Welche Daten verarbeitet ein Smartphonehersteller bei Bereitstellung eines Spamschutzdienstes eines Dritten auf dem Gerät?

Ein gemeinsamer Verantwortlicher im Sinne der DSGVO (Datenschutz-Grundverordnung) liegt vor, wenn zwei oder mehr Parteien gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen (Art. 26 DSGVO). Das bedeutet, sie entscheiden zusammen, warum und wie die Daten verarbeitet werden. Typische Beispiele sind Kooperationen zwischen Unternehmen, gemeinsame Projekte oder Plattformen, bei denen beide Seiten Einfluss auf die Datenverarbeitung haben. Die gemeinsamen Verantwortlichen müssen in einer Vereinbarung festlegen, wer welche datenschutzrechtlichen Pflichten übernimmt (z. B. Information der Betroffenen, Beantwortung von Auskunftsanfragen). Die wesentlichen Inhalte dieser Vereinbarung müssen den betroffenen Personen zugänglich gemacht werden. Weitere Informationen findest du direkt im Gesetzestext: [Art. 26 DSGVO – Gemeinsame Verantwortliche](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679#d1e2207-1-1)

Ob das IT-Ressourcen-Management eine Verarbeitungstätigkeit nach DSGVO ist, hängt davon ab, ob dabei personenbezogene Daten verarbeitet werden. **Definition Verarbeitungstätigkeit nach DSGVO:** Eine Verarbeitungstätigkeit im Sinne der Datenschutz-Grundverordnung (DSGVO) liegt immer dann vor, wenn personenbezogene Daten automatisiert oder nicht automatisiert verarbeitet werden (Art. 4 Nr. 2 DSGVO). Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). **IT-Ressourcen-Management:** Darunter versteht man die Verwaltung und Organisation von IT-Ressourcen wie Hardware, Software, Netzwerken und IT-Dienstleistungen. Wenn im Rahmen des IT-Ressourcen-Managements personenbezogene Daten verarbeitet werden (z. B. Nutzerkonten, Zugriffsprotokolle, Lizenzmanagement mit personenbezogenen Angaben), handelt es sich um eine Verarbeitungstätigkeit nach DSGVO. **Fazit:** - Werden im IT-Ressourcen-Management **keine** personenbezogenen Daten verarbeitet (z. B. rein technische Inventarisierung von Geräten ohne Personenbezug), liegt **keine** Verarbeitungstätigkeit nach DSGVO vor. - Werden **personenbezogene Daten** verarbeitet (z. B. Verwaltung von Nutzerzugängen, Protokollierung von Zugriffen), ist das IT-Ressourcen-Management **eine Verarbeitungstätigkeit nach DSGVO** und muss entsprechend dokumentiert werden. **Weiterführende Informationen:** - [DSGVO Art. 4 Begriffsbestimmungen](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) - [Verzeichnis von Verarbeitungstätigkeiten (BayLDA)](https://www.lda.bayern.de/de/verarbeitungstaetigkeiten.html) **Zusammengefasst:** IT-Ressourcen-Management ist dann eine Verarbeitungstätigkeit nach DSGVO, wenn dabei personenbezogene Daten verarbeitet werden.

Datenschutzinformationen müssen Betroffene klar und verständlich über die Datenverarbeitung informieren. Folgende Punkte sollten dabei berücksichtigt werden: 1. **Identität des Verantwortlichen**: Wer ist für die Datenverarbeitung verantwortlich? Hier sollten Name und Kontaktdaten angegeben werden. 2. **Zweck der Datenverarbeitung**: Warum werden die Daten erhoben? Die Zwecke müssen konkret und nachvollziehbar beschrieben werden. 3. **Rechtsgrundlage**: Auf welcher rechtlichen Grundlage erfolgt die Verarbeitung? Dies kann beispielsweise die Einwilligung des Betroffenen oder ein berechtigtes Interesse sein. 4. **Empfänger der Daten**: Wer erhält die Daten? Hier sollten mögliche Empfänger oder Kategorien von Empfängern genannt werden. 5. **Datenübermittlung in Drittländer**: Falls Daten außerhalb der EU oder des EWR übermittelt werden, muss dies ebenfalls angegeben werden, inklusive der entsprechenden Schutzmaßnahmen. 6. **Dauer der Datenspeicherung**: Wie lange werden die Daten gespeichert? Es sollte eine klare Angabe zur Speicherdauer oder den Kriterien für die Festlegung dieser Dauer gemacht werden. 7. **Rechte der Betroffenen**: Betroffene müssen über ihre Rechte informiert werden, wie z.B. das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch. 8. **Widerrufsrecht**: Falls die Verarbeitung auf einer Einwilligung beruht, muss darauf hingewiesen werden, dass die Einwilligung jederzeit widerrufen werden kann. 9. **Beschwerderecht**: Betroffene sollten darüber informiert werden, dass sie das Recht haben, sich bei einer Aufsichtsbehörde zu beschweren. 10. **Automatisierte Entscheidungsfindung**: Falls zutreffend, muss erklärt werden, ob eine automatisierte Entscheidungsfindung stattfindet und welche Logik dabei zugrunde liegt. Diese Informationen sollten in einer leicht zugänglichen und verständlichen Form bereitgestellt werden, um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden.

