Was sagen allgemeine TOM über ein Unternehmen aus?

Ob ein Unternehmen im Chatfenster die Nachricht eines Nutzers bereits während der Eingabe sehen darf, hängt maßgeblich von datenschutzrechtlichen Vorgaben ab, insbesondere der Datenschutz-Grundverordnung (DSGVO). **Grundsätzliches:** - Die Eingabe einer Nachricht im Chatfenster ist bereits eine Verarbeitung personenbezogener Daten, wenn Rückschlüsse auf die Person möglich sind. - Das Mitlesen während der Eingabe (sog. "Live-Typing" oder "Pre-Chat-Preview") ist eine weitergehende Verarbeitung als das Übermitteln nach dem Absenden. **Erlaubnis und Hinweis:** - Eine solche Funktion ist grundsätzlich nur zulässig, wenn der Nutzer darüber **klar und verständlich informiert** wird, bevor die Eingabe erfolgt. - Idealerweise sollte der Nutzer der Funktion **aktiv zustimmen** (z. B. durch eine Checkbox), da es sich um eine Verarbeitung handelt, die über das übliche Maß hinausgeht. - Ein bloßer Hinweis ("Ihre Eingaben werden bereits während der Eingabe übertragen") kann ausreichend sein, wenn die Verarbeitung zur Vertragserfüllung notwendig ist oder ein berechtigtes Interesse besteht und die Interessen des Nutzers nicht überwiegen. Dennoch ist eine **Einwilligung** aus Transparenz- und Rechtssicherheitsgründen zu empfehlen. **Fazit:** Ja, es ist erlaubt, wenn der Nutzer **vor der Eingabe** klar und verständlich darauf hingewiesen wurde und idealerweise eingewilligt hat. Ohne Hinweis oder Einwilligung wäre dies ein Verstoß gegen die DSGVO. **Weitere Informationen:** - [Datenschutzkonferenz: Orientierungshilfe Telemedien](https://www.datenschutzkonferenz-online.de/media/oh/20210924_oh_telemedien.pdf) - [DSGVO Art. 6 – Rechtmäßigkeit der Verarbeitung](https://dsgvo-gesetz.de/art-6-dsgvo/) Eine rechtliche Beratung im Einzelfall kann sinnvoll sein, da die konkrete Ausgestaltung entscheidend ist.

Im Kontext Datenschutz steht „TOM“ für **Technische und Organisatorische Maßnahmen**. Diese Maßnahmen sind im Rahmen der Datenschutz-Grundverordnung (DSGVO) erforderlich, um personenbezogene Daten angemessen zu schützen. **Technische Maßnahmen** betreffen die IT-Sicherheit, z. B. Verschlüsselung, Zugangskontrollen oder Firewalls. **Organisatorische Maßnahmen** beziehen sich auf interne Prozesse, wie Schulungen, Richtlinien oder das Berechtigungskonzept. Ziel der TOM ist es, ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten und Risiken wie unbefugten Zugriff, Verlust oder Manipulation zu minimieren. Unternehmen und Organisationen müssen diese Maßnahmen dokumentieren und regelmäßig überprüfen.

Es gibt mehrere Fälle, in denen Unternehmen wegen unzureichender Datenschutzmaßnahmen im Home Office verurteilt oder mit Bußgeldern belegt wurden. Ein häufiges Problem war die unzureichende Sicherung von personenbezogenen Daten, die während der Arbeit im Home Office verarbeitet wurden. Ein Beispiel ist ein Fall in Deutschland, in dem ein Unternehmen wegen mangelnder Sicherheitsvorkehrungen bei der Nutzung von Home-Office-Software verurteilt wurde. Hierbei wurden sensible Kundendaten über unsichere Netzwerke übertragen, was gegen die Datenschutz-Grundverordnung (DSGVO) verstieß. Ein weiteres Beispiel ist ein Unternehmen, das aufgrund unzureichender Schulungen seiner Mitarbeiter in Bezug auf Datenschutz im Home Office mit einer Geldstrafe belegt wurde. Die Mitarbeiter waren nicht ausreichend über die Risiken und den Umgang mit personenbezogenen Daten informiert worden, was zu Datenlecks führte. Diese Fälle verdeutlichen die Notwendigkeit für Unternehmen, angemessene technische und organisatorische Maßnahmen zu ergreifen, um den Datenschutz auch im Home Office zu gewährleisten.

