Was muss ein DSGVO-Auftragskataster enthalten?

Ob die Bewirtschaftung einer Demoflotte als Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) gilt, hängt davon ab, wie und in welchem Umfang personenbezogene Daten verarbeitet werden und wer die Verantwortung für diese Daten trägt. **Auftragsverarbeitung** liegt gemäß Art. 4 Nr. 8 und Art. 28 DSGVO dann vor, wenn ein Unternehmen (der „Auftraggeber“ oder „Verantwortliche“) einen externen Dienstleister (den „Auftragsverarbeiter“) damit beauftragt, personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen zu verarbeiten. **Entscheidende Kriterien:** - Werden im Rahmen der Bewirtschaftung personenbezogene Daten (z. B. von Fahrern, Nutzern, Kunden) verarbeitet? - Erfolgt die Verarbeitung ausschließlich im Auftrag und nach Weisung des Verantwortlichen? - Hat der Dienstleister keinen eigenen Entscheidungsspielraum über die Zwecke und Mittel der Datenverarbeitung? **Beispiel:** - Wenn ein Autohaus einem externen Dienstleister die Verwaltung seiner Demoflotte überträgt und dieser dabei Zugriff auf personenbezogene Daten (z. B. Fahrerdaten, Buchungsdaten) erhält und diese ausschließlich nach Weisung des Autohauses verarbeitet, handelt es sich in der Regel um eine Auftragsverarbeitung. - Wenn der Dienstleister jedoch eigene Zwecke verfolgt (z. B. eigene Marketingaktionen mit den Daten durchführt), ist er selbst Verantwortlicher und keine Auftragsverarbeitung liegt vor. **Fazit:** Die Bewirtschaftung der Demoflotte ist dann eine Auftragsverarbeitung, wenn der Dienstleister personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen verarbeitet. In diesem Fall ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO erforderlich. Weitere Informationen zur Auftragsverarbeitung findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auslegung_auftragsverarbeitung.pdf).

Ob eine Dienstleistung mit Telefonnummernvalidierung eine Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist, hängt davon ab, wie die Dienstleistung ausgestaltet ist und welche Rolle der Dienstleister einnimmt. **Auftragsverarbeitung** liegt gemäß Art. 4 Nr. 8 und Art. 28 DSGVO immer dann vor, wenn ein Dienstleister personenbezogene Daten im Auftrag und nach Weisung eines Verantwortlichen verarbeitet. **Konkret:** - Wenn du als Unternehmen einen externen Dienstleister beauftragst, Telefonnummern deiner Kunden zu validieren (z.B. auf Gültigkeit oder Format), und der Dienstleister diese Daten ausschließlich nach deinen Vorgaben verarbeitet, handelt es sich in der Regel um eine Auftragsverarbeitung. In diesem Fall muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden. - Wenn der Dienstleister die Telefonnummern jedoch für eigene Zwecke verarbeitet oder die Daten mit anderen Datenquellen abgleicht, um eigene Produkte oder Services zu verbessern, ist er selbst Verantwortlicher oder ggf. gemeinsam Verantwortlicher. Dann liegt keine Auftragsverarbeitung vor. **Beispiel:** - Ein Dienstleister prüft im Auftrag deines Unternehmens, ob eine Telefonnummer existiert oder korrekt formatiert ist, und nutzt die Daten nicht für eigene Zwecke → Auftragsverarbeitung. - Ein Dienstleister sammelt Telefonnummern, wertet sie aus und nutzt sie für eigene Marketingzwecke → keine Auftragsverarbeitung. **Fazit:** In den meisten Fällen ist eine Dienstleistung zur Telefonnummernvalidierung eine Auftragsverarbeitung, sofern der Dienstleister die Daten ausschließlich im Auftrag und nach Weisung verarbeitet. Es sollte aber immer im Einzelfall geprüft werden, wie die Datenverarbeitung konkret erfolgt. Weitere Informationen findest du z.B. beim [BayLDA](https://www.lda.bayern.de/de/thema-auftragsverarbeitung.html) oder [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_24_10_auftragsverarbeitung.pdf).

