Liegt Auftragsverarbeitung vor, wenn eine externe Vertriebsagentur personenbezogene Daten von Ansprechpartnern von Kundenunternehmen erhält?

In einem Auftragsverarbeitungsvertrag (AVV) bezeichnet der Begriff "interne Empfänger" in der Regel Personen oder Abteilungen innerhalb des Unternehmens des Auftragsverarbeiters, die Zugriff auf die verarbeiteten personenbezogenen Daten erhalten. Das können zum Beispiel Mitarbeitende aus der IT, dem Support, der Buchhaltung oder der Geschäftsleitung sein, sofern sie im Rahmen ihrer Aufgaben mit den Daten arbeiten müssen. Der Begriff dient dazu, abzugrenzen, wer innerhalb der Organisation des Auftragsverarbeiters berechtigt ist, die Daten zu sehen oder zu verarbeiten – im Gegensatz zu "externen Empfängern", also Dritten außerhalb des Unternehmens (z.B. Subunternehmer, andere Dienstleister oder Behörden). Die Nennung "interner Empfänger" im AVV ist wichtig, um Transparenz zu schaffen und sicherzustellen, dass nur autorisierte Personen Zugriff auf die Daten haben, wie es die Datenschutz-Grundverordnung (DSGVO) verlangt.

Wenn ein Auftragsverarbeiter einen Unterauftragsverarbeiter in einem Drittland (außerhalb des Europäischen Wirtschaftsraums, EWR) einsetzt, sind nach der Datenschutz-Grundverordnung (DSGVO) besondere Anforderungen zu beachten, um den Schutz personenbezogener Daten sicherzustellen: 1. **Genehmigung einholen:** Der Auftragsverarbeiter darf einen Unterauftragsverarbeiter nur mit vorheriger spezifischer oder allgemeiner schriftlicher Genehmigung des Verantwortlichen (Art. 28 Abs. 2 DSGVO) einsetzen. Der Verantwortliche muss also zustimmen. 2. **Vertragliche Regelungen:** Zwischen Auftragsverarbeiter und Unterauftragsverarbeiter muss ein Vertrag bestehen, der die gleichen Datenschutzpflichten wie der Hauptvertrag enthält (Art. 28 Abs. 4 DSGVO). 3. **Drittlandübermittlung prüfen:** Die Übermittlung personenbezogener Daten in ein Drittland ist nur zulässig, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Das bedeutet: - **Angemessenheitsbeschluss:** Die EU-Kommission hat festgestellt, dass das Drittland ein angemessenes Datenschutzniveau bietet (Liste siehe [EU-Kommission](https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_de)). - **Geeignete Garantien:** Liegt kein Angemessenheitsbeschluss vor, müssen geeignete Garantien wie Standardvertragsklauseln ([SCCs](https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_de)), verbindliche interne Datenschutzvorschriften (BCRs) oder andere Mechanismen eingesetzt werden. - **Zusätzliche Maßnahmen:** Nach dem Schrems II-Urteil des EuGH kann es notwendig sein, zusätzliche technische und organisatorische Maßnahmen zu ergreifen, um das Datenschutzniveau zu gewährleisten. 4. **Transparenz und Information:** Der Verantwortliche muss die betroffenen Personen über die Drittlandübermittlung informieren (Art. 13, 14 DSGVO). 5. **Dokumentation:** Alle Schritte und Entscheidungen sollten dokumentiert werden, um die Einhaltung der DSGVO nachweisen zu können. **Fazit:** Der Einsatz eines Unterauftragsverarbeiters in einem Drittland ist möglich, aber nur unter strikter Einhaltung der DSGVO-Vorgaben. Verantwortliche und Auftragsverarbeiter müssen gemeinsam sicherstellen, dass ein angemessenes Datenschutzniveau gewährleistet ist.

