Beispiele von Verarbeitungstätigkeiten in einer Behörde nach DSGVO

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Tipp: Sie wollen vorausgefüllte Vorlagen vom Profi und die DSGVO endlich abschließen?

Mit Einführung der DSGVO müssen vornehmlich Unternehmen ihre existierenden Datenschutzkonzepte und -vorgänge auf die zahlreichen neuen Pflichten hin überprüfen. Doch die Grundsätze der DSGVO gelten nicht nur für Unternehmen, sondern genauso auch für Behörden, Gemeinden und andere öffentliche Stellen sowie der öffentliche Dienst allgemein.

Leider existieren noch immer wenig praxisnahe Informationen zur Umsetzung der DSGVO für öffentliche Stellen. Dieser Artikel soll Ihnen deshalb einen informativen Überblick darüber verschaffen, was innerhalb öffentlicher Stellen bei der Verarbeitung personenbezogener Daten und deren Dokumentation besonders beachtet werden muss.

Nicht-öffentliche und öffentliche Stellen im Rahmen der DSGVO

Das Ziel der DSGVO ist es, natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu schützen. Während das BDSG (neu) zwar auch das gleiche Ziel verfolgt, unterteilt es die Datenverarbeiter in öffentliche und in nicht-öffentliche Stellen.

Was sind öffentliche Stellen?

Als öffentliche Stellen gelten demnach in Artikel 2 BDSG (neu):

  • alle Behörden,
  • Organe der Rechtspflege
  • andere öffentlich-rechtlich organisierte Einrichtungen des Bundes oder Landes,
  • Körperschaften,
  • Anstalten und Stiftungen des öffentlichen Rechts,
  • Gemeinden oder Gemeindeverbände.

Unterschiede in der Umsetzung der DSGVO bei Gemeinden und anderen Behörden

Diese Unterscheidung nimmt die DSGVO nicht vor. Ihr Anwendungsbereich erstreckt sich auf beide Stellen gleichermaßen. Gibt es dann Unterschiede für die Umsetzung der DSGVO zwischen öffentlichen und nicht-öffentlichen Stellen?

Grundsätzlich müssen öffentliche Stellen gleichermaßen die Pflichten und Grundsätze der DSGVO etablieren:

Deren Befolgung ist nachzuweisen und zu dokumentieren, sowie ein geeignetes Datenschutz-Managementsystem zu etablieren welches z.B. über ein Datenschutzkonzept formalisiert werden kann.

Außerdem braucht die Verarbeitung auch eine zulässige Rechtsgrundlage. In Betracht kommen grundsätzlich alle in Artikel 6 DSGVO genannten Rechtsgrundlagen. Vor allem die Rechtsgrundlagen der Erfüllung einer rechtlichen Verpflichtung und der Wahrnehmung einer Aufgabe im öffentlichen Interesse oder durch die öffentliche Gewalt sind regelmäßig einschlägig. Einwilligungen, wie sie sich nicht-öffentliche Stellen oft einholen, spielen eine eher untergeordnete Rolle.

Wichtig zu wissen ist, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es ihr Zweck erfordert,

  • es sei denn, dass sie für im öffentlichen Interesse liegende Archivzwecke verarbeitet werden (Artikel 5 DSGVO)
  • oder, dass der Betroffene sein Recht auf Datenübertragbarkeit nicht ausüben kann, wenn die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder durch die öffentliche Gewalt erfolgt (Artikel 20 DSGVO).

Zudem müssen spätestens jetzt Behörden und öffentliche Stellen einen Datenschutzbeauftragten benennen (Artikel 37 Absatz 1 Buchstabe a DSGVO).

Auch Behörden, Gemeinden usw. müssen ein Verzeichnis von Verarebitungstätigkeiten erstellen.

Verarbeiten öffentliche Stellen personenbezogene Daten nicht nur gelegentlich, dann sind auch sie dazu verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen (Artikel 30 DSGVO).

Damit zeigt sich, dass für öffentliche Stellen explizite Regelungen in der DSGVO existieren. Diese unterscheiden sich jedoch in ihrem Wesen nicht von denen für nicht-öffentliche Stellen, sondern werden lediglich hervorgehoben. Wirklich gravierende Unterschiede gibt es nicht.

