Ist Beschaffung eine Verarbeitungstätigkeit?

IT-Sicherheit selbst ist keine Verarbeitungstätigkeit im Sinne der Datenschutz-Grundverordnung (DSGVO). Einestätigkeit beschreibt einen Vorgang oder eine Reihe von Vorgängen im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Speichern, Übermitteln oder Löschen dieser Daten. IT-Sicherheitsmaßnahmen (z. B. Firewalls, Verschlüsselung, Zugriffskontrollen) dienen dazu, die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Sie sind also unterstützende Maßnahmen, die im Rahmen von Verarbeitungstätigkeiten eingesetzt werden, aber keine eigenständige Verarbeitungstätigkeit darstellen. In einem Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO werden die eigentlichen Prozesse (z. B. Lohnabrechnung, Kundenverwaltung) dokumentiert. Die dabei eingesetzten IT-Sicherheitsmaßnahmen werden in der Regel als technische und organisatorische Maßnahmen (TOM) separat beschrieben. Zusammengefasst: IT-Sicherheit ist keine Verarbeitungstätigkeit, sondern eine Maßnahme zum Schutz der Verarbeitungstätigkeiten.

Eine Verarbeitungstätigkeit nach DSGVO bezeichnet jeden Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, unabhängig davon, ob sie mit oder ohne Hilfe automatisierter Verfahren ausgeführt wird. Dazu zählen insbesondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten. Die DSGVO (Datenschutz-Grundverordnung) definiert den Begriff „Verarbeitung“ in Art. 4 Nr. 2 DSGVO. Eine Verarbeitungstätigkeit ist also jede Aktivität, bei der personenbezogene Daten genutzt werden – zum Beispiel das Führen einer Kundenliste, das Versenden von Newslettern oder die Speicherung von Mitarbeiterdaten. Unternehmen und Organisationen sind verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO), um Transparenz und Nachvollziehbarkeit im Umgang mit personenbezogenen Daten zu gewährleisten.

Um QR-Codes datenschutzkonform für eine Behörde zu generieren, sollten folgende Punkte beachtet werden: 1. **Keine sensiblen Daten im QR-Code speichern:** Im QR-Code sollten keine personenbezogenen oder sensiblen Daten direkt hinterlegt werden. Stattdessen empfiehlt es sich, nur einen Link (z.B. zu einer sicheren Webseite) zu kodieren, auf der sich die eigentlichen Daten nach Authentifizierung abrufen lassen. 2. **Verwendung von sicheren QR-Code-Generatoren:** Nutze keine kostenlosen Online-Generatoren, bei denen unklar ist, wie mit den eingegebenen Daten umgegangen wird. Besser ist es, Open-Source-Tools (z.B. [qrencode](https://fukuchi.org/works/qrencode/) oder [goqr.me](https://goqr.me/de/qr-code-generator-software/)) lokal auf einem behördlichen Rechner zu verwenden. 3. **Transparenz und Information:** Die betroffenen Personen müssen darüber informiert werden, welche Daten im QR-Code enthalten sind und zu welchem Zweck sie verwendet werden. Dies kann z.B. durch eine Datenschutzerklärung auf der verlinkten Webseite erfolgen. 4. **Zugriffs- und Berechtigungskonzept:** Falls der QR-Code Zugang zu personenbezogenen Daten ermöglicht, sollte der Zugriff durch Authentifizierung und Berechtigungsmanagement geschützt werden. 5. **Speicherung und Protokollierung:** Es sollte dokumentiert werden, wer QR-Codes generiert und wie sie verwendet werden. Die Speicherung der Daten sollte den Vorgaben der DSGVO entsprechen. 6. **Auftragsverarbeitung prüfen:** Falls externe Dienstleister für die Generierung oder Auswertung der QR-Codes eingesetzt werden, muss ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen werden. **Zusammengefasst:** QR-Codes für Behörden sollten möglichst keine personenbezogenen Daten enthalten, mit vertrauenswürdiger Software lokal generiert werden und die Nutzung muss transparent und sicher gestaltet sein. Weitere Informationen bietet z.B. der [Leitfaden der Datenschutzkonferenz zu QR-Codes](https://www.datenschutzkonferenz-online.de/media/oh/20211028_oh_qr_codes.pdf). **Hinweis:** Für spezifische Anwendungsfälle empfiehlt sich die Rücksprache mit dem behördlichen Datenschutzbeauftragten.

