Muss für die Nutzung des Samsung VXT CMS ein Auftragsverarbeitungsvertrag mit Samsung abgeschlossen werden?

Ob IaaS (Infrastructure as a Service) und PaaS (Platform as a Service) als Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) gelten, hängt davon ab, wie diese Dienste genutzt werden und welche Rolle der Anbieter dabei spielt. **Grundsätzliches zur Auftragsverarbeitung:** Auftragsverarbeitung liegt vor, wenn ein Dienstleister (Auftragsverarbeiter) personenbezogene Daten im Auftrag und nach Weisung eines Verantwortlichen verarbeitet (Art. 4 Nr. 8, Art. 28 DSGVO). **IaaS und PaaS im Kontext der Auftragsverarbeitung:** - **IaaS:** Hier stellt der Anbieter Infrastruktur (z.B. Server, Speicher, Netzwerke) zur Verfügung. Der Kunde installiert und betreibt darauf eigene Anwendungen und verarbeitet ggf. personenbezogene Daten. Der IaaS-Anbieter hat in der Regel keinen Zugriff auf die Daten, kann aber technisch darauf zugreifen (z.B. im Rahmen von Wartung oder Support). Daher wird IaaS meist als Auftragsverarbeitung eingestuft, sofern personenbezogene Daten verarbeitet werden. - **PaaS:** Hier stellt der Anbieter eine Plattform (z.B. Datenbanken, Entwicklungsumgebungen) bereit, auf der der Kunde eigene Anwendungen betreibt. Auch hier verarbeitet der Anbieter ggf. personenbezogene Daten im Auftrag des Kunden. Daher ist auch PaaS in der Regel als Auftragsverarbeitung zu betrachten. **Wichtige Voraussetzung:** Entscheidend ist, dass der Anbieter im Auftrag und nach Weisung des Kunden handelt und keinen eigenen Zweck bei der Datenverarbeitung verfolgt. **Fazit:** In den meisten Fällen sind IaaS- und PaaS-Anbieter als Auftragsverarbeiter zu qualifizieren, wenn sie im Auftrag des Kunden personenbezogene Daten verarbeiten. Es muss dann ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen werden. **Weitere Informationen:** - [IaaS bei Wikipedia](https://de.wikipedia.org/wiki/Infrastructure_as_a_Service) - [PaaS bei Wikipedia](https://de.wikipedia.org/wiki/Platform_as_a_Service) - [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/) Eine genaue Bewertung kann im Einzelfall aber von der konkreten Ausgestaltung des Dienstes abhängen.

Der reine Transport von unverschlüsselten Festplatten mit personenbezogenen Daten – ohne dass der Transporteur selbst auf die Daten zugreift oder sie verarbeitet – gilt in der Regel **nicht** als Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO). **Begründung:** Auftragsverarbeitung nach Art. 4 Nr. 8 und Art. 28 DSGVO liegt vor, wenn ein Dienstleister personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet. Der reine Transport (z.B. durch ein Kurierunternehmen), bei dem keine inhaltliche Kenntnisnahme oder Verarbeitung der Daten erfolgt, ist grundsätzlich keine Verarbeitung im Sinne der DSGVO, sondern eine reine Transportdienstleistung. **Wichtig:** - Der Transporteur darf keinen Zugriff auf die Daten nehmen. - Die Festplatten sollten idealerweise verschlüsselt sein, um das Risiko eines Datenverlusts oder -missbrauchs zu minimieren. - Es empfiehlt sich, mit dem Transporteur eine Vertraulichkeitsvereinbarung zu schließen und technische sowie organisatorische Maßnahmen zum Schutz der Daten zu treffen. **Quellen und weitere Informationen:** - [Datenschutzkonferenz: Orientierungshilfe Auftragsverarbeitung](https://www.datenschutzkonferenz-online.de/media/oh/20180524_oh_auftragsverarbeitung.pdf) (siehe insbesondere S. 6, Punkt 2.2) - [BayLDA: FAQ zur Auftragsverarbeitung](https://www.lda.bayern.de/media/FAQ_Auftragsverarbeitung.pdf) **Fazit:** Der reine Transport unverschlüsselter Festplatten mit personenbezogenen Daten ist in der Regel keine Auftragsverarbeitung, solange keine Datenverarbeitung im Sinne der DSGVO erfolgt.