Was beim Anlegen eines Verzeichnisses für Verarbeitungstätigkeiten beachtet werden muss

Unterschiede zu Unternehmen ergeben sich jedoch vor allem in der täglichen Verarbeitungstätigkeit von Gemeinden und anderen öffentlichen Stellen. Auch sie müssen ein schriftliches Verzeichnis über ihre Datenverarbeitungen anlegen, soweit diese nicht nur gelegentlich, sondern wiederholt erfolgen. Gegebenenfalls muss das Verzeichnis auch bei der zuständigen Aufsichtsbehörde nachgewiesen werden. Ein großer Unterschied ist die verpflichtende Nennung der Rechtsgrundlagen im Verzeichnis von Verarbeitungstätigkeiten.

Artikel 30 DSGVO verpflichtet hierzu den Verantwortlichen der Datenverarbeitung der öffentlichen Stelle. Der Verantwortliche ist stets die Behörde, Einrichtung oder Stelle, die über die Zwecke und Mittel der Datenverarbeitung bestimmt- also die öffentliche Stelle als solche, vertreten durch ihren Leiter, den Vorstand oder den Bürgermeister.

Anzuführen sind alle Datenverarbeitungsvorgänge der öffentlichen Stelle:

  • unter der Bezeichnung und Beschreibung des Verfahrens,
  • des Namens und der Kontaktmöglichkeiten des Verantwortlichen und seines Datenschutzbeauftragten,
  • der Nennung des Zwecks,
  • der Datenkategorie,
  • der Betroffenenkategorie,
  • des Empfängers,
  • der Speicherdauer
  • unter Nennung der Rechtsgrundlage,
  • und ggf. der Schutzmaßnahmen zur Datensicherheit.

Dies kann in einer frei gewählten schriftlichen Form erfolgen, es bietet sich jedoch eine tabellarische Übersicht an.

Das Verzeichnis von Verarbeitungstätigkeiten ist eine wichtige Grundlage der Nachweis- und Dokumentationspflicht aus Artikel 5 Absatz 2 DSGVO, allerdings genügt es allein noch nicht. Auch die Einhaltung der Datenschutzgrundsätze und Etablierung eigener Datenschutzkonzepte, die Einhaltung angemessener Sicherheitsvorkehrungen (TOMs) oder die Vornahme der Datenschutz-Folgenabschätzung müssen ebenfalls dokumentiert werden.

Beispiele für typische Verfahren innerhalb einer Gemeinde und anderen Nicht-öffentlichen Stellen

Einwohnermeldewesen

Rechtsgrundlage: Artikel 6 Absatz 1 Satz 1 Buchstabe e DSGVO
Betroffenengruppen: Einwohner
Datenkategorien: Vor- und Zuname, Geburtsname, Titel, Geschlecht, Geburtsdaten, Adresse(n)
Empfänger / Kategorien von Empfängern: Privatpersonen und nicht-öffentliche Stellen, Rechtsanwälte, Parteien, Wählergruppen und andere Träger von Wahlvorschlägen, Mandatsträger, Presse und Rundfunk, Adressbuchverlage, Wohnungseigentümer/ Wohnungsgeber, öffentliche Stellen des Inlandes und anderer Mitgliedsstaaten der Europäischen Union
Löschfrist: nach Ablauf von fünf Jahren seit Wegzug oder Tod des Einwohners werden die gespeicherten Daten für die Dauer von 50 Jahren aufbewahrt

Praxisbeispiel:
Im Bürgeramt der Gemeinde X können sich Einwohner neu an- oder ummelden. Es werden Meldeauskünfte bearbeitet, Listen über die Einwohnerzahlen geführt und Wohnungen, sowie Einwohner identifiziert. Hierzu werden Daten der Einwohner auf Rechtsgrundlage der Wahrnehmung des öffentlichen Interesses verarbeitet (Artikel 6 Absatz 1 Satz 1 Buchstabe e DSGVO). Das sind der Vor- und Zuname, der Geburtsname, der Titel, das Geschlecht, Geburtsdaten und die aktuelle Adresse. Diese Daten werden an andere öffentliche und nicht-öffentliche Stellen des Inlandes, an Parteien oder Wählergruppen, an Religionsgemeinschaften, an die Presse, an Rechtsanwälte und Gerichte, an Adressbuchverlage und an Wohnungseigentümer bzw. Wohnungsgeber übermittelt. Daten, die nicht der Identifizierung dienen, werden nach Wegzug oder Tod des Betroffenen unverzüglich gelöscht. Nach Ablauf von fünf Jahren werden die restlichen Daten schließlich für 50 Jahre archiviert und dabei durch geeignete technische und organisatorische Maßnahmen gesichert.

Typische Verarbeitungen einer Gemeinde sind z.B. das einwohnermeldewesen.

