Was bedeutet gemeinsamer Verantwortlicher im Sinne der DSGVO?

Ob das IT-Ressourcen-Management eine Verarbeitungstätigkeit nach DSGVO ist, hängt davon ab, ob dabei personenbezogene Daten verarbeitet werden. **Definition Verarbeitungstätigkeit nach DSGVO:** Eine Verarbeitungstätigkeit im Sinne der Datenschutz-Grundverordnung (DSGVO) liegt immer dann vor, wenn personenbezogene Daten automatisiert oder nicht automatisiert verarbeitet werden (Art. 4 Nr. 2 DSGVO). Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). **IT-Ressourcen-Management:** Darunter versteht man die Verwaltung und Organisation von IT-Ressourcen wie Hardware, Software, Netzwerken und IT-Dienstleistungen. Wenn im Rahmen des IT-Ressourcen-Managements personenbezogene Daten verarbeitet werden (z. B. Nutzerkonten, Zugriffsprotokolle, Lizenzmanagement mit personenbezogenen Angaben), handelt es sich um eine Verarbeitungstätigkeit nach DSGVO. **Fazit:** - Werden im IT-Ressourcen-Management **keine** personenbezogenen Daten verarbeitet (z. B. rein technische Inventarisierung von Geräten ohne Personenbezug), liegt **keine** Verarbeitungstätigkeit nach DSGVO vor. - Werden **personenbezogene Daten** verarbeitet (z. B. Verwaltung von Nutzerzugängen, Protokollierung von Zugriffen), ist das IT-Ressourcen-Management **eine Verarbeitungstätigkeit nach DSGVO** und muss entsprechend dokumentiert werden. **Weiterführende Informationen:** - [DSGVO Art. 4 Begriffsbestimmungen](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) - [Verzeichnis von Verarbeitungstätigkeiten (BayLDA)](https://www.lda.bayern.de/de/verarbeitungstaetigkeiten.html) **Zusammengefasst:** IT-Ressourcen-Management ist dann eine Verarbeitungstätigkeit nach DSGVO, wenn dabei personenbezogene Daten verarbeitet werden.

Ob ein Verantwortlicher (im Sinne der DSGVO: die Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet) direkt gegen einen Unterauftragnehmer (Subunternehmer des Auftragsverarbeiters) vorgehen kann, hängt von den vertraglichen und rechtlichen Rahmenbedingungen ab. Nach der Datenschutz-Grundverordnung (DSGVO) besteht das direkte Vertragsverhältnis in der Regel zwischen dem Verantwortlichen und dem Auftragsverarbeiter. Der Auftragsverarbeiter darf Unterauftragnehmer (Subunternehmer) nur mit vorheriger spezifischer oder allgemeiner Genehmigung des Verantwortlichen einsetzen (Art. 28 Abs. 2 und 4 DSGVO). Der Auftragsverarbeiter muss mit dem Unterauftragnehmer einen Vertrag abschließen, der im Wesentlichen die gleichen Datenschutzpflichten enthält wie der Vertrag zwischen Verantwortlichem und Auftragsverarbeiter. Direkte Ansprüche oder ein direktes Vorgehen des Verantwortlichen gegen den Unterauftragnehmer sind in der DSGVO nicht ausdrücklich vorgesehen. Der Verantwortliche hat in der Regel keine direkte vertragliche Beziehung zum Unterauftragnehmer, sondern nur zum Auftragsverarbeiter. Im Falle eines Datenschutzverstoßes muss sich der Verantwortliche daher in der Regel zunächst an den Auftragsverarbeiter wenden, der wiederum gegenüber seinem Unterauftragnehmer regressieren kann. Eine Ausnahme kann bestehen, wenn der Vertrag zwischen Verantwortlichem und Auftragsverarbeiter ausdrücklich ein solches Direktanspruchsrecht vorsieht oder wenn der Unterauftragnehmer sich ausdrücklich gegenüber dem Verantwortlichen verpflichtet hat (z.B. durch einen sogenannten Vertrag zugunsten Dritter). Zusammengefasst: - Grundsätzlich kann der Verantwortliche nicht direkt gegen den Unterauftragnehmer vorgehen. - Ein direktes Vorgehen ist nur möglich, wenn dies ausdrücklich vertraglich vereinbart wurde. Weitere Informationen zur DSGVO und den Rollen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder auf der [Seite der Europäischen Kommission](https://ec.europa.eu/info/law/law-topic/data-protection_de).