Der reine Transport eines medizintechnischen Geräts, auf dem sich personenbezogene Daten befinden, stellt in der Regel **keine Auftragsverarbeitung** im Sinne von Art. 4 Nr. 8 und Art. 28 DSGVO dar – unabhängig davon, ob das Gerät versiegelt ist oder nicht. **Begründung:** - **Auftragsverarbeitung** liegt vor, wenn ein Dienstleister personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet (z.B. speichert, verändert, löscht). - Beim reinen Transport wird das Gerät lediglich von A nach B befördert, ohne dass der Transporteur aktiv auf die Daten zugreift oder sie verarbeitet. - Das Fehlen einer Versiegelung ändert daran grundsätzlich nichts. Allerdings erhöht es das Risiko eines unbefugten Zugriffs, was datenschutzrechtlich zu berücksichtigen ist (Stichwort: technische und organisatorische Maßnahmen nach Art. 32 DSGVO). **Wichtig:** Sollte der Transporteur jedoch die Möglichkeit haben, auf die Daten zuzugreifen (z.B. weil das Gerät nicht verschlüsselt oder nicht versiegelt ist), kann dies ein Risiko darstellen. In diesem Fall ist zu prüfen, ob zusätzliche Schutzmaßnahmen erforderlich sind (z.B. Verschlüsselung, vertragliche Regelungen). **Fazit:** Der Transport selbst ist keine Auftragsverarbeitung, solange keine Datenverarbeitung im Sinne der DSGVO erfolgt. Die Sicherheit der Daten muss aber dennoch gewährleistet sein. Weitere Informationen zur Auftragsverarbeitung findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auslegung_auftragsverarbeitung.pdf).

Der reine Transport eines medizintechnischen Geräts, auf dem sich personenbezogene Daten befinden, stellt in der Regel **keine Auftragsverarbeitung** im Sinne der Datenschutz-Grundverordnung (DSGVO) dar. **Begründung:** Eine Auftragsverarbeitung nach Art. 28 DSGVO liegt vor, wenn ein Dienstleister im Auftrag und nach Weisung des Verantwortlichen personenbezogene Daten verarbeitet. Beim Transport wird das Gerät (und damit die Daten) lediglich physisch befördert, ohne dass der Transporteur selbst auf die Daten zugreift oder sie verarbeitet (z.B. einliest, speichert, verändert oder löscht). **Wichtig:** - Der Transporteur darf keinen Zugriff auf die Daten nehmen. - Es müssen geeignete technische und organisatorische Maßnahmen getroffen werden, um die Daten während des Transports zu schützen (z.B. Verschlüsselung, versiegelte Verpackung). **Ausnahme:** Sollte der Transporteur im Rahmen des Transports tatsächlich Zugriff auf die Daten erhalten oder diese in irgendeiner Form verarbeiten (z.B. zur Wartung, Reparatur, Auslesen der Daten), wäre eine Auftragsverarbeitung gegeben und ein entsprechender Vertrag nach Art. 28 DSGVO erforderlich. **Fazit:** Solange der Transporteur keinen Zugriff auf die Daten hat und diese nicht verarbeitet, handelt es sich nicht um eine Auftragsverarbeitung. Es ist jedoch ratsam, dies im Einzelfall zu prüfen und die Schutzmaßnahmen zu dokumentieren. Weitere Informationen zur Auftragsverarbeitung findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auftragsverarbeitung.pdf).