Kulturwesen

Rechtsgrundlage: Artikel 6 Absatz 1 Satz 1 Buchstabe e DSGVO
Betroffenengruppen: Einwohner, Besucher der Gemeinde
Datenkategorien: Vor- und Zuname, Geschlecht, Geburtsdatum, Kontaktdaten, Adresse(n), Bankdaten
Empfänger / Kategorien von Empfängern: andere öffentliche Stellen des Inlandes
Löschfrist: nach Ablauf von zehn Jahren nach Wegfall des Verarbeitungszwecks werden die Daten gelöscht

Praxisbeispiel:
Weiterhin verarbeitet die Gemeinde X auch Adressdaten, den Vor- und Zunamen, das Geschlecht, das Geburtsdatum, Kontaktdaten, sowie Bankdaten der Einwohner und anderer externer Personen zum Zweck der Verwaltung von Museen und Kultureinrichtungen, Partnerschaften mit anderen Gemeinden oder Städten, der Organisation von Ausstellungen und Festen. Diese Verarbeitung stützt sich auch auf das Wahrnehmen des öffentlichen Interesses. Die Daten werden an andere öffentliche Stellen im Inland, wie andere Gemeinden oder Kultureinrichtungen weitergegeben und in zehn Jahren nach Wegfall des Zwecks gelöscht. Bis dahin sind sie durch geeignete technische und organisatorische Maßnahmen gesichert.

Steuern & Abgaben

Rechtsgrundlage: Artikel 6 Absatz 1 Satz 1 Buchstabe e DSGVO
Betroffenengruppen: Einwohner, gemeindeansässige Unternehmen
Datenkategorien: Vor- und Zuname, Geschlecht, Geburtsdaten, Kontaktdaten, Adresse(n), Bankdaten, Steuerdaten, Bonitätsdaten, ggf. die Firma
Empfänger / Kategorien von Empfängern: Amtsgerichte bzw. Vollstreckungsorgane, andere Unternehmen, Finanzämter, Banken und andere öffentliche Stellen des Inlandes
Löschfrist: nach Ablauf von zehn Jahren nach Wegfall des Verarbeitungszwecks werden die Daten gelöscht

Praxisbeispiel:
Ebenfalls auf Grundlage des Artikel 6 Absatz 1 Satz 1 Buchstabe e DSGVO verarbeitet die Gemeinde X den Vor- und Zunamen, das Geschlecht, Geburtsdaten, ggf. die Firma, die Adresse, Kontaktdaten, Bankdaten, Steuerdaten und Bonitätsdaten, um sämtliche anfallende Steuern (insbesondere die Grundsteuer, Hundesteuer oder die Gewerbesteuer) sowie Wasseranschluss-, Kanalbenutzungs- und Müllbeseitigungsgebühren zu bearbeiten. Betroffene der Verarbeitung sind Einwohner und Unternehmen, die Steuern und Abgaben an die Gemeinde X leisten müssen. Die Daten werden an Amtsgerichte bzw. Vollstreckungsorgane, an Unternehmen, an Finanzämter, an Banken und an andere öffentliche Stellen weitergeleitet. Zehn Jahre nach Zweckfortfall werden sie gelöscht und bis dahin durch geeignete technische und organisatorische Maßnahmen gesichert.

Friedhofswesen

Rechtsgrundlage: Artikel 6 Absatz 1 Satz 1 Buchstabe e DSGVO
Betroffenengruppen: Einwohner
Datenkategorien: Vor- und Zuname, Geburtsname, Geschlecht, Titel, Geburtsdaten, Sterbedaten, Kontaktdaten, Adresse
Empfänger / Kategorien von Empfängern: Amtsgerichte, Bestattungsunternehmen, statistische Ämter, andere öffentliche Stellen des Inlandes
Löschfrist: Daten des Sterberegisters werden nach 30 Jahren gelöscht, nach Ablauf von zehn Jahren nach Wegfall des Verarbeitungszwecks werden alle weiteren Daten gelöscht

Praxisbeispiel:
Die Gemeinde X verwaltet ebenfalls einen Friedhof in ihrem Gebiet und betreibt Grabpflege. Weiterhin führt sie ein Sterberegister. Hierzu werden auf Grundlage Artikel 6 Absatz 1 Satz 1 Buchstabe e DSGVO Daten der verstorbenen Einwohner und ihrer Angehöriger verarbeitet. Dazu zählen der Vor- und Zuname, ein Titel, der Geburtsname, das Geschlecht, das Geburts- und Sterbedatum, die Adresse und die Kontaktdaten. Auf Anfragen der Amtsgerichte, der Bestattungsunternehmen oder anderer öffentlicher Stellen werden diese Daten weitergeleitet. Daten des Sterberegisters werden nach 30 Jahren gelöscht, alle anderen Daten zehn Jahre nach Fortfall des Zwecks. Bis dahin sind sie durch geeignete technische und organisatorische Maßnahmen gesichert.

