Muss der Auftragsverarbeitungsvertrag um im Audit genannte Dienstleister ergänzt werden, wenn aktuell kein aktives Projekt besteht?

Um echte Unter-Auftragsverarbeiter (Subunternehmer im Sinne der DSGVO) zu erkennen, sind folgende Informationen entscheidend: 1. **Art der Dienstleistung:** Der Unter-Auftragsverarbeiter muss tatsächlich im Auftrag des Hauptdienstleisters personenbezogene Daten verarbeiten, die im Zusammenhang mit dem Hauptauftrag stehen. 2. **Vertragliche Einbindung:** Es muss ein Vertrag oder eine Vereinbarung bestehen, die die Datenverarbeitung im Auftrag regelt (Art. 28 DSGVO). 3. **Zweck der Datenverarbeitung:** Die Verarbeitung muss ausschließlich im Rahmen und zu den Zwecken erfolgen, die der Hauptauftraggeber vorgegeben hat. 4. **Zugriff auf personenbezogene Daten:** Der Unter-Auftragsverarbeiter muss tatsächlich Zugriff auf personenbezogene Daten haben, die im Rahmen des Hauptauftrags verarbeitet werden. 5. **Keine Eigenverantwortung:** Der Unter-Auftragsverarbeiter darf die Daten nicht für eigene Zwecke nutzen, sondern nur im Auftrag und nach Weisung des Hauptdienstleisters. **Typische Beispiele für echte Unter-Auftragsverarbeiter:** - IT-Hosting-Anbieter, die Server für den Dienstleister betreiben und dabei Zugriff auf personenbezogene Daten haben. - Callcenter, die im Auftrag des Dienstleisters Kundendaten verarbeiten. - Externe Buchhaltungsfirmen, die im Auftrag des Dienstleisters Lohnabrechnungen erstellen. **Nicht als Unter-Auftragsverarbeiter gelten z.B.:** - Reine Telekommunikationsanbieter (z.B. Internetprovider ohne Datenzugriff) - Post- und Kurierdienste (reiner Transport, kein Datenzugriff) - Wartungsfirmen ohne Zugriff auf produktive Daten **Fazit:** Entscheidend ist, ob der Dienstleister im Rahmen des Auftrags tatsächlich personenbezogene Daten im Auftrag verarbeitet und dabei den Weisungen des Hauptdienstleisters unterliegt. Eine bloße Nennung in einer Liste reicht nicht aus – es muss ein tatsächlicher Datenverarbeitungsbezug bestehen. Weitere Infos: [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/)

Ob eine Dienstleistung mit Telefonnummernvalidierung eine Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist, hängt davon ab, wie die Dienstleistung ausgestaltet ist und welche Rolle der Dienstleister einnimmt. **Auftragsverarbeitung** liegt gemäß Art. 4 Nr. 8 und Art. 28 DSGVO immer dann vor, wenn ein Dienstleister personenbezogene Daten im Auftrag und nach Weisung eines Verantwortlichen verarbeitet. **Konkret:** - Wenn du als Unternehmen einen externen Dienstleister beauftragst, Telefonnummern deiner Kunden zu validieren (z.B. auf Gültigkeit oder Format), und der Dienstleister diese Daten ausschließlich nach deinen Vorgaben verarbeitet, handelt es sich in der Regel um eine Auftragsverarbeitung. In diesem Fall muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden. - Wenn der Dienstleister die Telefonnummern jedoch für eigene Zwecke verarbeitet oder die Daten mit anderen Datenquellen abgleicht, um eigene Produkte oder Services zu verbessern, ist er selbst Verantwortlicher oder ggf. gemeinsam Verantwortlicher. Dann liegt keine Auftragsverarbeitung vor. **Beispiel:** - Ein Dienstleister prüft im Auftrag deines Unternehmens, ob eine Telefonnummer existiert oder korrekt formatiert ist, und nutzt die Daten nicht für eigene Zwecke → Auftragsverarbeitung. - Ein Dienstleister sammelt Telefonnummern, wertet sie aus und nutzt sie für eigene Marketingzwecke → keine Auftragsverarbeitung. **Fazit:** In den meisten Fällen ist eine Dienstleistung zur Telefonnummernvalidierung eine Auftragsverarbeitung, sofern der Dienstleister die Daten ausschließlich im Auftrag und nach Weisung verarbeitet. Es sollte aber immer im Einzelfall geprüft werden, wie die Datenverarbeitung konkret erfolgt. Weitere Informationen findest du z.B. beim [BayLDA](https://www.lda.bayern.de/de/thema-auftragsverarbeitung.html) oder [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_24_10_auftragsverarbeitung.pdf).