Die Datenschutz-Grundverordnung (DSGVO) sieht keine direkten Verbote für Verantwort vor, sondern legt vielmehr Anforderungen und Pflichten fest, die diese einhalten müssen, um den Schutz personenbezogener Daten zu gewährleisten. Verantwortliche müssen sicherstellen, dass sie die Rechte der betroffenen Personen respektieren und geeignete technische sowie organisatorische Maßnahmen zum Schutz der Daten ergreifen. Bei Verstößen gegen die DSGVO können jedoch empfindliche Geldbußen und andere Sanktionen verhängt werden.

Für die Erstellung eines Verarbeitungsverzeichnisses gemäß Art. 30 DSGVO können folgende Arbeitspakete sinnvoll sein: 1. **Projektvorbereitung und Zieldefinition** - Verantwortlichkeiten festlegen - Ziele und Umfang des Verzeichnisses definieren 2. **Informationssammlung** - Erhebung aller Geschäftsprozesse, in denen personenbezogene Daten verarbeitet werden - Identifikation der verantwortlichen Abteilungen und Ansprechpartner 3. **Prozesserhebung und -dokumentation** - Detaillierte Erfassung der einzelnen Verarbeitungstätigkeiten (Zweck, Kategorien betroffener Personen und Daten, Empfänger, Übermittlungen in Drittländer, Löschfristen, technische und organisatorische Maßnahmen) - Nutzung von Fragebögen oder Interviews zur Datenerhebung 4. **Strukturierung und Erstellung des Verzeichnisses** - Zusammenführung und Strukturierung der gesammelten Informationen - Erstellung des Verzeichnisses in der geforderten Form (z. B. Excel, spezielle Software) 5. **Abstimmung und Validierung** - Überprüfung der Inhalte mit den Fachabteilungen - Korrekturen und Ergänzungen einarbeiten 6. **Freigabe und Dokumentation** - Endgültige Freigabe durch die verantwortliche Stelle (z. B. Datenschutzbeauftragter) - Ablage und Sicherstellung der Verfügbarkeit für Aufsichtsbehörden 7. **Schulung und Sensibilisierung** - Information und Schulung der Mitarbeitenden über das Verarbeitungsverzeichnis und deren Mitwirkungspflichten 8. **Regelmäßige Aktualisierung** - Festlegung eines Prozesses zur regelmäßigen Überprüfung und Aktualisierung des Verzeichnisses Diese Arbeitspakete können je nach Unternehmensgröße und Komplexität angepasst werden.

Ja, das ist grundsätzlich möglich. Die Datenschutz-Grundverordnung (DSGVO) gilt für Unternehmen in der EU unabhängig davon, wo die betroffene Person lebt oder ihren gewöhnlichen Aufenthalt hat. Das bedeutet: Jeder, dessen personenbezogene Daten von einem Unternehmen mit Sitz in der EU verarbeitet werden, kann sich auf die Rechte der DSGVO berufen – also auch Personen aus den USA. Relevant ist dabei, dass das Unternehmen tatsächlich personenbezogene Daten der betroffenen Person verarbeitet und seinen Sitz in der EU hat oder die Verarbeitung im Zusammenhang mit der Tätigkeit einer Niederlassung in der EU steht. In diesem Fall hat die betroffene Person das Recht auf Auskunft nach Art. 15 DSGVO, unabhängig von ihrer Staatsangehörigkeit oder ihrem Wohnsitz. Weitere Informationen zur DSGVO findest du z.B. auf der offiziellen Seite der Europäischen Kommission: https://commission.europa.eu/law/law-topic/data-protection_de