Folgen für Behörden und andere öffentliche Stellen

Die DSGVO ordnet eine Reihe von Sanktionen für Datenschutz-Verstöße an, insbesondere hohe Bußgelder (Artikel 83 DSGVO). Doch diese beziehen sich lediglich auf Unternehmen und nicht auf öffentliche Stellen.

Für öffentliche Stellen sollen nationale Gesetze der einzelnen Länder über die Haftung entscheiden. Die einschlägige nationale Vorschrift ist der Artikel 43 Absatz 3 BDSG (neu). Er schließt jedoch Geldsanktionen gegen Behörden und andere öffentliche Stellen konkret aus.

Bleibt es also sanktionslos, wenn Gemeinden kein oder ein unvollständiges Verzeichnis anlegen oder der Aufforderung zur Vorlage durch die Aufsichtsbehörde nicht nachkommen?
Nein, denn neben Bußgeldern existieren eine Reihe weiterer Sanktionsmöglichkeiten, die Sie bedenken müssen!

Zunächst haben Aufsichtsbehörden in Artikel 58 Absatz 2 DSGVO unter anderem folgende Befugnisse:

  • sie dürfen den Verantwortlichen der Datenverarbeitung bei einem voraussichtlichen Datenschutzverstoß warnen
  • sie dürfen den Verantwortlichen der Datenverarbeitung bei einem erfolgten Verstoß verwarnen
  • sie dürfen den Verantwortlichen der Datenverarbeitung anweisen, Anträgen des Betroffenen nachzukommen, die DS-Grundsätze zu befolgen und die Betroffenen einer Datenschutzverletzung zu informieren
  • sie dürfen die Datenverarbeitung beschränken oder gar verbieten

Hinzu kommt, dass dem Betroffenen einer Datenschutzverletzung stets ein Schadensersatzanspruch gegen den Verantwortlichen nach Artikel 82 DSGVO zusteht.

Nicht zu vergessen ist der Reputationsverlust, bei der Nichteinhaltung der Datenschutzgrundsätze.

Fazit

Auch wenn mit Einführung der DSGVO öffentliche und nicht-öffentliche Stellen weitgehend gleich behandelt und verpflichtet werden, so zeigt sich, dass sich noch besonders viele Gemeinden im Führen eines Verarbeitungsverzeichnisses unsicher sind. Sie verarbeiten eine immense Menge personenbezogener Daten und sind deshalb gehalten, ihr Verzeichnis von Verarbeitungstätigkeiten besonders exakt zu führen. Dass das wichtig ist, zeigen auch die existierenden Sanktionen gegen Behörden.
Halten Sie sich jedoch an die genannte Vorgehensweise, dann haben Sie schon viel für eine solide Dokumentation Ihrer Nachweispflichten getan!

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Tipp: Sie wollen vorausgefüllte Vorlagen vom Profi und die DSGVO endlich abschließen?

Quellen

http://www.datenschutzrecht.sachsen.de/download/Dokumentation_Themenportal_Datenschutz_28_08_2018.pdf

https://dsgvo-gesetz.de/art-30-dsgvo/

https://dsgvo-gesetz.de/art-5-dsgvo/

https://dsgvo-gesetz.de/bdsg/70-bdsg/

Über den Autor: Oliver Engel - Datenschutzexperte und Gründer von dsgvo-vorlagen.de

Oliver Engel ist ein erfahrener Datenschutzexperte und der Gründer von dsgvo-vorlagen.de. Als ausgebildeter Datenschutzbeauftragter (IHK) und Datenschutzauditor (TÜV) hat er es sich zur Aufgabe gemacht, Unternehmern praktische Tools für ihre DSGVO-Dokumentation zur Verfügung zu stellen. Seine Vorlagen basieren auf jahrelanger Erfahrung und sind tausendfach im Einsatz erprobt.

Mit seinem Hintergrund als externer Datenschutzbeauftragter, Autor eines Fachbuchs zur DSGVO und Dozent für Digitalisierung versteht Oliver Engel die Herausforderungen, vor denen Unternehmen beim Thema Datenschutz stehen. Sein Ziel ist es, mit benutzerfreundlichen, praxisorientierten Lösungen zu helfen, Dokumentations- und Rechenschaftspflichten effizient zu erfüllen.

