Ist Desinfektion und Transport von medizintechnischen Geräten nach Entleihe eine Auftragsverarbeitung, wenn auf den Geräten Daten gespeichert sind?

Ob die Desinfektion, der Transport und die Datenlöschung von medizintechnischen Geräten nach einer Entleihe als Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) gilt, hängt davon ab, ob und wie personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden. **1. Desinfektion und Transport:** Diese Tätigkeiten betreffen in der Regel keine Verarbeitung personenbezogener Daten, sondern sind rein physische Dienstleistungen. Solange bei Desinfektion und Transport keine personenbezogenen Daten verarbeitet werden (z.B. keine Einsichtnahme in Patientendaten auf dem Gerät erfolgt), handelt es sich **nicht** um eine Auftragsverarbeitung nach Art. 28 DSGVO. **2. Datenlöschung:** Die Datenlöschung kann eine Auftragsverarbeitung darstellen, wenn dabei personenbezogene Daten im Auftrag des Verantwortlichen gelöscht werden. Das ist insbesondere dann der Fall, wenn auf den Geräten noch Patientendaten oder andere personenbezogene Informationen gespeichert sind und der Dienstleister diese im Auftrag des Verantwortlichen löscht. In diesem Fall ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO erforderlich. **Fazit:** - **Desinfektion und Transport:** In der Regel keine Auftragsverarbeitung. - **Datenlöschung:** In der Regel Auftragsverarbeitung, wenn personenbezogene Daten betroffen sind. **Quellen und weitere Informationen:** - [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/) - [BfDI: Auftragsverarbeitung](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitung-und-Weitergabe/Auftragsverarbeitung/auftragsverarbeitung-node.html) Im Zweifel sollte eine datenschutzrechtliche Prüfung im Einzelfall erfolgen.

Ob die Inanspruchnahme von Leistungen, bei denen ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, eine Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) darstellt, hängt von den Umständen ab. Nach Art. 4 Nr. 8 DSGVO ist Auftragsverarbeiter eine Person oder Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Entscheidend ist, ob der Dienstleister tatsächlich im Auftrag und nach Weisung des Verantwortlichen mit personenbezogenen Daten umgeht. **Wichtige Kriterien:** - **Tatsächlicher Zugriff:** Es reicht aus, dass der Dienstleister theoretisch Zugriff auf personenbezogene Daten haben könnte (z.B. bei Wartung, Hosting, IT-Support). Ein tatsächlicher Zugriff ist nicht zwingend erforderlich. - **Weisungsgebundenheit:** Der Dienstleister handelt nicht eigenverantwortlich, sondern ausschließlich nach Weisung des Verantwortlichen. - **Zweck der Datenverarbeitung:** Die Verarbeitung erfolgt ausschließlich zur Erbringung der beauftragten Leistung. **Beispiel:** Ein IT-Dienstleister, der Wartungsarbeiten an einem System durchführt, in dem personenbezogene Daten gespeichert sind, gilt als Auftragsverarbeiter, auch wenn er im Regelfall nicht auf die Daten zugreift, dies aber technisch möglich wäre. **Fazit:** Ja, wenn ein Zugriff auf personenbezogene Daten durch den Dienstleister nicht ausgeschlossen werden kann und dieser im Auftrag und nach Weisung des Verantwortlichen handelt, liegt in der Regel eine Auftragsverarbeitung vor. In diesem Fall ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO erforderlich. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auslegung_auftragsverarbeitung.pdf) (DSK) oder beim [BfDI](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitung-und-Weitergabe/Auftragsverarbeitung/auftragsverarbeitung-node.html).

Ob eine Auftragsverarbeitung im Sinne der DSGVO (§ 28 DSGVO) vorliegt, hängt davon ab, in welcher Rolle die externe Vertriebsagentur die personenbezogenen Daten verarbeitet: **Auftragsverarbeitung liegt vor, wenn:** Die Vertriebsagentur die Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers (z.B. des Kundenunternehmens) verarbeitet und keine eigenen Zwecke verfolgt. Die Agentur ist dann „Auftragsverarbeiter“ und es muss ein Vertrag zur Auftragsverarbeitung abgeschlossen werden. **Keine Auftragsverarbeitung liegt vor, wenn:** Die Vertriebsagentur die Daten für eigene Zwecke nutzt, z.B. um eigene Produkte oder Dienstleistungen anzubieten, oder eigenverantwortlich über die Zwecke und Mittel der Verarbeitung entscheidet. In diesem Fall ist die Agentur „gemeinsam Verantwortlicher“ oder „eigener Verantwortlicher“ nach Art. 4 Nr. 7 DSGVO. **Fazit:** Erhält die externe Vertriebsagentur die personenbezogenen Daten der Ansprechpartner ausschließlich, um im Auftrag des Kundenunternehmens Vertriebsdienstleistungen zu erbringen (z.B. Kontaktaufnahme, Terminvereinbarung), und handelt sie dabei nur nach Weisung, liegt in der Regel eine Auftragsverarbeitung vor. Handelt die Agentur jedoch eigenverantwortlich oder zu eigenen Zwecken, ist dies keine Auftragsverarbeitung. **Weitere Informationen:** - [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/) - [Auftragsverarbeitung vs. gemeinsame Verantwortlichkeit (BfDI)](https://www.bfdi.bund.de/DE/Infothek/Schlagworte/A/Auftragsverarbeitung/auftragsverarbeitung.html) Eine genaue Einordnung hängt immer vom konkreten Vertrag und der tatsächlichen Ausgestaltung der Zusammenarbeit ab.