Ob die Inanspruchnahme von Leistungen, bei denen ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, eine Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) darstellt, hängt von den Umständen ab. Nach Art. 4 Nr. 8 DSGVO ist Auftragsverarbeiter eine Person oder Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Entscheidend ist, ob der Dienstleister tatsächlich im Auftrag und nach Weisung des Verantwortlichen mit personenbezogenen Daten umgeht. **Wichtige Kriterien:** - **Tatsächlicher Zugriff:** Es reicht aus, dass der Dienstleister theoretisch Zugriff auf personenbezogene Daten haben könnte (z.B. bei Wartung, Hosting, IT-Support). Ein tatsächlicher Zugriff ist nicht zwingend erforderlich. - **Weisungsgebundenheit:** Der Dienstleister handelt nicht eigenverantwortlich, sondern ausschließlich nach Weisung des Verantwortlichen. - **Zweck der Datenverarbeitung:** Die Verarbeitung erfolgt ausschließlich zur Erbringung der beauftragten Leistung. **Beispiel:** Ein IT-Dienstleister, der Wartungsarbeiten an einem System durchführt, in dem personenbezogene Daten gespeichert sind, gilt als Auftragsverarbeiter, auch wenn er im Regelfall nicht auf die Daten zugreift, dies aber technisch möglich wäre. **Fazit:** Ja, wenn ein Zugriff auf personenbezogene Daten durch den Dienstleister nicht ausgeschlossen werden kann und dieser im Auftrag und nach Weisung des Verantwortlichen handelt, liegt in der Regel eine Auftragsverarbeitung vor. In diesem Fall ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO erforderlich. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auslegung_auftragsverarbeitung.pdf) (DSK) oder beim [BfDI](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitung-und-Weitergabe/Auftragsverarbeitung/auftragsverarbeitung-node.html).

Ob die Desinfektion, der Transport und die Datenlöschung von medizintechnischen Geräten nach einer Entleihe als Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) gilt, hängt davon ab, ob und wie personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden. **1. Desinfektion und Transport:** Diese Tätigkeiten betreffen in der Regel keine Verarbeitung personenbezogener Daten, sondern sind rein physische Dienstleistungen. Solange bei Desinfektion und Transport keine personenbezogenen Daten verarbeitet werden (z.B. keine Einsichtnahme in Patientendaten auf dem Gerät erfolgt), handelt es sich **nicht** um eine Auftragsverarbeitung nach Art. 28 DSGVO. **2. Datenlöschung:** Die Datenlöschung kann eine Auftragsverarbeitung darstellen, wenn dabei personenbezogene Daten im Auftrag des Verantwortlichen gelöscht werden. Das ist insbesondere dann der Fall, wenn auf den Geräten noch Patientendaten oder andere personenbezogene Informationen gespeichert sind und der Dienstleister diese im Auftrag des Verantwortlichen löscht. In diesem Fall ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO erforderlich. **Fazit:** - **Desinfektion und Transport:** In der Regel keine Auftragsverarbeitung. - **Datenlöschung:** In der Regel Auftragsverarbeitung, wenn personenbezogene Daten betroffen sind. **Quellen und weitere Informationen:** - [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/) - [BfDI: Auftragsverarbeitung](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitung-und-Weitergabe/Auftragsverarbeitung/auftragsverarbeitung-node.html) Im Zweifel sollte eine datenschutzrechtliche Prüfung im Einzelfall erfolgen.

Ob die Desinfektion und der Transport von medizintechnischen Geräten nach einer Entleihe als Auftragsverarbeitung im Sinne der DSGVO gilt, hängt davon ab, ob und in welchem Umfang personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden. **Grundlagen:** - **Auftragsverarbeitung** nach Art. 4 Nr. 8 und Art. 28 DSGVO liegt vor, wenn ein Dienstleister (Auftragsverarbeiter) personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet. - **Personenbezogene Daten** sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. **Konkret zu deiner Frage:** 1. **Desinfektion und Transport als reine Sachleistungen:** Werden die Geräte lediglich gereinigt, desinfiziert und transportiert, ohne dass dabei auf gespeicherte personenbezogene Daten zugegriffen wird (z.B. weil die Geräte keine Daten enthalten oder diese vorab gelöscht wurden), liegt in der Regel **keine Auftragsverarbeitung** vor. Es handelt sich dann um eine Dienstleistung ohne Datenverarbeitung. 2. **Geräte enthalten personenbezogene Daten:** Befinden sich auf den Geräten noch personenbezogene Daten (z.B. Patientendaten auf Speichermedien, Protokollen, Bilddaten), und besteht die Möglichkeit, dass der Dienstleister im Rahmen der Desinfektion oder des Transports auf diese Daten zugreifen kann oder sie verarbeitet (z.B. durch Auslesen, Kopieren, Löschen), dann handelt es sich **sehr wahrscheinlich um eine Auftragsverarbeitung**. In diesem Fall muss ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO abgeschlossen werden. 3. **Praktische Empfehlung:** In der Praxis wird empfohlen, vor der Übergabe an externe Dienstleister sicherzustellen, dass keine personenbezogenen Daten mehr auf den Geräten vorhanden sind (z.B. durch Löschung oder Rücksetzung auf Werkseinstellungen). So kann eine Auftragsverarbeitung vermieden werden. **Fazit:** Ob eine Auftragsverarbeitung vorliegt, hängt davon ab, ob der Dienstleister im Rahmen der Desinfektion und des Transports tatsächlich mit personenbezogenen Daten in Berührung kommt oder diese verarbeitet. Ist das der Fall, ist ein Vertrag zur Auftragsverarbeitung erforderlich. Andernfalls handelt es sich um eine reine Sachleistung ohne Bezug zur DSGVO. **Weitere Informationen zur Auftragsverarbeitung findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auftragsverarbeitung.pdf).**