Allgemeine Technische und Organisatorische Maßnahmen (TOM) geben Auskunft darüber, wie ein Unternehmen den Schutz personenbezogener Daten sicherstellt. Sie sind ein zentraler Bestandteil der Datenschutz-Grundverordnung (DSGVO) und zeigen, welche Vorkehrungen ein Unternehmen trifft, um die Sicherheit und Vertraulichkeit von Daten zu gewährleisten. Konkret sagen die allgemeinen TOM über ein Unternehmen aus: 1. **Sicherheitsbewusstsein:** Das Unternehmen ist sich seiner Verantwortung im Umgang mit personenbezogenen Daten bewusst und setzt Maßnahmen zum Schutz dieser Daten um. 2. **Rechtstreue:** Das Unternehmen hält sich an gesetzliche Vorgaben, insbesondere an die DSGVO. 3. **Struktur und Organisation:** Es gibt klare Prozesse und Zuständigkeiten für den Datenschutz im Unternehmen. 4. **Technische Ausstattung:** Das Unternehmen nutzt technische Lösungen (z. B. Verschlüsselung, Firewalls, Zugriffskontrollen), um Daten zu schützen. 5. **Organisatorische Abläufe:** Es bestehen interne Regelungen, Schulungen und Kontrollen, um Datenschutzrisiken zu minimieren. 6. **Transparenz:** Das Unternehmen kann gegenüber Kunden, Partnern und Behörden nachweisen, wie es den Datenschutz umsetzt. Zusammengefasst spiegeln die allgemeinen TOM wider, wie ernst ein Unternehmen den Datenschutz nimmt und wie professionell es mit sensiblen Informationen umgeht.

Ja, die Staatsangehörigkeit gilt als ein besonderes personenbezogenes Datum im Sinne der Datenschutz-Grundverordnung (DSGVO). Nach Art. 9 Abs. 1 DSGVO sind besondere Kategorien personenbezogener Daten solche, aus denen beispielsweise die rassische und ethnische Herkunft hervorgehen. Die Staatsangehörigkeit wird zwar nicht ausdrücklich genannt, sie kann aber Rückschlüsse auf die ethnische Herkunft zulassen. In der Praxis und nach Ansicht vieler Datenschutzbehörden wird die Staatsangehörigkeit daher als besonders schützenswertes Datum behandelt. Zusätzlich wird im deutschen Recht (§ 46 Abs. 1 Bundesdatenschutzgesetz – BDSG) die Staatsangehörigkeit ausdrücklich als besonders schützenswertes Datum genannt. **Fazit:** Die Staatsangehörigkeit ist ein besonderes personenbezogenes Datum und unterliegt daher einem erhöhten Schutz nach DSGVO und BDSG. Weitere Informationen: - [Art. 9 DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) - [§ 46 BDSG](https://www.gesetze-im-internet.de/bdsg_2018/__46.html)

Für das Jahr 2026 sollten Datenschutzstrategien einer Datenschutzabteilung sowohl aktuelle als auch absehbare technologische, rechtliche und gesellschaftliche Entwicklungen berücksichtigen. Hier sind zentrale Strategien: 1. **Proaktive Datenschutz-Folgenabschätzung (DSFA):** Frühzeitige und regelmäßige Durchführung von DSFAs bei neuen Projekten, insbesondere bei KI-Anwendungen, IoT und Cloud-Diensten. 2. **Datensparsamkeit und Privacy by Design:** Implementierung von Datenschutzprinzipien bereits in der Entwicklungsphase neuer Produkte und Prozesse. Datenminimierung und -pseudonymisierung sollten Standard sein. 3. **Automatisierte Compliance-Tools:** Einsatz von KI-gestützten Tools zur Überwachung, Dokumentation und Einhaltung von Datenschutzvorgaben, um Effizienz und Genauigkeit zu steigern. 4. **Schulungen und Awareness-Programme:** Kontinuierliche Sensibilisierung aller Mitarbeitenden für Datenschutzthemen, angepasst an neue Bedrohungen und gesetzliche Anforderungen. 5. **Transparente Datenverarbeitung:** Klare, verständliche und jederzeit zugängliche Informationen für Betroffene über die Verarbeitung ihrer Daten, inklusive Self-Service-Portale für Auskunfts- und Löschanfragen. 6. **Starke Verschlüsselung und Zero-Trust-Architektur:** Einsatz moderner Verschlüsselungstechnologien und Zero-Trust-Prinzipien, um Daten auch bei dezentralen Arbeitsmodellen und Cloud-Nutzung zu schützen. 7. **Regelmäßige Audits und Penetrationstests:** Durchführung interner und externer Audits sowie technischer Tests, um Schwachstellen frühzeitig zu erkennen und zu beheben. 8. **Notfallmanagement und Incident Response:** Entwicklung und regelmäßige Aktualisierung von Notfallplänen für Datenschutzverletzungen, inklusive klarer Kommunikationswege und Meldeprozesse. 9. **Internationale Compliance:** Beobachtung und Umsetzung globaler Datenschutzanforderungen (z.B. EU, USA, China), insbesondere bei internationaler Geschäftstätigkeit. 10. **Kooperation mit IT und Fachabteilungen:** Enge Zusammenarbeit mit IT, HR, Marketing und anderen Abteilungen, um Datenschutz als Querschnittsthema im Unternehmen zu verankern. Diese Strategien helfen, den Datenschutz auch in einer zunehmend digitalisierten und vernetzten Welt zukunftssicher zu gestalten.