Der reine Transport eines medizintechnischen Geräts, auf dem sich personenbezogene Daten befinden, stellt in der Regel **keine Auftragsverarbeitung** im Sinne von Art. 4 Nr. 8 und Art. 28 DSGVO dar – unabhängig davon, ob das Gerät versiegelt ist oder nicht. **Begründung:** - **Auftragsverarbeitung** liegt vor, wenn ein Dienstleister personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet (z.B. speichert, verändert, löscht). - Beim reinen Transport wird das Gerät lediglich von A nach B befördert, ohne dass der Transporteur aktiv auf die Daten zugreift oder sie verarbeitet. - Das Fehlen einer Versiegelung ändert daran grundsätzlich nichts. Allerdings erhöht es das Risiko eines unbefugten Zugriffs, was datenschutzrechtlich zu berücksichtigen ist (Stichwort: technische und organisatorische Maßnahmen nach Art. 32 DSGVO). **Wichtig:** Sollte der Transporteur jedoch die Möglichkeit haben, auf die Daten zuzugreifen (z.B. weil das Gerät nicht verschlüsselt oder nicht versiegelt ist), kann dies ein Risiko darstellen. In diesem Fall ist zu prüfen, ob zusätzliche Schutzmaßnahmen erforderlich sind (z.B. Verschlüsselung, vertragliche Regelungen). **Fazit:** Der Transport selbst ist keine Auftragsverarbeitung, solange keine Datenverarbeitung im Sinne der DSGVO erfolgt. Die Sicherheit der Daten muss aber dennoch gewährleistet sein. Weitere Informationen zur Auftragsverarbeitung findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auslegung_auftragsverarbeitung.pdf).

Der reine Transport eines medizintechnischen Geräts, auf dem sich personenbezogene Daten befinden, stellt in der Regel **keine Auftragsverarbeitung** im Sinne der Datenschutz-Grundverordnung (DSGVO) dar. **Begründung:** Eine Auftragsverarbeitung nach Art. 28 DSGVO liegt vor, wenn ein Dienstleister im Auftrag und nach Weisung des Verantwortlichen personenbezogene Daten verarbeitet. Beim Transport wird das Gerät (und damit die Daten) lediglich physisch befördert, ohne dass der Transporteur selbst auf die Daten zugreift oder sie verarbeitet (z.B. einliest, speichert, verändert oder löscht). **Wichtig:** - Der Transporteur darf keinen Zugriff auf die Daten nehmen. - Es müssen geeignete technische und organisatorische Maßnahmen getroffen werden, um die Daten während des Transports zu schützen (z.B. Verschlüsselung, versiegelte Verpackung). **Ausnahme:** Sollte der Transporteur im Rahmen des Transports tatsächlich Zugriff auf die Daten erhalten oder diese in irgendeiner Form verarbeiten (z.B. zur Wartung, Reparatur, Auslesen der Daten), wäre eine Auftragsverarbeitung gegeben und ein entsprechender Vertrag nach Art. 28 DSGVO erforderlich. **Fazit:** Solange der Transporteur keinen Zugriff auf die Daten hat und diese nicht verarbeitet, handelt es sich nicht um eine Auftragsverarbeitung. Es ist jedoch ratsam, dies im Einzelfall zu prüfen und die Schutzmaßnahmen zu dokumentieren. Weitere Informationen zur Auftragsverarbeitung findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auftragsverarbeitung.pdf).