Ob die Desinfektion und der Transport von medizintechnischen Geräten eine Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) darstellen, hängt davon ab, ob und in welchem Umfang dabei personenbezogene Daten verarbeitet werden. **Definition Auftragsverarbeitung (Art. 4 Nr. 8, Art. 28 DSGVO):** Eine Auftragsverarbeitung liegt vor, wenn ein Dienstleister (Auftragsverarbeiter) im Auftrag eines Verantwortlichen personenbezogene Daten verarbeitet. **Desinfektion und Transport – typische Praxis:** - **Desinfektion:** In der Regel werden bei der Reinigung und Desinfektion von Geräten keine personenbezogenen Daten verarbeitet, da es sich meist um technische Geräte handelt, die nicht direkt mit personenbezogenen Informationen verknüpft sind. - **Transport:** Beim Transport kann es vorkommen, dass Begleitdokumente mit Patientendaten (z. B. Reparaturaufträge, Protokolle) mitgeführt werden. Werden diese Daten durch den Dienstleister eingesehen oder verarbeitet, könnte eine Auftragsverarbeitung vorliegen. **Fazit:** - **Keine Auftragsverarbeitung:** Wenn bei Desinfektion und Transport keinerlei personenbezogene Daten verarbeitet werden (z. B. nur Geräte ohne Bezug zu Patientendaten), liegt keine Auftragsverarbeitung vor. - **Auftragsverarbeitung:** Werden im Rahmen der Dienstleistung personenbezogene Daten (z. B. Patientennamen, Diagnosen auf Begleitpapieren) verarbeitet, ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO erforderlich. **Empfehlung:** Es sollte im Einzelfall geprüft werden, ob und welche personenbezogenen Daten im Rahmen der Dienstleistung verarbeitet werden. Im Zweifel empfiehlt sich eine datenschutzrechtliche Beratung. Weitere Informationen zur Auftragsverarbeitung findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auslegung_auftragsverarbeitung.pdf).

Ob ein Neutrovendor als Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung (DSGVO) gilt, hängt davon ab, welche Rolle das Unternehmen im konkreten Fall einnimmt. **Definition Aufverarbeiter:** Ein Auftragsverarbeiter ist gemäß Art. 4 Nr. 8 DSGVO eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Das bedeutet, der Auftragsverarbeiter handelt ausschließlich nach Weisung des Verantwortlichen und nutzt die Daten nicht für eigene Zwecke. **Neutrovendor:** Der Begriff „Neutrovendor“ ist kein fest definierter Begriff im Datenschutzrecht. In der Praxis bezeichnet er meist einen neutralen Anbieter oder Vermittler, der Dienstleistungen oder Produkte verschiedener Hersteller anbietet, ohne selbst Partei eines Vertrags zwischen Endkunde und Hersteller zu sein. **Entscheidend ist die Tätigkeit:** - **Verarbeitet der Neutrovendor personenbezogene Daten im Auftrag eines Verantwortlichen (z.B. eines Kunden) und ausschließlich nach dessen Weisung,** dann ist er als Auftragsverarbeiter zu qualifizieren. - **Verarbeitet der Neutrovendor die Daten jedoch zu eigenen Zwecken oder entscheidet selbst über die Mittel und Zwecke der Verarbeitung,** ist er Verantwortlicher im Sinne der DSGVO. **Fazit:** Ob ein Neutrovendor ein Auftragsverarbeiter ist, hängt von der konkreten Ausgestaltung der Zusammenarbeit und der Datenverarbeitung ab. Es kommt darauf an, ob er ausschließlich im Auftrag und nach Weisung handelt oder eigene Zwecke verfolgt. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_24_10_auslegung_hinweise_zur_auftragsverarbeitung.pdf) (DSK) oder direkt in der [DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