Um echte Unter-Auftragsverarbeiter (Subunternehmer im Sinne der DSGVO) zu erkennen, sind folgende Informationen entscheidend: 1. **Art der Dienstleistung:** Der Unter-Auftragsverarbeiter muss tatsächlich im Auftrag des Hauptdienstleisters personenbezogene Daten verarbeiten, die im Zusammenhang mit dem Hauptauftrag stehen. 2. **Vertragliche Einbindung:** Es muss ein Vertrag oder eine Vereinbarung bestehen, die die Datenverarbeitung im Auftrag regelt (Art. 28 DSGVO). 3. **Zweck der Datenverarbeitung:** Die Verarbeitung muss ausschließlich im Rahmen und zu den Zwecken erfolgen, die der Hauptauftraggeber vorgegeben hat. 4. **Zugriff auf personenbezogene Daten:** Der Unter-Auftragsverarbeiter muss tatsächlich Zugriff auf personenbezogene Daten haben, die im Rahmen des Hauptauftrags verarbeitet werden. 5. **Keine Eigenverantwortung:** Der Unter-Auftragsverarbeiter darf die Daten nicht für eigene Zwecke nutzen, sondern nur im Auftrag und nach Weisung des Hauptdienstleisters. **Typische Beispiele für echte Unter-Auftragsverarbeiter:** - IT-Hosting-Anbieter, die Server für den Dienstleister betreiben und dabei Zugriff auf personenbezogene Daten haben. - Callcenter, die im Auftrag des Dienstleisters Kundendaten verarbeiten. - Externe Buchhaltungsfirmen, die im Auftrag des Dienstleisters Lohnabrechnungen erstellen. **Nicht als Unter-Auftragsverarbeiter gelten z.B.:** - Reine Telekommunikationsanbieter (z.B. Internetprovider ohne Datenzugriff) - Post- und Kurierdienste (reiner Transport, kein Datenzugriff) - Wartungsfirmen ohne Zugriff auf produktive Daten **Fazit:** Entscheidend ist, ob der Dienstleister im Rahmen des Auftrags tatsächlich personenbezogene Daten im Auftrag verarbeitet und dabei den Weisungen des Hauptdienstleisters unterliegt. Eine bloße Nennung in einer Liste reicht nicht aus – es muss ein tatsächlicher Datenverarbeitungsbezug bestehen. Weitere Infos: [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/)

Um QR-Codes datenschutzkonform für eine Behörde zu generieren, sollten folgende Punkte beachtet werden: 1. **Keine sensiblen Daten im QR-Code speichern:** Im QR-Code sollten keine personenbezogenen oder sensiblen Daten direkt hinterlegt werden. Stattdessen empfiehlt es sich, nur einen Link (z.B. zu einer sicheren Webseite) zu kodieren, auf der sich die eigentlichen Daten nach Authentifizierung abrufen lassen. 2. **Verwendung von sicheren QR-Code-Generatoren:** Nutze keine kostenlosen Online-Generatoren, bei denen unklar ist, wie mit den eingegebenen Daten umgegangen wird. Besser ist es, Open-Source-Tools (z.B. [qrencode](https://fukuchi.org/works/qrencode/) oder [goqr.me](https://goqr.me/de/qr-code-generator-software/)) lokal auf einem behördlichen Rechner zu verwenden. 3. **Transparenz und Information:** Die betroffenen Personen müssen darüber informiert werden, welche Daten im QR-Code enthalten sind und zu welchem Zweck sie verwendet werden. Dies kann z.B. durch eine Datenschutzerklärung auf der verlinkten Webseite erfolgen. 4. **Zugriffs- und Berechtigungskonzept:** Falls der QR-Code Zugang zu personenbezogenen Daten ermöglicht, sollte der Zugriff durch Authentifizierung und Berechtigungsmanagement geschützt werden. 5. **Speicherung und Protokollierung:** Es sollte dokumentiert werden, wer QR-Codes generiert und wie sie verwendet werden. Die Speicherung der Daten sollte den Vorgaben der DSGVO entsprechen. 6. **Auftragsverarbeitung prüfen:** Falls externe Dienstleister für die Generierung oder Auswertung der QR-Codes eingesetzt werden, muss ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen werden. **Zusammengefasst:** QR-Codes für Behörden sollten möglichst keine personenbezogenen Daten enthalten, mit vertrauenswürdiger Software lokal generiert werden und die Nutzung muss transparent und sicher gestaltet sein. Weitere Informationen bietet z.B. der [Leitfaden der Datenschutzkonferenz zu QR-Codes](https://www.datenschutzkonferenz-online.de/media/oh/20211028_oh_qr_codes.pdf). **Hinweis:** Für spezifische Anwendungsfälle empfiehlt sich die Rücksprache mit dem behördlichen Datenschutzbeauftragten.