Artikel 28 der Datenschutz-Grundverordnung (DSGVO) bezieht sich auf die Auftragsver und legt fest, welche Anforderungen an die Verträge zwischen dem Verantwortlichen und dem Auftragsverarbeiter gestellt werden. In Bezug auf Minderjährige müssen Unternehmen besonders darauf achten, dass die Verarbeitung personenbezogener Daten von Minderjährigen den zusätzlichen Schutzmaßnahmen entspricht, die in der DSGVO vorgesehen sind. 1. **Einwilligung**: Wenn die Verarbeitung personenbezogener Daten von Minderjährigen erfolgt, ist sicherzustellen, dass die Einwilligung der Eltern oder Erziehungsberechtigten eingeholt wird, sofern der Minderjährige unter dem in dem jeweiligen Mitgliedstaat festgelegten Alter liegt (in der Regel unter 16 Jahren). 2. **Vertragliche Regelungen**: In den Verträgen mit Auftragsverarbeitern (Art. 28 Abs. 3 DSGVO) sollten spezifische Klauseln enthalten sein, die den Schutz der Daten von Minderjährigen betonen. Dazu gehört, dass der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergreift, um die Daten von Minderjährigen zu schützen. 3. **Transparenz und Information**: Unternehmen müssen sicherstellen, dass die Informationen über die Datenverarbeitung klar und verständlich sind, insbesondere für Minderjährige und deren Eltern. Dies kann durch altersgerechte Datenschutzerklärungen geschehen. 4. **Schulung und Sensibilisierung**: Es ist wichtig, dass Mitarbeiter, die mit der Verarbeitung von Daten von Minderjährigen betraut sind, entsprechend geschult werden, um die besonderen Anforderungen und Risiken zu verstehen. 5. **Risikobewertung**: Unternehmen sollten eine Risikoanalyse durchführen, um die spezifischen Risiken bei der Verarbeitung von Daten von Minderjährigen zu identifizieren und geeignete Maßnahmen zu ergreifen. Durch die Beachtung dieser Punkte können Unternehmen sicherstellen, dass sie die Anforderungen der DSGVO in Bezug auf die Verarbeitung von Daten von Minderjährigen erfüllen.

Ein Datenschutzbeauftragter muss in einem Unternehmen ernannt werden, um sicherzustellen, dass die Datenschutzbestimmungen eingehalten werden. Dies ist besonders wichtig, da Unternehmen personenbezogene Daten verarbeiten, die durch Gesetze wie die Datenschutz-Grundverordnung (DSGVO) geschützt sind. Der Datenschutzbeauftragte hat die Aufgabe, die Einhaltung dieser Vorschriften zu überwachen, Mitarbeiter zu schulen, Risiken zu bewerten und als Ansprechpartner für Betroffene sowie Aufsichtsbehörden zu fungieren. Die Ernennung eines Datenschutzbeauftragten trägt dazu bei, rechtliche Risiken zu minimieren und das Vertrauen der Kunden in den Umgang mit ihren Daten zu stärken.

