Was ist zu beachten, wenn ein Auftragsverarbeiter einen Unterauftragsverarbeiter in einem Drittland einsetzt?

Um echte Unter-Auftragsverarbeiter (Subunternehmer im Sinne der DSGVO) zu erkennen, sind folgende Informationen entscheidend: 1. **Art der Dienstleistung:** Der Unter-Auftragsverarbeiter muss tatsächlich im Auftrag des Hauptdienstleisters personenbezogene Daten verarbeiten, die im Zusammenhang mit dem Hauptauftrag stehen. 2. **Vertragliche Einbindung:** Es muss ein Vertrag oder eine Vereinbarung bestehen, die die Datenverarbeitung im Auftrag regelt (Art. 28 DSGVO). 3. **Zweck der Datenverarbeitung:** Die Verarbeitung muss ausschließlich im Rahmen und zu den Zwecken erfolgen, die der Hauptauftraggeber vorgegeben hat. 4. **Zugriff auf personenbezogene Daten:** Der Unter-Auftragsverarbeiter muss tatsächlich Zugriff auf personenbezogene Daten haben, die im Rahmen des Hauptauftrags verarbeitet werden. 5. **Keine Eigenverantwortung:** Der Unter-Auftragsverarbeiter darf die Daten nicht für eigene Zwecke nutzen, sondern nur im Auftrag und nach Weisung des Hauptdienstleisters. **Typische Beispiele für echte Unter-Auftragsverarbeiter:** - IT-Hosting-Anbieter, die Server für den Dienstleister betreiben und dabei Zugriff auf personenbezogene Daten haben. - Callcenter, die im Auftrag des Dienstleisters Kundendaten verarbeiten. - Externe Buchhaltungsfirmen, die im Auftrag des Dienstleisters Lohnabrechnungen erstellen. **Nicht als Unter-Auftragsverarbeiter gelten z.B.:** - Reine Telekommunikationsanbieter (z.B. Internetprovider ohne Datenzugriff) - Post- und Kurierdienste (reiner Transport, kein Datenzugriff) - Wartungsfirmen ohne Zugriff auf produktive Daten **Fazit:** Entscheidend ist, ob der Dienstleister im Rahmen des Auftrags tatsächlich personenbezogene Daten im Auftrag verarbeitet und dabei den Weisungen des Hauptdienstleisters unterliegt. Eine bloße Nennung in einer Liste reicht nicht aus – es muss ein tatsächlicher Datenverarbeitungsbezug bestehen. Weitere Infos: [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/)

Eine Auftragsverarbeitung nach der Datenschutz-GrundverordnungDSGVO) liegt vor, wenn ein Verantwortlicher (z.B. ein Unternehmen) einen Auftragsverarbeiter (z.B. einen Dienstleister) damit beauftragt, personenbezogene Daten im Auftrag des Verantwortlichen zu verarbeiten. Der Auftragsverarbeiter handelt dabei nach den Weisungen des Verantwortlichen. Folgende Schritte müssen bezüglich der Auftragsverarbeitung unternommen werden: 1. **Vertrag zur Auftragsverarbeitung (AV-Vertrag)**: Es muss ein schriftlicher Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossen werden. Dieser Vertrag muss bestimmte Mindestinhalte gemäß Art. 28 DSGVO enthalten, wie z.B. den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen. 2. **Sorgfältige Auswahl des Auftragsverarbeiters**: Der Verantwortliche muss sicherstellen, dass der Auftragsverarbeiter ausreichende Garantien bietet, um geeignete technische und organisatorische Maßnahmen zu ergreifen, damit die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt. 3. **Überwachung und Kontrolle**: Der Verantwortliche muss regelmäßig überprüfen, ob der Auftragsverarbeiter die im AV-Vertrag festgelegten Maßnahmen einhält. Dies kann durch Audits oder andere Kontrollmechanismen geschehen. 4. **Dokumentation**: Alle Maßnahmen und Verträge im Zusammenhang mit der Auftragsverarbeitung müssen dokumentiert werden, um im Falle einer Überprüfung durch die Aufsichtsbehörden nachweisen zu können, dass die DSGVO eingehalten wird. Weitere Informationen zur Auftragsverarbeitung nach DSGVO können auf der offiziellen Website der Europäischen Kommission gefunden werden: [Europäische Kommission - Datenschutz](https://ec.europa.eu/info/law/law-topic/data-protection_de).