Nach der Datenschutz-Grundverordnung (DSGVO) besteht keine ausdrückliche Pflicht, Löschprotokolle zu führen. Allerdings ergibt sich aus den Rechenschafts- und Nachweispflichten gemäß Art. 5 Abs. 2 und Art. 24 DSGVO, dass Verantwortliche nachweisen können müssen, dass personenbezogene Daten ordnungsgemäß gelöscht wurden, wenn dies erforderlich ist (z. B. nach Art. 17 DSGVO – Recht auf Löschung). Löschprotokolle werden insbesondere dann relevant, wenn: - Betroffene Personen ihr Recht auf Löschung geltend machen und nachweisen möchten, dass ihre Daten tatsächlich gelöscht wurden. - Aufsichtsbehörden im Rahmen einer Prüfung oder eines Auskunftsersuchens einen Nachweis über die Löschung verlangen. - Im Rahmen von Datenschutz-Folgenabschätzungen oder Audits die Einhaltung der Löschpflichten dokumentiert werden muss. Zusammengefasst: Löschprotokolle müssen immer dann nachgewiesen werden, wenn ein Nachweis über die erfolgte Löschung personenbezogener Daten erforderlich ist – insbesondere gegenüber Betroffenen oder Aufsichtsbehörden. Sie sind ein wichtiges Instrument, um die Einhaltung der DSGVO-Anforderungen zu dokumentieren und im Bedarfsfall belegen zu können.

Nach der Datenschutz-Grundverordnung (DSGVO) besteht grundsätzlich die Pflicht, personenbezogene Daten zu löschen, sobald der Zweck der Verarbeitung entfällt oder eine andere Löschpflicht greift (Art. 17 DSGVO). Das bedeutet: Wenn die Löschfristen abgelaufen sind, müssen die Daten tatsächlich gelöscht werden. Das Anlegen einer sogenannten „Blacklist“ mit den Daten gelöschter Personen ist in der Regel **nicht zulässig**, da dies dem Grundsatz der Datenminimierung und dem Löschgebot widerspricht. Eine Ausnahme kann bestehen, wenn es einen **berechtigten Zweck** gibt, z. B. um sich vor missbräuchlichen Neuanmeldungen zu schützen. In diesem Fall dürfen aber nur die unbedingt erforderlichen Daten (z. B. Name und E-Mail-Adresse) und nur für den notwendigen Zeitraum gespeichert werden. Auch dann muss die betroffene Person über diese Verarbeitung informiert werden (Transparenzpflicht). **Fazit:** Eigentümer, deren Daten nach den Löschfristen zu löschen sind, dürfen **nicht pauschal in eine Blacklist eingetragen werden**. Eine Speicherung auf einer Blacklist ist nur in Ausnahmefällen und unter strengen Voraussetzungen der DSGVO zulässig. Weitere Informationen findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [BfDI](https://www.bfdi.bund.de/). **Hinweis:** Dies ist keine Rechtsberatung, sondern eine allgemeine Information zur DSGVO.

Typische Daten, die bei der Erbringung von Vertriebs- und Akquisedienstleistungen durch einen Auftragsverarbeiter verarbeitet werden, sind: 1. **Kontaktdaten** - Name, Vorname - Adresse - Telefonnummer - E-Mail-Adresse 2. **Berufliche Angaben** - Firmenname - Position/Funktion im Unternehmen - Abteilung 3. **Kommunikationsdaten** - Gesprächsnotizen - E-Mail-Verläufe - Terminvereinbarungen - Protokolle von Telefonaten oder Meetings 4. **Vertrags- und Angebotsdaten** - Angebotsunterlagen - Vertragsdaten - Preisabsprachen - Bestellhistorie 5. **Marketing- und Vertriebsdaten** - Interessen und Präferenzen - Reaktionen auf Marketingaktionen - Teilnahme an Veranstaltungen oder Webinaren 6. **Sonstige geschäftsrelevante Informationen** - Umsatzdaten - Kundennummern - Zahlungsmodalitäten Diese Daten werden in der Regel im Rahmen der Anbahnung und Durchführung von Geschäftsbeziehungen verarbeitet und unterliegen den Vorgaben der DSGVO, insbesondere im Hinblick auf Auftragsverarbeitung gemäß Art. 28 DSGVO.