Ob eine Auftragsverarbeitung im Sinne der DSGVO (§ 28 DSGVO) vorliegt, hängt davon ab, in welcher Rolle die externe Vertriebsagentur die personenbezogenen Daten verarbeitet: **Auftragsverarbeitung liegt vor, wenn:** Die Vertriebsagentur die Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers (z.B. des Kundenunternehmens) verarbeitet und keine eigenen Zwecke verfolgt. Die Agentur ist dann „Auftragsverarbeiter“ und es muss ein Vertrag zur Auftragsverarbeitung abgeschlossen werden. **Keine Auftragsverarbeitung liegt vor, wenn:** Die Vertriebsagentur die Daten für eigene Zwecke nutzt, z.B. um eigene Produkte oder Dienstleistungen anzubieten, oder eigenverantwortlich über die Zwecke und Mittel der Verarbeitung entscheidet. In diesem Fall ist die Agentur „gemeinsam Verantwortlicher“ oder „eigener Verantwortlicher“ nach Art. 4 Nr. 7 DSGVO. **Fazit:** Erhält die externe Vertriebsagentur die personenbezogenen Daten der Ansprechpartner ausschließlich, um im Auftrag des Kundenunternehmens Vertriebsdienstleistungen zu erbringen (z.B. Kontaktaufnahme, Terminvereinbarung), und handelt sie dabei nur nach Weisung, liegt in der Regel eine Auftragsverarbeitung vor. Handelt die Agentur jedoch eigenverantwortlich oder zu eigenen Zwecken, ist dies keine Auftragsverarbeitung. **Weitere Informationen:** - [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/) - [Auftragsverarbeitung vs. gemeinsame Verantwortlichkeit (BfDI)](https://www.bfdi.bund.de/DE/Infothek/Schlagworte/A/Auftragsverarbeitung/auftragsverarbeitung.html) Eine genaue Einordnung hängt immer vom konkreten Vertrag und der tatsächlichen Ausgestaltung der Zusammenarbeit ab.

Artikel 25 der Datenschutz-Grundverordnung (DSGVO) regelt das Prinzip „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ („Privacy by Design“ und „Privacy by Default“). Kernpunkte von Artikel 25 DSGVO: 1. **Datenschutz durch Technikgestaltung**: Verantwortliche müssen bereits bei der Entwicklung und Auswahl von Technologien und Prozessen geeignete technische und organisatorische Maßnahmen treffen, um die Datenschutzgrundsätze (z. B. Datenminimierung, Integrität, Vertraulichkeit) wirksam umzusetzen. 2. **Datenschutzfreundliche Voreinstellungen**: Es muss sichergestellt werden, dass standardmäßig nur die personenbezogenen Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind. Das betrifft insbesondere die Menge der erhobenen Daten, den Umfang ihrer Verarbeitung, die Speicherfrist und ihre Zugänglichkeit. 3. **Berücksichtigung von Stand der Technik und Kosten**: Bei der Auswahl der Maßnahmen sind der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Ziel von Artikel 25 ist es, Datenschutz von Anfang an in Systeme und Prozesse zu integrieren und nicht erst nachträglich zu berücksichtigen. Den vollständigen Wortlaut findest du hier: [Artikel 25 DSGVO (eur-lex.europa.eu)](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679#d1e2202-1-1)

