (z.B. Referenzobjekte mit Kundennamen). - Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten bei Versicherungsanfragen). **Wichtige Hinweise:** - Die Einwilligung muss dokumentiert werden. - Sie muss jederzeit widerrufbar sein. - Die Information über die Datenverarbeitung muss transparent und verständlich erfolgen (Art. 13 und 14 DSGVO). **Weitere Informationen:** [DSGVO im Volltext (eur-lex.europa.eu)](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) Zusammengefasst: Die Einwilligung ist immer dann erforderlich, wenn keine andere Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten besteht oder wenn besondere Datenkategorien betroffen sind. Die maßgeblichen Vorschriften sind Art. 6, Art. 7 und ggf. Art. 9 DSGVO.

Nachweise über die Bearbeitung von Anfragen auf Auskunft, Berichtigung oder Löschung nach DSGVO werden in der Regel durch eine sorgfältige Dokumentation geführt. Die DSGVO verpflichtet Verantwortliche, die Einhaltung der Datenschutzgrundsätze nachweisen zu können (Art. 5 Abs. 2 DSGVO, Rechenschaftspflicht). Das bedeutet konkret: 1. **Erfassung der Anfrage:** Jede eingehende Anfrage (z. B. per E-Mail, Brief, Online-Formular) sollte mit Datum, Art der Anfrage (Auskunft, Berichtigung, Löschung) und Identität des Anfragenden dokumentiert werden. 2. **Bearbeitungsprozess:** Die einzelnen Bearbeitungsschritte (z. B. Identitätsprüfung, Prüfung der Daten, interne Kommunikation, Entscheidung über die Anfrage) werden mit Datum und verantwortlicher Person festgehalten. 3. **Ergebnis und Antwort:** Die ergriffenen Maßnahmen (z. B. Daten wurden berichtigt, gelöscht oder Auskunft erteilt) sowie die Form und das Datum der Antwort an die betroffene Person werden dokumentiert. Auch eine eventuelle Ablehnung mit Begründung sollte festgehalten werden. 4. **Aufbewahrung der Nachweise:** Die Dokumentation sollte so aufbewahrt werden, dass sie im Falle einer Prüfung durch die Aufsichtsbehörde vorgelegt werden kann. Die Aufbewahrungsdauer richtet sich nach den allgemeinen Verjährungsfristen und dem Grundsatz der Datenminimierung. **Typische Dokumentationsformen:** - Datenschutzmanagement-Software - Tabellen (z. B. Excel) - Protokolle oder Aktenvermerke - Einträge im Ticketsystem **Wichtig:** Die Dokumentation darf keine sensiblen Daten enthalten, die über das zur Nachweisführung Erforderliche hinausgehen. **Rechtliche Grundlage:** - Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) - Art. 12 Abs. 3 DSGVO (Fristen und Nachweis der Bearbeitung) Weitere Informationen findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [BfDI](https://www.bfdi.bund.de/).