Das Verarbeitungsverzeichnis und die Datenschutzfolgeabschätzung sind zentrale Elemente des Datenschutzrechts, insbesondere im Rahmen der Datenschutz-Grundverordnung (DSGVO). 1. **Verarbeitungsverzeichnis**: Ein Verarbeitungsverzeichnis ist ein Dokument, das von Verantwortlichen und Auftragsverarbeitern geführt werden muss. Es enthält Informationen über alle Verarbeitungstätigkeiten, die personenbezogene Daten betreffen. Zu den erforderlichen Angaben gehören unter anderem der Zweck der Verarbeitung, die Kategorien von betroffenen Personen und Daten, die Empfänger der Daten, die Speicherdauer sowie eine Beschreibung der technischen und organisatorischen Maßnahmen zum Schutz der Daten. Das Verzeichnis dient der Transparenz und Nachvollziehbarkeit der Datenverarbeitung und ist ein wichtiges Instrument zur Einhaltung der Datenschutzvorschriften. 2. **Datenschutzfolgeabschätzung (DSFA)**: Eine Datenschutzfolgeabschätzung ist ein Verfahren, das durchgeführt werden muss, wenn eine Verarbeitung von personenbezogenen Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat. Die DSFA dient dazu, die Risiken der Datenverarbeitung zu identifizieren, zu bewerten und gegebenenfalls Maßnahmen zur Risikominderung zu ergreifen. Sie umfasst eine Beschreibung der geplanten Verarbeitung, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung sowie eine Einschätzung der Risiken und der geplanten Maßnahmen zur Risikominderung. Die DSFA ist ein wichtiges Instrument, um proaktiv Datenschutzrisiken zu managen und die Rechte der betroffenen Personen zu schützen.

1. Einleitung 1.1. Bedeutung des Datenschutzes in der Personalabteilung 1.2. Ziel der Gliederung 2. Rechtliche Grundlagen 2.1. Datenschutz-Grundverordnung (DSGVO) 2.2. Bundesdatenschutzgesetz (BDSG) 2.3. Weitere relevante Gesetze 3. Datenarten in der Personalabteilung 3.1. Personaldaten 3.2. Gesundheitsdaten 3.3. Sensible Daten 4. Verantwortlichkeiten und Rollen 4.1. Datenschutzbeauftragter 4.2. Personalabteilung 4.3. Mitarbeiter 5. Datenverarbeitung und -speicherung 5.1. Erhebung von Daten 5.2. Speicherung und Archivierung 5.3. Datenübertragung 6. Rechte der Mitarbeiter 6.1. Auskunftsrecht 6.2. Recht auf Berichtigung 6.3. Recht auf Löschung 7. Maßnahmen zur Datensicherheit 7.1. Technische Maßnahmen 7.2. Organisatorische Maßnahmen 7.3. Schulungen und Sensibilisierung 8. Datenschutzverletzungen 8.1. Definition und Beispiele 8.2. Meldepflichten 8.3. Konsequenzen und Sanktionen 9. Fazit 9.1. Zusammenfassung der wichtigsten Punkte 9.2. Ausblick auf zukünftige Entwicklungen im Datenschutz 10. Literaturverzeichnis 10.1. Gesetze und Verordnungen 10.2. Fachliteratur 10.3. Online-Ressourcen