Ob eine Unterauftragsverarbeitung (Subunternehmerverhältnis) im Sinne der DSGVO vorliegt, hängt davon ab, ob der Dritte im Auftrag und auf Weisung des ursprünglichen Auftragsverarbeiters personenbezogene Daten verarbeitet. Im beschriebenen Fall: Wenn der Mitarbeiterscreening-Auftragsverarbeiter (AV) einen Dritten mit der Entwicklung und Implementierung von Business ByDesign Plugins beauftragt, ist entscheidend, ob dieser Dritte im Rahmen seiner Tätigkeit Zugriff auf personenbezogene Daten erhält, die im Rahmen des Mitarbeiterscreenings verarbeitet werden. **Unterauftragsverarbeitung liegt vor, wenn:** - Der Dritte im Auftrag des AV handelt, - und dabei personenbezogene Daten verarbeitet, die Gegenstand des ursprünglichen Auftragsverarbeitungsvertrags sind. **Beispiel:** - Der Dritte entwickelt und implementiert Plugins und hat dabei Zugriff auf die Datenbank mit personenbezogenen Daten der Mitarbeiter (z.B. zu Testzwecken, Fehlerbehebung, Migration). - In diesem Fall ist der Dritte ein Unterauftragsverarbeiter gemäß Art. 28 Abs. 2 und 4 DSGVO. Der AV muss die Zustimmung des Verantwortlichen einholen und einen entsprechenden Vertrag mit dem Dritten abschließen. **Keine Unterauftragsverarbeitung liegt vor, wenn:** - Der Dritte rein technische Dienstleistungen erbringt, ohne dabei mit personenbezogenen Daten in Berührung zu kommen (z.B. rein theoretische Entwicklung ohne Zugriff auf Produktivdaten). - Oder der Dritte als eigenständiger Verantwortlicher agiert (was hier aber unwahrscheinlich ist). **Fazit:** Sobald der beauftragte Dritte im Rahmen der Entwicklung oder Implementierung tatsächlich Zugriff auf personenbezogene Daten erhält oder diese verarbeitet, handelt es sich um eine Unterauftragsverarbeitung. In diesem Fall sind die Vorgaben des Art. 28 DSGVO zu beachten. Weitere Informationen: - [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/) - [Business ByDesign (SAP)](https://www.sap.com/germany/products/erp/business-bydesign.html)

Ob zwischen Samsung und Hiya eine gemeinsame Verantwortlichkeit, eine Auftragsverarbeitung oder eine unabhängige Verantwortlichkeit im Sinne der DSGVO vorliegt, hängt vom konkreten Einsatzszenario und der Art der Zusammenarbeit ab. **Hintergrund:** Hiya ist ein Anbieter von Anrufschutz- und Identifikationsdiensten, der beispielsweise in Samsung-Smartphones integriert ist, um Spam-Anrufe zu erkennen und Nutzer zu warnen. **Mögliche Konstellationen:** 1. **Gemeinsame Verantwortlichkeit (Art. 26 DSGVO):** Diese liegt vor, wenn beide Unternehmen gemeinsam über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden. Das wäre der Fall, wenn Samsung und Hiya eng zusammenarbeiten, gemeinsam die Datenverarbeitung gestalten und beide Einfluss auf die Datenverarbeitung haben. 2. **Auftragsverarbeitung (Art. 28 DSGVO):** Hiya wäre Auftragsverarbeiter, wenn es personenbezogene Daten ausschließlich im Auftrag und nach Weisung von Samsung verarbeitet, ohne eigene Entscheidungsbefugnis über die Zwecke und Mittel der Verarbeitung. 3. **Unabhängige Verantwortlichkeit:** Beide Unternehmen sind unabhängig verantwortlich, wenn sie jeweils getrennt und für eigene Zwecke personenbezogene Daten verarbeiten, ohne die Verarbeitung gemeinsam zu bestimmen. **Praxisbeispiel Samsung & Hiya:** Nach öffentlich verfügbaren Informationen (z. B. Datenschutzerklärungen von Samsung und Hiya) agiert Hiya in der Regel als eigenständiger Dienstleister, der im Rahmen seiner eigenen Datenschutzerklärung Daten verarbeitet. Samsung stellt die technische Schnittstelle bereit, über die Nutzer den Hiya-Dienst aktivieren können. Die Datenverarbeitung durch Hiya erfolgt dann auf Grundlage der Einwilligung des Nutzers und unter eigener Verantwortung von Hiya. **Fazit:** In den meisten Fällen liegt **unabhängige Verantwortlichkeit** vor, da Hiya die Daten für eigene Zwecke verarbeitet und Samsung lediglich die Integration ermöglicht. Eine gemeinsame Verantwortlichkeit wäre nur dann gegeben, wenn beide Unternehmen gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden, was nach aktuellem Kenntnisstand nicht der Fall ist. Eine Auftragsverarbeitung ist ebenfalls unwahrscheinlich, da Hiya nicht ausschließlich im Auftrag von Samsung handelt. **Quellen und weitere Informationen:** - [Samsung Datenschutzerklärung](https://www.samsung.com/de/info/privacy/) - [Hiya Datenschutzerklärung](https://hiya.com/privacy-policy/) Für eine abschließende rechtliche Bewertung sollte jedoch die konkrete vertragliche und technische Ausgestaltung geprüft werden.