Um QR-Codes datenschutzkonform für eine Behörde zu generieren, sollten folgende Punkte beachtet werden: 1. **Keine sensiblen Daten im QR-Code speichern:** Im QR-Code sollten keine personenbezogenen oder sensiblen Daten direkt hinterlegt werden. Stattdessen empfiehlt es sich, nur einen Link (z.B. zu einer sicheren Webseite) zu kodieren, auf der sich die eigentlichen Daten nach Authentifizierung abrufen lassen. 2. **Verwendung von sicheren QR-Code-Generatoren:** Nutze keine kostenlosen Online-Generatoren, bei denen unklar ist, wie mit den eingegebenen Daten umgegangen wird. Besser ist es, Open-Source-Tools (z.B. [qrencode](https://fukuchi.org/works/qrencode/) oder [goqr.me](https://goqr.me/de/qr-code-generator-software/)) lokal auf einem behördlichen Rechner zu verwenden. 3. **Transparenz und Information:** Die betroffenen Personen müssen darüber informiert werden, welche Daten im QR-Code enthalten sind und zu welchem Zweck sie verwendet werden. Dies kann z.B. durch eine Datenschutzerklärung auf der verlinkten Webseite erfolgen. 4. **Zugriffs- und Berechtigungskonzept:** Falls der QR-Code Zugang zu personenbezogenen Daten ermöglicht, sollte der Zugriff durch Authentifizierung und Berechtigungsmanagement geschützt werden. 5. **Speicherung und Protokollierung:** Es sollte dokumentiert werden, wer QR-Codes generiert und wie sie verwendet werden. Die Speicherung der Daten sollte den Vorgaben der DSGVO entsprechen. 6. **Auftragsverarbeitung prüfen:** Falls externe Dienstleister für die Generierung oder Auswertung der QR-Codes eingesetzt werden, muss ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen werden. **Zusammengefasst:** QR-Codes für Behörden sollten möglichst keine personenbezogenen Daten enthalten, mit vertrauenswürdiger Software lokal generiert werden und die Nutzung muss transparent und sicher gestaltet sein. Weitere Informationen bietet z.B. der [Leitfaden der Datenschutzkonferenz zu QR-Codes](https://www.datenschutzkonferenz-online.de/media/oh/20211028_oh_qr_codes.pdf). **Hinweis:** Für spezifische Anwendungsfälle empfiehlt sich die Rücksprache mit dem behördlichen Datenschutzbeauftragten.

Ja, die Staatsangehörigkeit gilt als ein besonderes personenbezogenes Datum im Sinne der Datenschutz-Grundverordnung (DSGVO). Nach Art. 9 Abs. 1 DSGVO sind besondere Kategorien personenbezogener Daten solche, aus denen beispielsweise die rassische und ethnische Herkunft hervorgehen. Die Staatsangehörigkeit wird zwar nicht ausdrücklich genannt, sie kann aber Rückschlüsse auf die ethnische Herkunft zulassen. In der Praxis und nach Ansicht vieler Datenschutzbehörden wird die Staatsangehörigkeit daher als besonders schützenswertes Datum behandelt. Zusätzlich wird im deutschen Recht (§ 46 Abs. 1 Bundesdatenschutzgesetz – BDSG) die Staatsangehörigkeit ausdrücklich als besonders schützenswertes Datum genannt. **Fazit:** Die Staatsangehörigkeit ist ein besonderes personenbezogenes Datum und unterliegt daher einem erhöhten Schutz nach DSGVO und BDSG. Weitere Informationen: - [Art. 9 DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) - [§ 46 BDSG](https://www.gesetze-im-internet.de/bdsg_2018/__46.html)

Für das Jahr 2026 sollten Datenschutzstrategien einer Datenschutzabteilung sowohl aktuelle als auch absehbare technologische, rechtliche und gesellschaftliche Entwicklungen berücksichtigen. Hier sind zentrale Strategien: 1. **Proaktive Datenschutz-Folgenabschätzung (DSFA):** Frühzeitige und regelmäßige Durchführung von DSFAs bei neuen Projekten, insbesondere bei KI-Anwendungen, IoT und Cloud-Diensten. 2. **Datensparsamkeit und Privacy by Design:** Implementierung von Datenschutzprinzipien bereits in der Entwicklungsphase neuer Produkte und Prozesse. Datenminimierung und -pseudonymisierung sollten Standard sein. 3. **Automatisierte Compliance-Tools:** Einsatz von KI-gestützten Tools zur Überwachung, Dokumentation und Einhaltung von Datenschutzvorgaben, um Effizienz und Genauigkeit zu steigern. 4. **Schulungen und Awareness-Programme:** Kontinuierliche Sensibilisierung aller Mitarbeitenden für Datenschutzthemen, angepasst an neue Bedrohungen und gesetzliche Anforderungen. 5. **Transparente Datenverarbeitung:** Klare, verständliche und jederzeit zugängliche Informationen für Betroffene über die Verarbeitung ihrer Daten, inklusive Self-Service-Portale für Auskunfts- und Löschanfragen. 6. **Starke Verschlüsselung und Zero-Trust-Architektur:** Einsatz moderner Verschlüsselungstechnologien und Zero-Trust-Prinzipien, um Daten auch bei dezentralen Arbeitsmodellen und Cloud-Nutzung zu schützen. 7. **Regelmäßige Audits und Penetrationstests:** Durchführung interner und externer Audits sowie technischer Tests, um Schwachstellen frühzeitig zu erkennen und zu beheben. 8. **Notfallmanagement und Incident Response:** Entwicklung und regelmäßige Aktualisierung von Notfallplänen für Datenschutzverletzungen, inklusive klarer Kommunikationswege und Meldeprozesse. 9. **Internationale Compliance:** Beobachtung und Umsetzung globaler Datenschutzanforderungen (z.B. EU, USA, China), insbesondere bei internationaler Geschäftstätigkeit. 10. **Kooperation mit IT und Fachabteilungen:** Enge Zusammenarbeit mit IT, HR, Marketing und anderen Abteilungen, um Datenschutz als Querschnittsthema im Unternehmen zu verankern. Diese Strategien helfen, den Datenschutz auch in einer zunehmend digitalisierten und vernetzten Welt zukunftssicher zu gestalten.