Ob ein Vertrag mit einem Auftragsverarbeiter nach einer Datenpanne gekündigt werden sollte, hängt von mehreren Faktoren ab: 1. **Schwere der Datenpanne:** Wie sensibel und umfangreich waren die betroffenen Daten? Handelt es sich um besonders schützenswerte Daten (z. B. Gesundheitsdaten), ist besondere Vorsicht geboten. 2. **Umgang mit der Panne:** Hat der Auftragsverarbeiter die Panne unverzüglich gemeldet, transparent kommuniziert und alle erforderlichen Maßnahmen zur Schadensbegrenzung und -behebung ergriffen? Ein professioneller Umgang spricht für Verantwortungsbewusstsein. 3. **Vertragliche und rechtliche Vorgaben:** Laut Art. 28 DSGVO bist du verpflichtet, nur mit Auftragsverarbeitern zusammenzuarbeiten, die ausreichende Garantien für die Einhaltung des Datenschutzes bieten. Wenn der Auftragsverarbeiter wiederholt oder grob fahrlässig gegen Datenschutzvorgaben verstößt, kann das eine Kündigung rechtfertigen. 4. **Risikobewertung:** Kann der Auftragsverarbeiter nachweisen, dass er seine Sicherheitsmaßnahmen verbessert und die Ursachen der Panne behoben hat? Gibt es einen Maßnahmenplan, um zukünftige Vorfälle zu verhindern? **Fazit:** Eine Datenpanne allein ist nicht automatisch ein Kündigungsgrund. Entscheidend ist, wie der Auftragsverarbeiter damit umgeht und ob er weiterhin als zuverlässiger Partner im Sinne der DSGVO gilt. Bei grober Fahrlässigkeit, wiederholten Vorfällen oder mangelnder Kooperation solltest du eine Kündigung ernsthaft prüfen. In jedem Fall empfiehlt sich eine sorgfältige Dokumentation und ggf. rechtliche Beratung. Weitere Informationen zur Rolle und Verantwortung von Auftragsverarbeitern findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auftragsverarbeitung.pdf).

Ob ein Unternehmen im Chatfenster die Nachricht eines Nutzers bereits während der Eingabe sehen darf, hängt maßgeblich von datenschutzrechtlichen Vorgaben ab, insbesondere der Datenschutz-Grundverordnung (DSGVO). **Grundsätzliches:** - Die Eingabe einer Nachricht im Chatfenster ist bereits eine Verarbeitung personenbezogener Daten, wenn Rückschlüsse auf die Person möglich sind. - Das Mitlesen während der Eingabe (sog. "Live-Typing" oder "Pre-Chat-Preview") ist eine weitergehende Verarbeitung als das Übermitteln nach dem Absenden. **Erlaubnis und Hinweis:** - Eine solche Funktion ist grundsätzlich nur zulässig, wenn der Nutzer darüber **klar und verständlich informiert** wird, bevor die Eingabe erfolgt. - Idealerweise sollte der Nutzer der Funktion **aktiv zustimmen** (z. B. durch eine Checkbox), da es sich um eine Verarbeitung handelt, die über das übliche Maß hinausgeht. - Ein bloßer Hinweis ("Ihre Eingaben werden bereits während der Eingabe übertragen") kann ausreichend sein, wenn die Verarbeitung zur Vertragserfüllung notwendig ist oder ein berechtigtes Interesse besteht und die Interessen des Nutzers nicht überwiegen. Dennoch ist eine **Einwilligung** aus Transparenz- und Rechtssicherheitsgründen zu empfehlen. **Fazit:** Ja, es ist erlaubt, wenn der Nutzer **vor der Eingabe** klar und verständlich darauf hingewiesen wurde und idealerweise eingewilligt hat. Ohne Hinweis oder Einwilligung wäre dies ein Verstoß gegen die DSGVO. **Weitere Informationen:** - [Datenschutzkonferenz: Orientierungshilfe Telemedien](https://www.datenschutzkonferenz-online.de/media/oh/20210924_oh_telemedien.pdf) - [DSGVO Art. 6 – Rechtmäßigkeit der Verarbeitung](https://dsgvo-gesetz.de/art-6-dsgvo/) Eine rechtliche Beratung im Einzelfall kann sinnvoll sein, da die konkrete Ausgestaltung entscheidend ist.