Als Mitglied im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. bleibt Oliver Engel stets auf dem neuesten Stand der Entwicklungen im Datenschutzrecht. Seine Expertise hilft Unternehmen, ihren Datenschutz unkompliziert und effektiv umzusetzen.

Weitere Fachbeiträge zum Thema Datenschutz

Beteiligungskonzept wird in einer Gruppe von Menschen erstellt.

Das Beteiligungskonzept – Wieso Sie Ihren Datenschutzbeauftragten (DSB) immer einbinden sollten

Die Einbindung des Datenschutzbeauftragten (DSB) ist ein zentraler Baustein für die datenschutzrechtliche Compliance eines Unternehmens. Dennoch wird seine Rolle in der Praxis häufig unterschätzt oder zu spät berücksichtigt. Dies führt nicht nur zu vermeidbaren rechtlichen und operativen Risiken, sondern auch zu einem Spannungsverhältnis zwischen der Geschäftsführung, die Entscheidungen trifft und Verantwortung trägt, und dem DSB, ... Weiterlesen
Schaubild zur Definition von Künstlicher Intelligenz und ihrer Bedeutung für Unternehmen

Künstliche Intelligenz (KI) und DSGVO – Datenschutz beachten

In einer Welt, in der Künstliche Intelligenz (KI) zunehmend Einzug in den Unternehmensalltag hält, stehen Organisationen vor der Herausforderung, innovative Technologien zu nutzen und gleichzeitig den Datenschutz zu wahren. Dieser Artikel bietet einen umfassenden Überblick über die Schnittstelle von KI und Datenschutz, speziell zugeschnitten auf die Bedürfnisse von Unternehmen, die KI-Anwendungen einsetzen oder einsetzen möchten. ... Weiterlesen
USB Stick Nahaufnahme.

Muster für eine Risikoanalyse nach DSGVO

Bei der Risikoanalyse nach DSGVO gibt es einige wichtige Punkte zu beachten. Grundsätzlich ist zwischen der Datenschutz-Folgenabschätzung an sich und der Notwendigkeit (Risikoanalyse) dieser, zu unterscheiden. Denn oft verarbeiten Unternehmen gar keine Daten, die einer DSFA bedürfen. Dann muss aber trotzdem dokumentiert werden, dass es keiner DSFA bedarf (Negativ-Einschätzung). Dieser Artikel soll zeigen, wie man ... Weiterlesen
Was Selbstständige und Freiberufler nach DSGVO zu beachten haben. Rechte Pflichten und weiteres.

Datenschutz für kleine Unternehmen, Einzelunternehmer und Selbstständige

Die Datenschutz-Grundverordnung stärkt den Stellenwert personenbezogener Daten von Verbrauchern und sichert ein europaweit einheitliches Datenschutzniveau. Ihnen werden umfangreiche Informationsrechte über die Verarbeitung ihrer Daten zugesprochen. Für kleine Unternehmen bedeutet dies eine zusätzlich Belastung. Viele Unternehmen, insbesondere kleinere, sind von der Vielzahl der neuen Pflichten überfordert- auch in Anbetracht der enormen Strafen bei einer Missachtung der ... Weiterlesen

DSGVO in 2023 Neuerungen und Änderungen

Die DSGVO in 2023 bringt nur wenige Neuerungen und Änderungen bzgl. DSGVO und Datenschutz allgemein, über die Sie aber trotzdem informiert sein sollten. Dieser Artikel wagt einen Ausblick und fasst die wichtigsten Punkte für 2023 zusammen. InhalteDas neue DSG in der Schweiz tritt ab 1. September 2023 in Kraft.KI-Richtlinie der EUNeuer Rechtsrahmen zur Übermittlung von ... Weiterlesen
Wie ein Webseiten Cehck nach DSGVO gemacht wird.

DSGVO Webseiten Check und Audit inkl. Checkliste

Eine Website nach DSGVO konform zu betreiben ist für Unternehmer, Selbstständige oder gar Privatleute ein unsicheres Unterfangen. Cookies, Drittanbieteranfragen, Kontaktformulare und SSL-Verschlüsselung, dies sind nur einige wenige Stichpunkte, welche bei einem DSGVO Webseiten Check zu beachten sind. Dieser Artikel soll Ihnen zeigen, auf welche Punkte Sie allgemein achten sollten und noch einige spezielle Themen behandeln, ... Weiterlesen

*Begrenzte Aktion, Normalpreis 49€ Netto

DSGVO-Checkliste

kostenlos*

Erstellt vom Datenschutzauditor (TÜV) inkl. Linksammlung zur DSGVO. ​