Ob eine Auftragsverarbeitung im Sinne der DSGVO (§ 28 DSGVO) vorliegt, hängt davon ab, in welcher Rolle die externe Vertriebsagentur die personenbezogenen Daten verarbeitet: **Auftragsverarbeitung liegt vor, wenn:** Die Vertriebsagentur die Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers (z.B. des Kundenunternehmens) verarbeitet und keine eigenen Zwecke verfolgt. Die Agentur ist dann „Auftragsverarbeiter“ und es muss ein Vertrag zur Auftragsverarbeitung abgeschlossen werden. **Keine Auftragsverarbeitung liegt vor, wenn:** Die Vertriebsagentur die Daten für eigene Zwecke nutzt, z.B. um eigene Produkte oder Dienstleistungen anzubieten, oder eigenverantwortlich über die Zwecke und Mittel der Verarbeitung entscheidet. In diesem Fall ist die Agentur „gemeinsam Verantwortlicher“ oder „eigener Verantwortlicher“ nach Art. 4 Nr. 7 DSGVO. **Fazit:** Erhält die externe Vertriebsagentur die personenbezogenen Daten der Ansprechpartner ausschließlich, um im Auftrag des Kundenunternehmens Vertriebsdienstleistungen zu erbringen (z.B. Kontaktaufnahme, Terminvereinbarung), und handelt sie dabei nur nach Weisung, liegt in der Regel eine Auftragsverarbeitung vor. Handelt die Agentur jedoch eigenverantwortlich oder zu eigenen Zwecken, ist dies keine Auftragsverarbeitung. **Weitere Informationen:** - [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/) - [Auftragsverarbeitung vs. gemeinsame Verantwortlichkeit (BfDI)](https://www.bfdi.bund.de/DE/Infothek/Schlagworte/A/Auftragsverarbeitung/auftragsverarbeitung.html) Eine genaue Einordnung hängt immer vom konkreten Vertrag und der tatsächlichen Ausgestaltung der Zusammenarbeit ab.

Artikel 25 der Datenschutz-Grundverordnung (DSGVO) regelt das Prinzip „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ („Privacy by Design“ und „Privacy by Default“). Kernpunkte von Artikel 25 DSGVO: 1. **Datenschutz durch Technikgestaltung**: Verantwortliche müssen bereits bei der Entwicklung und Auswahl von Technologien und Prozessen geeignete technische und organisatorische Maßnahmen treffen, um die Datenschutzgrundsätze (z. B. Datenminimierung, Integrität, Vertraulichkeit) wirksam umzusetzen. 2. **Datenschutzfreundliche Voreinstellungen**: Es muss sichergestellt werden, dass standardmäßig nur die personenbezogenen Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind. Das betrifft insbesondere die Menge der erhobenen Daten, den Umfang ihrer Verarbeitung, die Speicherfrist und ihre Zugänglichkeit. 3. **Berücksichtigung von Stand der Technik und Kosten**: Bei der Auswahl der Maßnahmen sind der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Ziel von Artikel 25 ist es, Datenschutz von Anfang an in Systeme und Prozesse zu integrieren und nicht erst nachträglich zu berücksichtigen. Den vollständigen Wortlaut findest du hier: [Artikel 25 DSGVO (eur-lex.europa.eu)](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679#d1e2202-1-1)