Ob eine Dienstleistung mit Telefonnummernvalidierung eine Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist, hängt davon ab, wie die Dienstleistung ausgestaltet ist und welche Rolle der Dienstleister einnimmt. **Auftragsverarbeitung** liegt gemäß Art. 4 Nr. 8 und Art. 28 DSGVO immer dann vor, wenn ein Dienstleister personenbezogene Daten im Auftrag und nach Weisung eines Verantwortlichen verarbeitet. **Konkret:** - Wenn du als Unternehmen einen externen Dienstleister beauftragst, Telefonnummern deiner Kunden zu validieren (z.B. auf Gültigkeit oder Format), und der Dienstleister diese Daten ausschließlich nach deinen Vorgaben verarbeitet, handelt es sich in der Regel um eine Auftragsverarbeitung. In diesem Fall muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden. - Wenn der Dienstleister die Telefonnummern jedoch für eigene Zwecke verarbeitet oder die Daten mit anderen Datenquellen abgleicht, um eigene Produkte oder Services zu verbessern, ist er selbst Verantwortlicher oder ggf. gemeinsam Verantwortlicher. Dann liegt keine Auftragsverarbeitung vor. **Beispiel:** - Ein Dienstleister prüft im Auftrag deines Unternehmens, ob eine Telefonnummer existiert oder korrekt formatiert ist, und nutzt die Daten nicht für eigene Zwecke → Auftragsverarbeitung. - Ein Dienstleister sammelt Telefonnummern, wertet sie aus und nutzt sie für eigene Marketingzwecke → keine Auftragsverarbeitung. **Fazit:** In den meisten Fällen ist eine Dienstleistung zur Telefonnummernvalidierung eine Auftragsverarbeitung, sofern der Dienstleister die Daten ausschließlich im Auftrag und nach Weisung verarbeitet. Es sollte aber immer im Einzelfall geprüft werden, wie die Datenverarbeitung konkret erfolgt. Weitere Informationen findest du z.B. beim [BayLDA](https://www.lda.bayern.de/de/thema-auftragsverarbeitung.html) oder [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_24_10_auftragsverarbeitung.pdf).

In einem Auftragsverarbeitungsvertrag (AVV) bezeichnet der Begriff "interne Empfänger" in der Regel Personen oder Abteilungen innerhalb des Unternehmens des Auftragsverarbeiters, die Zugriff auf die verarbeiteten personenbezogenen Daten erhalten. Das können zum Beispiel Mitarbeitende aus der IT, dem Support, der Buchhaltung oder der Geschäftsleitung sein, sofern sie im Rahmen ihrer Aufgaben mit den Daten arbeiten müssen. Der Begriff dient dazu, abzugrenzen, wer innerhalb der Organisation des Auftragsverarbeiters berechtigt ist, die Daten zu sehen oder zu verarbeiten – im Gegensatz zu "externen Empfängern", also Dritten außerhalb des Unternehmens (z.B. Subunternehmer, andere Dienstleister oder Behörden). Die Nennung "interner Empfänger" im AVV ist wichtig, um Transparenz zu schaffen und sicherzustellen, dass nur autorisierte Personen Zugriff auf die Daten haben, wie es die Datenschutz-Grundverordnung (DSGVO) verlangt.