In einem Auftragsverarbeitungsvertrag (AVV) bezeichnet der Begriff "interne Empfänger" in der Regel Personen oder Abteilungen innerhalb des Unternehmens des Auftragsverarbeiters, die Zugriff auf die verarbeiteten personenbezogenen Daten erhalten. Das können zum Beispiel Mitarbeitende aus der IT, dem Support, der Buchhaltung oder der Geschäftsleitung sein, sofern sie im Rahmen ihrer Aufgaben mit den Daten arbeiten müssen. Der Begriff dient dazu, abzugrenzen, wer innerhalb der Organisation des Auftragsverarbeiters berechtigt ist, die Daten zu sehen oder zu verarbeiten – im Gegensatz zu "externen Empfängern", also Dritten außerhalb des Unternehmens (z.B. Subunternehmer, andere Dienstleister oder Behörden). Die Nennung "interner Empfänger" im AVV ist wichtig, um Transparenz zu schaffen und sicherzustellen, dass nur autorisierte Personen Zugriff auf die Daten haben, wie es die Datenschutz-Grundverordnung (DSGVO) verlangt.

Ein DSGVO-Auftragskataster (auch Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO genannt) muss bestimmte Angaben enthalten, um den Anforderungen der-Grundver (DSGVO zu entsprechen. Folgende Inhalte sindend: 1 **Name und Konttdaten des Verantwort** und ggf. des gemeinsamen Verantwortlichen, des Vertreters des Verantwortlichen sowie des Datenschutzbeauftragten). 2. **Zwecke der Verarbeitung** Beschreibung, zu welchen Zwecken die personenbezogenen Daten verarbeitet werden. 3. **Beschreibung der Kategorien betroffener Personen** Zum Beispiel: Kunden, Mitarbeiter, Lieferanten. 4. **Beschreibung der Kategorien personenbezogener Daten** Zum Beispiel: Name, Adresse, Kontaktdaten, Bankdaten. 5. **Kategorien von Empfängern** An wen werden die Daten weitergegeben? (z.B. IT-Dienstleister, Steuerberater). 6. **Übermittlungen in Drittländer** Falls Daten außerhalb der EU/des EWR übermittelt werden: Angabe des Landes und ggf. der Garantien nach Art. 46 DSGVO. 7. **Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien** Wie lange werden die Daten gespeichert? 8. **Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen** Maßnahmen zum Schutz der Daten (z.B. Verschlüsselung, Zugangskontrollen). **Hinweis:** Auftragsverarbeiter müssen ein ähnliches Verzeichnis führen, das sich auf die im Auftrag durchgeführten Verarbeitungstätigkeiten bezieht. Weitere Informationen findest du direkt im Gesetzestext: [Art. 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten](https://dsgvo-gesetz.de/art-30-dsgvo/) Das Auftragskataster ist ein zentrales Element für die Rechenschaftspflicht nach DSGVO und sollte regelmäßig aktualisiert werden.