Ein DSGVO-Ordner dient dazu, bei Prüfungen durch Aufsichtsbehörden nachzuweisen, dass die Anforderungen der Datenschutz-Grundverordnung (DSGVO) eingehalten werden. Folgende Dokumente und Nachweise sollten typischerweise enthalten sein: 1. **Verzeichnis von Verarbeitungstätigkeiten** Nach Art. 30 DSGVO ist dies für die meisten Unternehmen Pflicht. Es listet alle Prozesse auf, bei denen personenbezogene Daten verarbeitet werden. 2. **Datenschutzrichtlinien und -konzepte** Interne Richtlinien, wie mit personenbezogenen Daten umgegangen wird. 3. **Auftragsverarbeitungsverträge (AVV)** Verträge mit Dienstleistern, die personenbezogene Daten im Auftrag verarbeiten (z.B. IT-Dienstleister, Cloud-Anbieter). 4. **Technische und organisatorische Maßnahmen (TOMs)** Dokumentation der Maßnahmen zum Schutz personenbezogener Daten (z.B. Zutrittskontrolle, Verschlüsselung, Backup). 5. **Mitarbeiterschulungen und -verpflichtungen** Nachweise über Datenschutzschulungen und Verpflichtungserklärungen der Mitarbeiter auf das Datengeheimnis. 6. **Informationspflichten und Einwilligungen** Muster und Nachweise für die Erfüllung der Informationspflichten gegenüber Betroffenen (z.B. Datenschutzerklärungen, Einwilligungsformulare). 7. **Meldung von Datenschutzverletzungen** Dokumentation von Datenschutzvorfällen und deren Meldung an die Aufsichtsbehörde (Art. 33 DSGVO). 8. **Betroffenenrechte** Nachweise über die Bearbeitung von Anfragen auf Auskunft, Berichtigung, Löschung etc. 9. **Datenschutz-Folgenabschätzungen (DSFA)** Falls erforderlich, Dokumentation der DSFA für risikoreiche Verarbeitungen. 10. **Kontakt zum Datenschutzbeauftragten** Benennung und Kontaktdaten des Datenschutzbeauftragten (sofern erforderlich). 11. **Sonstige relevante Dokumente** Z.B. Löschkonzepte, Protokolle von Datenschutz-Audits, Verfahrensanweisungen. **Tipp:** Der Ordner kann sowohl physisch als auch digital geführt werden. Wichtig ist die Aktualität und Vollständigkeit der Unterlagen. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder dem [BfDI](https://www.bfdi.bund.de/).

Ja, das ist möglich und rechtlich zulässig. Nach der Datenschutz-Grundverordnung (DSGVO) hat jede betroffene Person das Recht auf Auskunft darüber, ob und welche personenbezogenen Daten über sie verarbeitet oder an Dritte (wie z.B. ein Inkassounternehmen) übermittelt wurden (Art. 15 DSGVO). **Widerspruch gegen die Datenübermittlung:** Ein Kunde kann der Übermittlung seiner Daten an ein Inkassounternehmen widersprechen. Allerdings ist ein solcher Widerspruch nicht immer wirksam, wenn die Übermittlung zur Wahrung berechtigter Interessen des Unternehmens erforderlich ist (z.B. zur Durchsetzung offener Forderungen, Art. 6 Abs. 1 lit. f DSGVO). Der Widerspruch muss geprüft werden, kann aber die Übermittlung nicht grundsätzlich verhindern, wenn ein berechtigtes Interesse vorliegt. **Auskunftsanspruch:** Der Kunde kann Auskunft verlangen, welche Daten an das Inkassounternehmen übermittelt wurden. Du bist verpflichtet, ihm mitzuteilen: - Welche personenbezogenen Daten übermittelt wurden, - an welches Inkassounternehmen die Daten übermittelt wurden, - zu welchem Zweck die Übermittlung erfolgte, - auf welcher Rechtsgrundlage die Übermittlung erfolgte. **Fazit:** Der Kunde kann also sowohl widersprechen (was aber nicht immer zur Unterlassung der Übermittlung führt) als auch eine DSGVO-Auskunft verlangen. Die Auskunft musst du erteilen. Weitere Informationen zur DSGVO findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).

Ja, auch Verarbeitungstätigkeiten, die nur gelegentlich oder alle paar Jahre durchgeführt werden, müssen im Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO aufgeführt werden. Die DSGVO macht keine Ausnahme für seltene oder unregelmäßige Verarbeitungsvorgänge. Entscheidend ist, dass personenbezogene Daten verarbeitet werden – unabhängig von der Häufigkeit. Das Verzeichnis soll einen vollständigen Überblick über alle Verarbeitungstätigkeiten geben, um Transparenz und Nachvollziehbarkeit zu gewährleisten. Auch seltene Vorgänge, wie z.B. eine alle fünf Jahre stattfindende Mitarbeiterbefragung, müssen daher dokumentiert werden.