Ob eine Dienstleistung mit Telefonnummernvalidierung eine Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist, hängt davon ab, wie die Dienstleistung ausgestaltet ist und welche Rolle der Dienstleister einnimmt. **Auftragsverarbeitung** liegt gemäß Art. 4 Nr. 8 und Art. 28 DSGVO immer dann vor, wenn ein Dienstleister personenbezogene Daten im Auftrag und nach Weisung eines Verantwortlichen verarbeitet. **Konkret:** - Wenn du als Unternehmen einen externen Dienstleister beauftragst, Telefonnummern deiner Kunden zu validieren (z.B. auf Gültigkeit oder Format), und der Dienstleister diese Daten ausschließlich nach deinen Vorgaben verarbeitet, handelt es sich in der Regel um eine Auftragsverarbeitung. In diesem Fall muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden. - Wenn der Dienstleister die Telefonnummern jedoch für eigene Zwecke verarbeitet oder die Daten mit anderen Datenquellen abgleicht, um eigene Produkte oder Services zu verbessern, ist er selbst Verantwortlicher oder ggf. gemeinsam Verantwortlicher. Dann liegt keine Auftragsverarbeitung vor. **Beispiel:** - Ein Dienstleister prüft im Auftrag deines Unternehmens, ob eine Telefonnummer existiert oder korrekt formatiert ist, und nutzt die Daten nicht für eigene Zwecke → Auftragsverarbeitung. - Ein Dienstleister sammelt Telefonnummern, wertet sie aus und nutzt sie für eigene Marketingzwecke → keine Auftragsverarbeitung. **Fazit:** In den meisten Fällen ist eine Dienstleistung zur Telefonnummernvalidierung eine Auftragsverarbeitung, sofern der Dienstleister die Daten ausschließlich im Auftrag und nach Weisung verarbeitet. Es sollte aber immer im Einzelfall geprüft werden, wie die Datenverarbeitung konkret erfolgt. Weitere Informationen findest du z.B. beim [BayLDA](https://www.lda.bayern.de/de/thema-auftragsverarbeitung.html) oder [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_24_10_auftragsverarbeitung.pdf).

Ja, E-Mail ist im datenschutzrechtlichen Sinne eine Verarbeitungstätigkeit. Nach der Datenschutz-Grundverordnung (DSGVO) ist jede Tätigkeit, bei der personenbezogene Daten erhoben, gespeichert, übermittelt oder anderweitig verarbeitet werden, eine Verarbeitungstätigkeit. Da beim Versenden, Empfangen und Speichern von E-Mails häufig personenbezogene Daten verarbeitet werden (z. B. Name, E-Mail-Adresse, Inhalte), gilt E-Mail-Kommunikation als Verarbeitungstätigkeit und muss entsprechend im Verzeichnis von Verarbeitungstätigkeiten dokumentiert werden.

Das Trennkriterium für eine Verarbeitungstätigkeit nach der Datenschutz-Grundverordnung (DSGVO) bezieht sich darauf, wie einzelne Verarbeitungsvorgänge voneinander abgegrenzt werden, um sie als eigenständige „Verarbeitungstätigkeit“ zu dokumentieren. Eine Verarbeitungstätigkeit im Sinne der DSGVO ist ein zusammenhängender Vorgang oder eine Gruppe von Vorgängen, bei denen personenbezogene Daten für einen bestimmten Zweck verarbeitet werden. Das zentrale Trennkriterium ist daher der **Zweck der Verarbeitung**. **Wichtige Aspekte:** - **Gleicher Zweck:** Alle Verarbeitungsvorgänge, die demselben Zweck dienen (z. B. Lohnabrechnung, Kundenverwaltung), werden als eine Verarbeitungstätigkeit betrachtet. - **Unterschiedliche Zwecke:** Werden Daten für verschiedene Zwecke verarbeitet (z. B. Personalverwaltung vs. Marketing), handelt es sich um getrennte Verarbeitungstätigkeiten. - **Technische oder organisatorische Trennung:** Auch unterschiedliche technische Systeme oder organisatorische Abläufe können ein Indiz für verschiedene Verarbeitungstätigkeiten sein, sind aber nachrangig gegenüber dem Zweck. **Beispiel:** - Die Verarbeitung von Mitarbeiterdaten zur Gehaltsabrechnung ist eine eigene Verarbeitungstätigkeit. - Die Verarbeitung derselben Daten für die Zutrittskontrolle ist eine andere Verarbeitungstätigkeit, da der Zweck ein anderer ist. **Fazit:** Das maßgebliche Trennkriterium für eine Verarbeitungstätigkeit nach DSGVO ist der **Verarbeitungszweck**. Jede Verarbeitung personenbezogener Daten für einen eigenständigen Zweck gilt als eigene Verarbeitungstätigkeit und muss entsprechend im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden. Weitere Informationen findest du z. B. beim [BfDI](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitungstaetigkeiten/Verarbeitungstaetigkeiten.html) oder bei der [BayLDA](https://www.lda.bayern.de/de/verarbeitungstaetigkeiten.html).