Hier ist ein Mustertext für eine Datenschutzerklärung, die die genannten Tätigkeitsbereiche abdeckt. Bitte beachte, dass dies ein allgemeines Beispiel ist und keine individuelle Rechtsberatung ersetzt. Für eine rechtssichere und auf dein Unternehmen zugeschnittene Datenschutzerklärung empfiehlt sich die Prüfung durch eine*n Datenschutzbeauftragte*n oder Jurist*in. --- **Datenschutzerklärung** Wir freuen uns über Ihr Interesse an unseren Dienstleistungen in den Bereichen Seminare, Consulting, Konzeption sowie Produktion von audio-visuellen und Printmedien (analog und digital). Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. Nachfolgend informieren wir Sie über die Erhebung, Verarbeitung und Nutzung Ihrer Daten im Rahmen unserer Geschäftsbeziehung gemäß den geltenden Datenschutzgesetzen, insbesondere der Datenschutz-Grundverordnung (DSGVO). **1. Verantwortlicher** Verantwortlich für die Datenverarbeitung ist: [Name/Firma] [Adresse] [Telefonnummer] [E-Mail-Adresse] **2. Erhebung und Verarbeitung personenbezogener Daten** Wir erheben und verarbeiten personenbezogene Daten, wenn Sie mit uns in Kontakt treten (z.B. per E-Mail, Telefon oder Kontaktformular), unsere Seminare buchen, unsere Beratungsleistungen in Anspruch nehmen oder uns mit der Konzeption und Produktion von Medien beauftragen. Zu den verarbeiteten Daten gehören insbesondere: - Name, Vorname - Kontaktdaten (E-Mail-Adresse, Telefonnummer, Anschrift) - Unternehmenszugehörigkeit - Rechnungs- und Zahlungsdaten - Inhalte der Kommunikation - ggf. Bild- und Tonaufnahmen im Rahmen von Produktionen **3. Zweck und Rechtsgrundlage der Verarbeitung** Die Verarbeitung Ihrer Daten erfolgt zur Erfüllung vertraglicher oder vorvertraglicher Pflichten (Art. 6 Abs. 1 lit. b DSGVO), zur Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO) oder auf Grundlage unseres berechtigten Interesses an der Durchführung und Optimierung unserer Dienstleistungen (Art. 6 Abs. 1 lit. f DSGVO). Soweit eine Einwilligung erforderlich ist (z.B. für die Veröffentlichung von Bild- und Tonaufnahmen), erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO. **4. Weitergabe von Daten** Eine Weitergabe Ihrer Daten an Dritte erfolgt nur, soweit dies zur Vertragserfüllung erforderlich ist (z.B. an Dienstleister, Kooperationspartner oder Zahlungsdienstleister) oder wir gesetzlich dazu verpflichtet sind. **5. Speicherdauer** Ihre Daten werden nur so lange gespeichert, wie dies für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. **6. Ihre Rechte** Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten. Sie können eine erteilte Einwilligung jederzeit widerrufen. Bitte wenden Sie sich hierzu an die oben genannte Kontaktadresse. **7. Datensicherheit** Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten vor Verlust, Missbrauch und unbefugtem Zugriff zu schützen. **8. Änderungen der Datenschutzerklärung** Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen. Die jeweils aktuelle Version finden Sie auf unserer Website. --- Weitere Informationen und individuelle Anpassungen findest du z.B. bei [datenschutz-generator.de](https://datenschutz-generator.de/) oder über eine*n Datenschutzbeauftragte*n.

Hier sind einige einfache Ja/Nein-Fragen zum DSGVO-Datenlebenszyklus: 1. Werden personenbezogene Daten erhoben? 2. Werden die betroffenen Personen über die Datenerhebung informiert? 3. Gibt es eine Einwilligung zur Datenverarbeitung? 4. Werden die Daten sicher gespeichert? 5. Werden die Daten regelmäßig aktualisiert? 6. Haben die betroffenen Personen Zugriff auf ihre Daten? 7. Können die Daten auf Anfrage gelöscht werden? 8. Werden die Daten an Dritte weitergegeben? 9. Gibt es eine Dokumentation der Datenverarbeitung? 10. Werden die Daten nach Ablauf der Aufbewahrungsfrist gelöscht?