In einem Auftragsverarbeitungsvertrag (AVV) bezeichnet der Begriff "interne Empfänger" in der Regel Personen oder Abteilungen innerhalb des Unternehmens des Auftragsverarbeiters, die Zugriff auf die verarbeiteten personenbezogenen Daten erhalten. Das können zum Beispiel Mitarbeitende aus der IT, dem Support, der Buchhaltung oder der Geschäftsleitung sein, sofern sie im Rahmen ihrer Aufgaben mit den Daten arbeiten müssen. Der Begriff dient dazu, abzugrenzen, wer innerhalb der Organisation des Auftragsverarbeiters berechtigt ist, die Daten zu sehen oder zu verarbeiten – im Gegensatz zu "externen Empfängern", also Dritten außerhalb des Unternehmens (z.B. Subunternehmer, andere Dienstleister oder Behörden). Die Nennung "interner Empfänger" im AVV ist wichtig, um Transparenz zu schaffen und sicherzustellen, dass nur autorisierte Personen Zugriff auf die Daten haben, wie es die Datenschutz-Grundverordnung (DSGVO) verlangt.

Wenn ein Auftragsverarbeiter einen Unterauftragsverarbeiter in einem Drittland (außerhalb des Europäischen Wirtschaftsraums, EWR) einsetzt, sind nach der Datenschutz-Grundverordnung (DSGVO) besondere Anforderungen zu beachten, um den Schutz personenbezogener Daten sicherzustellen: 1. **Genehmigung einholen:** Der Auftragsverarbeiter darf einen Unterauftragsverarbeiter nur mit vorheriger spezifischer oder allgemeiner schriftlicher Genehmigung des Verantwortlichen (Art. 28 Abs. 2 DSGVO) einsetzen. Der Verantwortliche muss also zustimmen. 2. **Vertragliche Regelungen:** Zwischen Auftragsverarbeiter und Unterauftragsverarbeiter muss ein Vertrag bestehen, der die gleichen Datenschutzpflichten wie der Hauptvertrag enthält (Art. 28 Abs. 4 DSGVO). 3. **Drittlandübermittlung prüfen:** Die Übermittlung personenbezogener Daten in ein Drittland ist nur zulässig, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Das bedeutet: - **Angemessenheitsbeschluss:** Die EU-Kommission hat festgestellt, dass das Drittland ein angemessenes Datenschutzniveau bietet (Liste siehe [EU-Kommission](https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_de)). - **Geeignete Garantien:** Liegt kein Angemessenheitsbeschluss vor, müssen geeignete Garantien wie Standardvertragsklauseln ([SCCs](https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_de)), verbindliche interne Datenschutzvorschriften (BCRs) oder andere Mechanismen eingesetzt werden. - **Zusätzliche Maßnahmen:** Nach dem Schrems II-Urteil des EuGH kann es notwendig sein, zusätzliche technische und organisatorische Maßnahmen zu ergreifen, um das Datenschutzniveau zu gewährleisten. 4. **Transparenz und Information:** Der Verantwortliche muss die betroffenen Personen über die Drittlandübermittlung informieren (Art. 13, 14 DSGVO). 5. **Dokumentation:** Alle Schritte und Entscheidungen sollten dokumentiert werden, um die Einhaltung der DSGVO nachweisen zu können. **Fazit:** Der Einsatz eines Unterauftragsverarbeiters in einem Drittland ist möglich, aber nur unter strikter Einhaltung der DSGVO-Vorgaben. Verantwortliche und Auftragsverarbeiter müssen gemeinsam sicherstellen, dass ein angemessenes Datenschutzniveau gewährleistet ist.

Um echte Unter-Auftragsverarbeiter (Subunternehmer im Sinne der DSGVO) zu erkennen, sind folgende Informationen entscheidend: 1. **Art der Dienstleistung:** Der Unter-Auftragsverarbeiter muss tatsächlich im Auftrag des Hauptdienstleisters personenbezogene Daten verarbeiten, die im Zusammenhang mit dem Hauptauftrag stehen. 2. **Vertragliche Einbindung:** Es muss ein Vertrag oder eine Vereinbarung bestehen, die die Datenverarbeitung im Auftrag regelt (Art. 28 DSGVO). 3. **Zweck der Datenverarbeitung:** Die Verarbeitung muss ausschließlich im Rahmen und zu den Zwecken erfolgen, die der Hauptauftraggeber vorgegeben hat. 4. **Zugriff auf personenbezogene Daten:** Der Unter-Auftragsverarbeiter muss tatsächlich Zugriff auf personenbezogene Daten haben, die im Rahmen des Hauptauftrags verarbeitet werden. 5. **Keine Eigenverantwortung:** Der Unter-Auftragsverarbeiter darf die Daten nicht für eigene Zwecke nutzen, sondern nur im Auftrag und nach Weisung des Hauptdienstleisters. **Typische Beispiele für echte Unter-Auftragsverarbeiter:** - IT-Hosting-Anbieter, die Server für den Dienstleister betreiben und dabei Zugriff auf personenbezogene Daten haben. - Callcenter, die im Auftrag des Dienstleisters Kundendaten verarbeiten. - Externe Buchhaltungsfirmen, die im Auftrag des Dienstleisters Lohnabrechnungen erstellen. **Nicht als Unter-Auftragsverarbeiter gelten z.B.:** - Reine Telekommunikationsanbieter (z.B. Internetprovider ohne Datenzugriff) - Post- und Kurierdienste (reiner Transport, kein Datenzugriff) - Wartungsfirmen ohne Zugriff auf produktive Daten **Fazit:** Entscheidend ist, ob der Dienstleister im Rahmen des Auftrags tatsächlich personenbezogene Daten im Auftrag verarbeitet und dabei den Weisungen des Hauptdienstleisters unterliegt. Eine bloße Nennung in einer Liste reicht nicht aus – es muss ein tatsächlicher Datenverarbeitungsbezug bestehen. Weitere Infos: [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/)