Wenn ein Auftragsverarbeiter einen Unterauftragsverarbeiter in einem Drittland (außerhalb des Europäischen Wirtschaftsraums, EWR) einsetzt, sind nach der Datenschutz-Grundverordnung (DSGVO) besondere Anforderungen zu beachten, um den Schutz personenbezogener Daten sicherzustellen: 1. **Genehmigung einholen:** Der Auftragsverarbeiter darf einen Unterauftragsverarbeiter nur mit vorheriger spezifischer oder allgemeiner schriftlicher Genehmigung des Verantwortlichen (Art. 28 Abs. 2 DSGVO) einsetzen. Der Verantwortliche muss also zustimmen. 2. **Vertragliche Regelungen:** Zwischen Auftragsverarbeiter und Unterauftragsverarbeiter muss ein Vertrag bestehen, der die gleichen Datenschutzpflichten wie der Hauptvertrag enthält (Art. 28 Abs. 4 DSGVO). 3. **Drittlandübermittlung prüfen:** Die Übermittlung personenbezogener Daten in ein Drittland ist nur zulässig, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Das bedeutet: - **Angemessenheitsbeschluss:** Die EU-Kommission hat festgestellt, dass das Drittland ein angemessenes Datenschutzniveau bietet (Liste siehe [EU-Kommission](https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_de)). - **Geeignete Garantien:** Liegt kein Angemessenheitsbeschluss vor, müssen geeignete Garantien wie Standardvertragsklauseln ([SCCs](https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_de)), verbindliche interne Datenschutzvorschriften (BCRs) oder andere Mechanismen eingesetzt werden. - **Zusätzliche Maßnahmen:** Nach dem Schrems II-Urteil des EuGH kann es notwendig sein, zusätzliche technische und organisatorische Maßnahmen zu ergreifen, um das Datenschutzniveau zu gewährleisten. 4. **Transparenz und Information:** Der Verantwortliche muss die betroffenen Personen über die Drittlandübermittlung informieren (Art. 13, 14 DSGVO). 5. **Dokumentation:** Alle Schritte und Entscheidungen sollten dokumentiert werden, um die Einhaltung der DSGVO nachweisen zu können. **Fazit:** Der Einsatz eines Unterauftragsverarbeiters in einem Drittland ist möglich, aber nur unter strikter Einhaltung der DSGVO-Vorgaben. Verantwortliche und Auftragsverarbeiter müssen gemeinsam sicherstellen, dass ein angemessenes Datenschutzniveau gewährleistet ist.

Ob ein Dienstleister, der Adressen für Werbezwecke einkauft, als Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung (DSGVO) gilt, hängt vom konkreten Auftrag und der Rolle des Dienstleisters ab. **Grundsätzliches:** - **Auftragsverarbeiter** ist nach Art. 4 Nr. 8 DSGVO eine Stelle, die personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet. - **Verantwortlicher** ist nach Art. 4 Nr. 7 DSGVO die Stelle, die über die Zwecke und Mittel der Verarbeitung entscheidet. **Typische Konstellationen:** 1. **Dienstleister kauft Adressen im eigenen Namen und verkauft sie weiter:** In diesem Fall ist der Dienstleister selbst Verantwortlicher für die Datenverarbeitung, da er über die Zwecke und Mittel der Datenerhebung entscheidet. Er ist dann kein Auftragsverarbeiter. 2. **Dienstleister kauft Adressen ausdrücklich im Auftrag und nach Weisung des Auftraggebers:** Hier könnte der Dienstleister als Auftragsverarbeiter agieren, wenn er ausschließlich im Namen und auf Weisung des Auftraggebers handelt und keine eigenen Zwecke verfolgt. **Praxis:** In der Regel kaufen Adresshändler oder Dienstleister Adressen im eigenen Namen und bieten sie verschiedenen Kunden an. Sie sind dann **eigene Verantwortliche** und nicht Auftragsverarbeiter. Nur wenn der Dienstleister ausschließlich für einen bestimmten Auftraggeber und nach dessen Weisung handelt, kann eine Auftragsverarbeitung vorliegen. **Fazit:** Ein Dienstleister, der Adressen für Werbezwecke einkauft, ist **in der Regel kein Auftragsverarbeiter**, sondern selbst Verantwortlicher. Eine Auftragsverarbeitung liegt nur vor, wenn der Dienstleister ausschließlich im Auftrag und nach Weisung des Auftraggebers handelt. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_24_10_auslegung_auftragsverarbeitung.pdf) (DSK) und beim [BayLDA](https://www.lda.bayern.de/media/FAQ_Auftragsverarbeitung.pdf).