Zur Überprüfung, ob eine Webseite datenschutzgerecht ist, gibt es verschiedene Tools und Programme, die unterschiedliche Aspekte analysieren. Hier sind einige hilfreiche Lösungen: 1. **[Cookiebot](https://www.cookiebot.com/de/)** Prüft, welche Cookies und Tracker auf einer Webseite eingesetzt werden und ob diese datenschutzkonform eingebunden sind. 2. **[Webbkoll](https://webbkoll.dataskydd.net/de/)** Analysiert, welche Daten beim Besuch einer Webseite übertragen werden und ob Tracking- und Analyse-Tools datenschutzkonform eingesetzt werden. 3. **[PrivacyScore](https://privacyscore.org/)** Bewertet Webseiten hinsichtlich Datenschutz und IT-Sicherheit, z.B. Verschlüsselung, Cookies, Drittanbieter. 4. **[Mozilla Observatory](https://observatory.mozilla.org/)** Prüft Sicherheits- und Datenschutzaspekte wie HTTP-Header, Verschlüsselung und Content Security Policy. 5. **[Blacklight](https://themarkup.org/blacklight)** Erkennt Tracking-Technologien und gibt Hinweise zu Datenschutzrisiken. 6. **[TAS – Tracker & Ad Scanner](https://www.tas-privacy.com/)** Erkennt und bewertet Tracker, Werbenetzwerke und Cookies auf Webseiten. **Wichtiger Hinweis:** Kein Tool kann eine vollständige rechtliche Prüfung ersetzen. Die genannten Programme helfen, technische und offensichtliche Datenschutzprobleme zu erkennen. Für eine umfassende Bewertung sollte zusätzlich ein*e Datenschutzbeauftragte*r oder Jurist*in konsultiert werden.

Darauf kann ich dir keine Auskunft geben. Die Identität hinter einer E-Mail-Adresse wie aphong@t-online.de ist aus Datenschutzgründen nicht öffentlich zugänglich. Solche Informationen dürfen nur von den zuständigen Behörden oder dem E-Mail-Anbieter (in diesem Fall [T-Online](://www.telekom.de/)) im Rahmen der geltenden Datenschutzgesetze herausgegeben werden.

Ja, es gibt Möglichkeiten, Google-Dienste mit minimaler Preisgabe persönlicher Daten zu nutzen: 1. **Ohne Google-Konto suchen:** Die Google-Suche kann ohne Anmeldung genutzt werden. Dabei werden jedoch trotzdem Daten wie IP-Adresse, Suchanfragen und Browserinformationen gespeichert. 2. **Inkognito-/Privatmodus:** Nutze den Inkognito- oder Privatmodus deines Browsers. Das verhindert, dass lokale Suchverläufe gespeichert werden, schützt aber nicht vor Googles Datensammlung. 3. **Anonyme Konten:** Du kannst ein Google-Konto mit minimalen, nicht-personenbezogenen Angaben erstellen. Beachte aber, dass Google oft eine Telefonnummer zur Verifizierung verlangt. 4. **Datenschutzeinstellungen anpassen:** In den Google-Kontoeinstellungen kannst du viele Datenfreigaben einschränken oder deaktivieren (z.B. Web- & App-Aktivitäten, Standortverlauf). 5. **Alternativen nutzen:** Für mehr Privatsphäre kannst du Suchmaschinen wie [DuckDuckGo](https://duckduckgo.com/) oder [Startpage](https://www.startpage.com/) verwenden, die Google-Suchergebnisse anonymisiert bereitstellen. 6. **Browser-Erweiterungen:** Tools wie [uBlock Origin](https://github.com/gorhill/uBlock), [Privacy Badger](https://privacybadger.org/) oder [Ghostery](https://www.ghostery.com/) helfen, Tracking zu reduzieren. Fazit: Ganz ohne Datenerhebung ist die Nutzung von Google nicht möglich, aber du kannst die Preisgabe persönlicher Daten deutlich reduzieren.