Ein DSGVO-Auftragskataster (auch Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO genannt) muss bestimmte Angaben enthalten, um den Anforderungen der-Grundver (DSGVO zu entsprechen. Folgende Inhalte sindend: 1 **Name und Konttdaten des Verantwort** und ggf. des gemeinsamen Verantwortlichen, des Vertreters des Verantwortlichen sowie des Datenschutzbeauftragten). 2. **Zwecke der Verarbeitung** Beschreibung, zu welchen Zwecken die personenbezogenen Daten verarbeitet werden. 3. **Beschreibung der Kategorien betroffener Personen** Zum Beispiel: Kunden, Mitarbeiter, Lieferanten. 4. **Beschreibung der Kategorien personenbezogener Daten** Zum Beispiel: Name, Adresse, Kontaktdaten, Bankdaten. 5. **Kategorien von Empfängern** An wen werden die Daten weitergegeben? (z.B. IT-Dienstleister, Steuerberater). 6. **Übermittlungen in Drittländer** Falls Daten außerhalb der EU/des EWR übermittelt werden: Angabe des Landes und ggf. der Garantien nach Art. 46 DSGVO. 7. **Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien** Wie lange werden die Daten gespeichert? 8. **Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen** Maßnahmen zum Schutz der Daten (z.B. Verschlüsselung, Zugangskontrollen). **Hinweis:** Auftragsverarbeiter müssen ein ähnliches Verzeichnis führen, das sich auf die im Auftrag durchgeführten Verarbeitungstätigkeiten bezieht. Weitere Informationen findest du direkt im Gesetzestext: [Art. 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten](https://dsgvo-gesetz.de/art-30-dsgvo/) Das Auftragskataster ist ein zentrales Element für die Rechenschaftspflicht nach DSGVO und sollte regelmäßig aktualisiert werden.

Wenn ein Auftragsverarbeiter einen Unterauftragsverarbeiter in einem Drittland (außerhalb des Europäischen Wirtschaftsraums, EWR) einsetzt, sind nach der Datenschutz-Grundverordnung (DSGVO) besondere Anforderungen zu beachten, um den Schutz personenbezogener Daten sicherzustellen: 1. **Genehmigung einholen:** Der Auftragsverarbeiter darf einen Unterauftragsverarbeiter nur mit vorheriger spezifischer oder allgemeiner schriftlicher Genehmigung des Verantwortlichen (Art. 28 Abs. 2 DSGVO) einsetzen. Der Verantwortliche muss also zustimmen. 2. **Vertragliche Regelungen:** Zwischen Auftragsverarbeiter und Unterauftragsverarbeiter muss ein Vertrag bestehen, der die gleichen Datenschutzpflichten wie der Hauptvertrag enthält (Art. 28 Abs. 4 DSGVO). 3. **Drittlandübermittlung prüfen:** Die Übermittlung personenbezogener Daten in ein Drittland ist nur zulässig, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Das bedeutet: - **Angemessenheitsbeschluss:** Die EU-Kommission hat festgestellt, dass das Drittland ein angemessenes Datenschutzniveau bietet (Liste siehe [EU-Kommission](https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_de)). - **Geeignete Garantien:** Liegt kein Angemessenheitsbeschluss vor, müssen geeignete Garantien wie Standardvertragsklauseln ([SCCs](https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_de)), verbindliche interne Datenschutzvorschriften (BCRs) oder andere Mechanismen eingesetzt werden. - **Zusätzliche Maßnahmen:** Nach dem Schrems II-Urteil des EuGH kann es notwendig sein, zusätzliche technische und organisatorische Maßnahmen zu ergreifen, um das Datenschutzniveau zu gewährleisten. 4. **Transparenz und Information:** Der Verantwortliche muss die betroffenen Personen über die Drittlandübermittlung informieren (Art. 13, 14 DSGVO). 5. **Dokumentation:** Alle Schritte und Entscheidungen sollten dokumentiert werden, um die Einhaltung der DSGVO nachweisen zu können. **Fazit:** Der Einsatz eines Unterauftragsverarbeiters in einem Drittland ist möglich, aber nur unter strikter Einhaltung der DSGVO-Vorgaben. Verantwortliche und Auftragsverarbeiter müssen gemeinsam sicherstellen, dass ein angemessenes Datenschutzniveau gewährleistet ist.