Allgemeine Technische und Organisatorische Maßnahmen (TOM) geben Auskunft darüber, wie ein Unternehmen den Schutz personenbezogener Daten sicherstellt. Sie sind ein zentraler Bestandteil der Datenschutz-Grundverordnung (DSGVO) und zeigen, welche Vorkehrungen ein Unternehmen trifft, um die Sicherheit und Vertraulichkeit von Daten zu gewährleisten. Konkret sagen die allgemeinen TOM über ein Unternehmen aus: 1. **Sicherheitsbewusstsein:** Das Unternehmen ist sich seiner Verantwortung im Umgang mit personenbezogenen Daten bewusst und setzt Maßnahmen zum Schutz dieser Daten um. 2. **Rechtstreue:** Das Unternehmen hält sich an gesetzliche Vorgaben, insbesondere an die DSGVO. 3. **Struktur und Organisation:** Es gibt klare Prozesse und Zuständigkeiten für den Datenschutz im Unternehmen. 4. **Technische Ausstattung:** Das Unternehmen nutzt technische Lösungen (z. B. Verschlüsselung, Firewalls, Zugriffskontrollen), um Daten zu schützen. 5. **Organisatorische Abläufe:** Es bestehen interne Regelungen, Schulungen und Kontrollen, um Datenschutzrisiken zu minimieren. 6. **Transparenz:** Das Unternehmen kann gegenüber Kunden, Partnern und Behörden nachweisen, wie es den Datenschutz umsetzt. Zusammengefasst spiegeln die allgemeinen TOM wider, wie ernst ein Unternehmen den Datenschutz nimmt und wie professionell es mit sensiblen Informationen umgeht.

Ja, die Staatsangehörigkeit gilt als ein besonderes personenbezogenes Datum im Sinne der Datenschutz-Grundverordnung (DSGVO). Nach Art. 9 Abs. 1 DSGVO sind besondere Kategorien personenbezogener Daten solche, aus denen beispielsweise die rassische und ethnische Herkunft hervorgehen. Die Staatsangehörigkeit wird zwar nicht ausdrücklich genannt, sie kann aber Rückschlüsse auf die ethnische Herkunft zulassen. In der Praxis und nach Ansicht vieler Datenschutzbehörden wird die Staatsangehörigkeit daher als besonders schützenswertes Datum behandelt. Zusätzlich wird im deutschen Recht (§ 46 Abs. 1 Bundesdatenschutzgesetz – BDSG) die Staatsangehörigkeit ausdrücklich als besonders schützenswertes Datum genannt. **Fazit:** Die Staatsangehörigkeit ist ein besonderes personenbezogenes Datum und unterliegt daher einem erhöhten Schutz nach DSGVO und BDSG. Weitere Informationen: - [Art. 9 DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) - [§ 46 BDSG](https://www.gesetze-im-internet.de/bdsg_2018/__46.html)

Für das Jahr 2026 sollten Datenschutzstrategien einer Datenschutzabteilung sowohl aktuelle als auch absehbare technologische, rechtliche und gesellschaftliche Entwicklungen berücksichtigen. Hier sind zentrale Strategien: 1. **Proaktive Datenschutz-Folgenabschätzung (DSFA):** Frühzeitige und regelmäßige Durchführung von DSFAs bei neuen Projekten, insbesondere bei KI-Anwendungen, IoT und Cloud-Diensten. 2. **Datensparsamkeit und Privacy by Design:** Implementierung von Datenschutzprinzipien bereits in der Entwicklungsphase neuer Produkte und Prozesse. Datenminimierung und -pseudonymisierung sollten Standard sein. 3. **Automatisierte Compliance-Tools:** Einsatz von KI-gestützten Tools zur Überwachung, Dokumentation und Einhaltung von Datenschutzvorgaben, um Effizienz und Genauigkeit zu steigern. 4. **Schulungen und Awareness-Programme:** Kontinuierliche Sensibilisierung aller Mitarbeitenden für Datenschutzthemen, angepasst an neue Bedrohungen und gesetzliche Anforderungen. 5. **Transparente Datenverarbeitung:** Klare, verständliche und jederzeit zugängliche Informationen für Betroffene über die Verarbeitung ihrer Daten, inklusive Self-Service-Portale für Auskunfts- und Löschanfragen. 6. **Starke Verschlüsselung und Zero-Trust-Architektur:** Einsatz moderner Verschlüsselungstechnologien und Zero-Trust-Prinzipien, um Daten auch bei dezentralen Arbeitsmodellen und Cloud-Nutzung zu schützen. 7. **Regelmäßige Audits und Penetrationstests:** Durchführung interner und externer Audits sowie technischer Tests, um Schwachstellen frühzeitig zu erkennen und zu beheben. 8. **Notfallmanagement und Incident Response:** Entwicklung und regelmäßige Aktualisierung von Notfallplänen für Datenschutzverletzungen, inklusive klarer Kommunikationswege und Meldeprozesse. 9. **Internationale Compliance:** Beobachtung und Umsetzung globaler Datenschutzanforderungen (z.B. EU, USA, China), insbesondere bei internationaler Geschäftstätigkeit. 10. **Kooperation mit IT und Fachabteilungen:** Enge Zusammenarbeit mit IT, HR, Marketing und anderen Abteilungen, um Datenschutz als Querschnittsthema im Unternehmen zu verankern. Diese Strategien helfen, den Datenschutz auch in einer zunehmend digitalisierten und vernetzten Welt zukunftssicher zu gestalten.