Laut Datenschutz-Grundverordnung (DSGVO) bezieht sich der Begriff „gleichartige Verarbeitungszwecke“ auf IT-Prozesse, die personenbezogene Daten zu ähnlichen oder identischen Zielen verarbeiten. Die DSGVO selbst definiert den Begriff nicht explizit, aber in der Praxis und im Kontext von Verzeichnissen von Verarbeitungstätigkeiten (Art. 30 DSGVO) oder Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) wird er verwendet, um Prozesse zu gruppieren, die vergleichbare Zwecke verfolgen. Beispiele für IT-Prozesse mit gleichartigen Verarbeitungszwecken sind: 1. **Personalverwaltung** - Lohn- und Gehaltsabrechnung - Verwaltung von Urlaubsanträgen - Zeiterfassung Alle diese Prozesse dienen der Verwaltung von Beschäftigten. 2. **Kundenmanagement (CRM)** - Verwaltung von Kundendaten - Versand von Newslettern - Bearbeitung von Kundenanfragen Diese Prozesse verfolgen das Ziel der Kundenbetreuung und -kommunikation. 3. **Bewerbermanagement** - Erfassung und Verwaltung von Bewerberdaten - Kommunikation mit Bewerbern - Durchführung von Bewerbungsgesprächen (z. B. per Videokonferenz) Sie dienen alle der Auswahl und Einstellung neuer Mitarbeiter. 4. **IT-Support** - Bearbeitung von Support-Tickets - Verwaltung von Benutzerkonten - Protokollierung von IT-Zugriffen Diese Prozesse unterstützen den Betrieb und die Sicherheit der IT-Infrastruktur. **Wichtig:** Gleichartige Verarbeitungszwecke bedeuten, dass die Datenverarbeitung auf denselben oder sehr ähnlichen rechtlichen Grundlagen und zu vergleichbaren Zielen erfolgt. Das ist z. B. relevant, wenn mehrere Verarbeitungstätigkeiten im Verzeichnis nach Art. 30 DSGVO zusammengefasst werden können. **Weitere Informationen:** - [DSGVO Art. 30 – Verzeichnis von Verarbeitungstätigkeiten](https://dsgvo-gesetz.de/art-30-dsgvo/) - [DSGVO Art. 35 – Datenschutz-Folgenabschätzung](https://dsgvo-gesetz.de/art-35-dsgvo/) Zusammengefasst: IT-Prozesse haben gleichartige Verarbeitungszwecke laut DSGVO, wenn sie personenbezogene Daten zu vergleichbaren Zielen und auf ähnlicher Rechtsgrundlage verarbeiten, wie z. B. Prozesse der Personalverwaltung, des Kundenmanagements oder des Bewerbermanagements.

Die Datenschutz-Grundverordnung (DSGVO) sieht in Art. 6 Abs. 1 sechs zentrale Rechtsgrundlagen für die Zulässigkeit der Verarbeitung personenbezogener Daten vor. Eine Verarbeitung ist nur dann rechtmäßig, wenn mindestens eine der folgenden Bedingungen erfüllt ist: 1. **Einwilligung** (Art. 6 Abs. 1 lit. a DSGVO): Die betroffene Person hat ihre freiwillige, informierte und unmissverständliche Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben. 2. **Vertragserfüllung** (Art. 6 Abs. 1 lit. b DSGVO): Die Verarbeitung ist zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen. 3. **Rechtliche Verpflichtung** (Art. 6 Abs. 1 lit. c DSGVO): Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt. 4. **Lebenswichtige Interessen** (Art. 6 Abs. 1 lit. d DSGVO): Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. 5. **Wahrnehmung einer Aufgabe im öffentlichen Interesse oder Ausübung öffentlicher Gewalt** (Art. 6 Abs. 1 lit. e DSGVO): Die Verarbeitung ist zur Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. 6. **Berechtigte Interessen** (Art. 6 Abs. 1 lit. f DSGVO): Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Weitere Informationen findest du direkt im [Wortlaut von Art. 6 DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).