Die azrecorder App (auch bekannt als AZ Screen Recorder) ist eine beliebte Anwendung zum Aufzeichnen von Bildschirminhalten auf Android-Geräten. Beim Thema Datenschutz gibt es einige wichtige Punkte zu beachten: 1. **Berechtigungen:** Die App benötigt verschiedene Berechtigungen, z. B. Zugriff auf den Speicher, das Mikrofon und ggf. die Kamera. Diese Berechtigungen sind notwendig, um Bildschirmaufnahmen zu speichern und Ton aufzuzeichnen. 2. **Datenspeicherung:** Laut den Angaben des Entwicklers werden die aufgezeichneten Videos lokal auf dem Gerät gespeichert. Es erfolgt keine automatische Übertragung der Aufnahmen an Server des Anbieters. 3. **Datenerhebung:** Die App kann laut Datenschutzerklärung (siehe [Google Play Store – Datenschutz](https://play.google.com/store/apps/details?id=com.hecorat.screenrecorder.free&hl=de&gl=US)) bestimmte Nutzungsdaten und Diagnosedaten erfassen, um die App zu verbessern oder Fehler zu beheben. Dazu können Geräteinformationen, App-Nutzungsstatistiken und Absturzberichte gehören. 4. **Werbung und Drittanbieter:** Die kostenlose Version der App blendet Werbung ein. Dabei können Drittanbieter (z. B. Werbenetzwerke) Daten wie Gerätekennungen oder Standortinformationen erfassen, um personalisierte Werbung anzuzeigen. 5. **Datenschutzbestimmungen:** Die vollständigen Datenschutzrichtlinien findest du auf der [offiziellen Website des Entwicklers](https://az-screen-recorder.com/privacy-policy/) oder im Google Play Store unter dem Abschnitt „Datenschutz“. **Fazit:** Die azrecorder App speichert deine Aufnahmen lokal und erhebt laut eigenen Angaben keine sensiblen personenbezogenen Daten ohne deine Zustimmung. Allerdings werden durch Werbung und Analyse-Tools gewisse Nutzungsdaten erfasst. Es empfiehlt sich, die Datenschutzbestimmungen sorgfältig zu lesen und die Berechtigungen der App regelmäßig zu überprüfen. Weitere Informationen findest du direkt beim [Entwickler](https://az-screen-recorder.com/) und im [Google Play Store](https://play.google.com/store/apps/details?id=com.hecorat.screenrecorder.free&hl=de&gl=US).

Die Teilnahme eines Interimmanagers an einem Bewerbungsgespräch ist aus datenschutzrechtlicher Sicht grundsätzlich zulässig, wenn bestimmte Voraussetzungen erfüllt sind. Nach der Datenschutz-Grundverordnung (DSGVO) dürfen personenbezogene Daten – dazu zählen auch die im Bewerbungsgespräch erhobenen Informationen – nur verarbeitet werden, wenn dafür eine Rechtsgrundlage besteht. Wichtige Punkte: 1. **Erforderlichkeit**: Die Teilnahme des Interimmanagers muss für den Auswahlprozess erforderlich sein, z.B. weil er eine leitende Funktion innehat oder fachlich relevante Entscheidungen trifft. 2. **Vertraulichkeit**: Der Interimmanager muss zur Vertraulichkeit verpflichtet werden, idealerweise durch eine entsprechende Vereinbarung oder durch Aufnahme in den Arbeits- bzw. Dienstvertrag. 3. **Information der Bewerber**: Die Bewerber müssen darüber informiert werden, wer am Gespräch teilnimmt und zu welchem Zweck ihre Daten verarbeitet werden (Art. 13 DSGVO). 4. **Zweckbindung**: Die im Gespräch erhobenen Daten dürfen nur für den Auswahlprozess verwendet werden. Fazit: Die Teilnahme ist zulässig, wenn der Interimmanager in den Auswahlprozess eingebunden ist, zur Vertraulichkeit verpflichtet wurde und die Bewerber entsprechend informiert werden. Weitere Informationen bietet z.B. die [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder die [Bundesbeauftragte für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).