Typische Daten, die bei der Erbringung von Vertriebs- und Akquisedienstleistungen durch einen Auftragsverarbeiter verarbeitet werden, sind: 1. **Kontaktdaten** - Name, Vorname - Adresse - Telefonnummer - E-Mail-Adresse 2. **Berufliche Angaben** - Firmenname - Position/Funktion im Unternehmen - Abteilung 3. **Kommunikationsdaten** - Gesprächsnotizen - E-Mail-Verläufe - Terminvereinbarungen - Protokolle von Telefonaten oder Meetings 4. **Vertrags- und Angebotsdaten** - Angebotsunterlagen - Vertragsdaten - Preisabsprachen - Bestellhistorie 5. **Marketing- und Vertriebsdaten** - Interessen und Präferenzen - Reaktionen auf Marketingaktionen - Teilnahme an Veranstaltungen oder Webinaren 6. **Sonstige geschäftsrelevante Informationen** - Umsatzdaten - Kundennummern - Zahlungsmodalitäten Diese Daten werden in der Regel im Rahmen der Anbahnung und Durchführung von Geschäftsbeziehungen verarbeitet und unterliegen den Vorgaben der DSGVO, insbesondere im Hinblick auf Auftragsverarbeitung gemäß Art. 28 DSGVO.

Der typische Auftragsgegenstand bei der Erbringung von Vertriebs- und Akquisedienstleistungen durch einen Auftragsverarbeiter ist die Verarbeitung personenbezogener Daten potenzieller oder bestehender Kunden im Auftrag des Verantwortlichen (z. B. eines Unternehmens). Dies umfasst meist Tätigkeiten wie die Kontaktaufnahme, Terminvereinbarung, Lead-Generierung, Pflege von Kundendatenbanken oder Nachverfolgung von Interessenten. Die Zwecke der Datenverarbeitung sind in diesem Zusammenhang insbesondere: - **Anbahnung von Geschäftsbeziehungen** (Lead-Generierung, Erstkontakt) - **Pflege und Aktualisierung von Kundendaten** - **Durchführung von Marketing- und Vertriebsaktionen** - **Dokumentation und Nachverfolgung von Vertriebsaktivitäten** - **Unterstützung bei der Angebotserstellung und -verfolgung** Der Auftragsverarbeiter handelt dabei ausschließlich auf Weisung des Verantwortlichen und nutzt die Daten nur zu den vereinbarten Zwecken.

Artikel 25 der Datenschutz-Grundverordnung (DSGVO) regelt das Prinzip „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ („Privacy by Design“ und „Privacy by Default“). Kernpunkte von Artikel 25 DSGVO: 1. **Datenschutz durch Technikgestaltung**: Verantwortliche müssen bereits bei der Entwicklung und Auswahl von Technologien und Prozessen geeignete technische und organisatorische Maßnahmen treffen, um die Datenschutzgrundsätze (z. B. Datenminimierung, Integrität, Vertraulichkeit) wirksam umzusetzen. 2. **Datenschutzfreundliche Voreinstellungen**: Es muss sichergestellt werden, dass standardmäßig nur die personenbezogenen Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind. Das betrifft insbesondere die Menge der erhobenen Daten, den Umfang ihrer Verarbeitung, die Speicherfrist und ihre Zugänglichkeit. 3. **Berücksichtigung von Stand der Technik und Kosten**: Bei der Auswahl der Maßnahmen sind der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Ziel von Artikel 25 ist es, Datenschutz von Anfang an in Systeme und Prozesse zu integrieren und nicht erst nachträglich zu berücksichtigen. Den vollständigen Wortlaut findest du hier: [Artikel 25 DSGVO (eur-lex.europa.eu)](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679#d1e2202-1-1)