Ein Fragenkatalog für die Durchführung eines Datenschutzaudits könnte folgende Bereiche abdecken: 1. **Allgemeine Informationen** - Welche personenbezogenen Daten werden verarbeitet? - Wer ist für den Datenschutz im Unternehmen verantwortlich? 2. **Rechtsgrundlagen** - Auf welcher Rechtsgrundlage erfolgt die Datenverarbeitung? - Sind die betroffenen Personen über die Datenverarbeitung informiert? 3. **Datenverarbeitung** - Wie werden die Daten erhoben (z.B. direkt, durch Dritte)? - Welche technischen und organisatorischen Maßnahmen sind zum Schutz der Daten implementiert? 4. **Zugriffsrechte** - Wer hat Zugriff auf die personenbezogenen Daten? - Wie wird der Zugriff auf die Daten dokumentiert und kontrolliert? 5. **Datenübermittlung** - Werden Daten an Dritte übermittelt? Wenn ja, an wen und zu welchem Zweck? - Gibt es internationale Datenübermittlungen? Welche Schutzmaßnahmen sind dafür getroffen? 6. **Speicherung und Löschung** - Wie lange werden die personenbezogenen Daten gespeichert? - Gibt es ein Löschkonzept für die Daten? 7. **Betroffenenrechte** - Wie wird sichergestellt, dass die Rechte der betroffenen Personen (z.B. Auskunft, Berichtigung, Löschung) gewahrt werden? - Gibt es Verfahren zur Bearbeitung von Anfragen betroffener Personen? 8. **Schulung und Sensibilisierung** - Werden Mitarbeiter regelmäßig zum Thema Datenschutz geschult? - Gibt es ein Bewusstsein für Datenschutzfragen im Unternehmen? 9. **Dokumentation und Nachweis** - Wie wird die Einhaltung der Datenschutzvorschriften dokumentiert? - Gibt es regelmäßige Überprüfungen und Anpassungen der Datenschutzmaßnahmen? 10. **Risikobewertung** - Wurden Risikoanalysen durchgeführt, um potenzielle Datenschutzrisiken zu identifizieren? - Welche Maßnahmen wurden ergriffen, um identifizierte Risiken zu minimieren? Dieser Katalog kann je nach spezifischen Anforderungen und Gegebenheiten des Unternehmens angepasst werden.

Um ein Audit zur Überprüfung der Einhaltung der Datenschutzbestimmungen durch, kannst du folgende Schritte befol: 1. **Zielsetzung und Planung**: Definiere die Ziele des Audits und erstelle einen detaillierten Plan, der den Umfang die Ressourcen und den Zeitrahmen festlegt. 2. **Relevante Gesetze und Vorschriften**: Informiere dich über die geltenden Datenschutzgesetze, wie die Datenschutz-Grundverordnung (DSGVO) in der EU oder andere lokale Vorschriften, die für dein Unternehmen relevant sind. 3. **Dokumentation sammeln**: Sammle alle relevanten Dokumente, wie Datenschutzrichtlinien, Verfahrensanweisungen, Einwilligungserklärungen und Aufzeichnungen über Datenverarbeitungsaktivitäten. 4. **Interviews Befragungen**: Führe Interviews mit Mitarbeitern durch, die für den Datenschutz verantwortlich sind, um deren Verständnis und Umsetzung der Datenschutzbestimmungen zu überprüfen. 5. **Technische und organisatorische Maßnahmen prüfen**: Überprüfe die technischen und organisatorischen Maßnahmen, die zum Schutz personenbezogener Daten implementiert wurden, wie Zugriffskontrollen, Verschlüsselung und Schulungen. 6. **Risikoanalyse**: Identifiziere und bewerte potenzielle Risiken für die Datenverarbeitung und die Einhaltung der Datenschutzbestimmungen. 7. **Berichterstattung**: Erstelle einen Auditbericht, der die Ergebnisse zusammenfasst, einschließlich festgestellter Mängel, Risiken und Empfehlungen zur Verbesserung. 8. **Maßnahmen umsetzen**: Entwickle einen Aktionsplan zur Behebung der festgestellten Mängel und setze die empfohlenen Maßnahmen um. 9. **Nachverfolgung**: Plane regelmäßige Nachverfolgungen und Audits, um sicherzustellen, dass die Datenschutzbestimmungen kontinuierlich eingehalten werden. Durch diese Schritte kannst du sicherstellen, dass dein Unternehmen die Datenschutzbestimmungen einhält und potenzielle Risiken minimiert werden.