Um festzustellen, ob ein neuer Vendor (Dienstleister, Lieferant) als Auftragsverarbeiter im Sinne der DSGVO (Datenschutz-Grundverordnung) agiert, sollte die Abteilung gezielte Fragen stellen, die klären, ob und wie der Vendor personenbezogene Daten im Auftrag des Unternehmens verarbeitet. Wichtige Fragen sind: 1. **Werden personenbezogene Daten im Rahmen der Dienstleistung verarbeitet?** (z. B. Kundendaten, Mitarbeiterdaten, Nutzerdaten) 2. **Verarbeitet der Vendor die Daten ausschließlich im Auftrag und nach Weisung des Unternehmens?** (Oder entscheidet der Vendor selbst über Zwecke und Mittel der Verarbeitung?) 3. **Welche Art von personenbezogenen Daten werden verarbeitet?** (z. B. Name, Adresse, Kontaktdaten, besondere Kategorien wie Gesundheitsdaten) 4. **Zu welchen Zwecken werden die Daten verarbeitet?** (z. B. Hosting, Support, Marketing, Lohnabrechnung) 5. **Hat der Vendor Zugriff auf die Daten oder werden diese nur durchgeleitet?** (z. B. Speicherung, Bearbeitung, Löschung) 6. **Findet die Verarbeitung der Daten ausschließlich im Rahmen der vertraglich vereinbarten Leistungen statt?** 7. **Werden die Daten an Dritte weitergegeben oder Subunternehmer eingesetzt?** (Wenn ja: Wer sind diese und wo sitzen sie?) 8. **Wer trägt die Verantwortung für die Einhaltung der Datenschutzvorschriften bei der Verarbeitung?** (Vendor oder das Unternehmen?) 9. **Findet eine Übermittlung der Daten in Drittländer außerhalb der EU/des EWR statt?** (Wenn ja: Welche Schutzmaßnahmen bestehen?) 10. **Besteht bereits eine Vereinbarung zur Auftragsverarbeitung (AVV) oder ist der Vendor bereit, eine solche abzuschließen?** Mit diesen Fragen kann die Abteilung einschätzen, ob der Vendor als Auftragsverarbeiter im Sinne von Art. 28 DSGVO einzustufen ist und ob entsprechende vertragliche und organisatorische Maßnahmen erforderlich sind.

Im Zusammenhang mit Datenschutzbeauftragten bezieht sich das Kriterium „20 Personen“ auf eine Schwelle im deutschen Datenschutzrecht, die bis zur Einführung der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 galt. Nach § 38 Bundesdatenschutzgesetz (BDSG) in der alten Fassung mussten Unternehmen einen Datenschutzbeauftragten bestellen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt waren. Mit der DSGVO und dem neuen BDSG (ab 25. Mai 2018) wurde diese Schwelle angepasst: **Aktuelle Regelung (§ 38 BDSG-neu):** Ein Datenschutzbeauftragter muss bestellt werden, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. **Wichtige Punkte dazu:** - Die 20-Personen-Grenze bezieht sich auf alle Personen, die regelmäßig mit personenbezogenen Daten arbeiten – dazu zählen auch Teilzeitkräfte, Auszubildende, Praktikanten und externe Mitarbeiter. - „Ständig“ bedeutet, dass die Verarbeitung ein wesentlicher Bestandteil der Tätigkeit ist, nicht nur gelegentlich. - Auch unabhängig von der Personenzahl ist ein Datenschutzbeauftragter zu bestellen, wenn besondere Arten von Daten verarbeitet werden (z. B. Gesundheitsdaten) oder wenn die Kerntätigkeit in der umfangreichen Überwachung von Personen besteht. **Weitere Informationen:** - [§ 38 BDSG-neu](https://www.gesetze-im-internet.de/bdsg_2018/__38.html) - [Datenschutzbeauftragter – Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)](https://www.bfdi.bund.de/DE/Fachthemen/Fachthemen-node.html) Zusammengefasst: Die „20 Personen“-Regel ist ein Schwellenwert, ab dem Unternehmen in Deutschland verpflichtet sind, einen Datenschutzbeauftragten zu benennen, sofern diese Personen regelmäßig automatisiert personenbezogene Daten verarbeiten.

Deine Fragen auf frage.de können grundsätzlich von den Betreibern der Plattform, also der Gull AG in Zusammenarbeit mit OpenAI, eingesehen werden, da sie für die Bearbeitung und Verbesserung des Dienstes verarbeitet werden. Außerdem sind die Fragen und Antworten öffentlich sichtbar, sodass auch andere Nutzer von frage.de sie lesen können. Stelle daher bitte keine persönlichen oder sensiblen Daten in deinen Fragen. Weitere Informationen findest du in den Datenschutzbestimmungen von frage.de.