Was bedeutet gemeinsamer Verantwortlicher im Sinne der DSGVO?

Eine Datenverarbeitung im öffentlichen Dienst ist nach der Datenschutz-Grundverordnung (DSGVO) rechtmäßig, wenn mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Bedingungen erfüllt ist. Für Behörden und öffentliche Stellen sind insbesondere folgende Rechtsgrundlagen relevant: 1. **Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO):** Die Verarbeitung ist rechtmäßig, wenn sie zur Erfüllung einer gesetzlichen Pflicht erforderlich ist, der die Behörde unterliegt. 2. **Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt (Art. 6 Abs. 1 lit. e DSGVO):** Die Verarbeitung ist zulässig, wenn sie zur Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die der Behörde übertragen wurde. Die jeweilige Aufgabe muss durch ein Gesetz oder eine andere Rechtsvorschrift festgelegt sein. 3. **Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO):** Auch im öffentlichen Dienst kann eine Verarbeitung auf einer freiwilligen, informierten und eindeutigen Einwilligung der betroffenen Person beruhen. Weitere Voraussetzungen: - Die Verarbeitung muss auf das notwendige Maß beschränkt sein (Datenminimierung). - Es müssen angemessene technische und organisatorische Maßnahmen zum Schutz der Daten getroffen werden. - Die Betroffenenrechte (z. B. Auskunft, Berichtigung, Löschung) müssen gewährleistet sein. **Zusätzlich:** In Deutschland konkretisieren das Bundesdatenschutzgesetz (BDSG) und die jeweiligen Landesdatenschutzgesetze die Vorgaben der DSGVO für öffentliche Stellen. **Fazit:** Im öffentlichen Dienst ist eine Datenverarbeitung rechtmäßig, wenn sie auf einer gesetzlichen Grundlage, einer öffentlichen Aufgabe oder einer Einwilligung beruht und die weiteren Vorgaben der DSGVO eingehalten werden. Weitere Informationen findest du direkt bei der [DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) und beim [BfDI](https://www.bfdi.bund.de/DE/Home/home_node.html).

Ob das IT-Ressourcen-Management eine Verarbeitungstätigkeit nach DSGVO ist, hängt davon ab, ob dabei personenbezogene Daten verarbeitet werden. **Definition Verarbeitungstätigkeit nach DSGVO:** Eine Verarbeitungstätigkeit im Sinne der Datenschutz-Grundverordnung (DSGVO) liegt immer dann vor, wenn personenbezogene Daten automatisiert oder nicht automatisiert verarbeitet werden (Art. 4 Nr. 2 DSGVO). Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). **IT-Ressourcen-Management:** Darunter versteht man die Verwaltung und Organisation von IT-Ressourcen wie Hardware, Software, Netzwerken und IT-Dienstleistungen. Wenn im Rahmen des IT-Ressourcen-Managements personenbezogene Daten verarbeitet werden (z. B. Nutzerkonten, Zugriffsprotokolle, Lizenzmanagement mit personenbezogenen Angaben), handelt es sich um eine Verarbeitungstätigkeit nach DSGVO. **Fazit:** - Werden im IT-Ressourcen-Management **keine** personenbezogenen Daten verarbeitet (z. B. rein technische Inventarisierung von Geräten ohne Personenbezug), liegt **keine** Verarbeitungstätigkeit nach DSGVO vor. - Werden **personenbezogene Daten** verarbeitet (z. B. Verwaltung von Nutzerzugängen, Protokollierung von Zugriffen), ist das IT-Ressourcen-Management **eine Verarbeitungstätigkeit nach DSGVO** und muss entsprechend dokumentiert werden. **Weiterführende Informationen:** - [DSGVO Art. 4 Begriffsbestimmungen](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) - [Verzeichnis von Verarbeitungstätigkeiten (BayLDA)](https://www.lda.bayern.de/de/verarbeitungstaetigkeiten.html) **Zusammengefasst:** IT-Ressourcen-Management ist dann eine Verarbeitungstätigkeit nach DSGVO, wenn dabei personenbezogene Daten verarbeitet werden.

Ob ein Verantwortlicher (im Sinne der DSGVO: die Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet) direkt gegen einen Unterauftragnehmer (Subunternehmer des Auftragsverarbeiters) vorgehen kann, hängt von den vertraglichen und rechtlichen Rahmenbedingungen ab. Nach der Datenschutz-Grundverordnung (DSGVO) besteht das direkte Vertragsverhältnis in der Regel zwischen dem Verantwortlichen und dem Auftragsverarbeiter. Der Auftragsverarbeiter darf Unterauftragnehmer (Subunternehmer) nur mit vorheriger spezifischer oder allgemeiner Genehmigung des Verantwortlichen einsetzen (Art. 28 Abs. 2 und 4 DSGVO). Der Auftragsverarbeiter muss mit dem Unterauftragnehmer einen Vertrag abschließen, der im Wesentlichen die gleichen Datenschutzpflichten enthält wie der Vertrag zwischen Verantwortlichem und Auftragsverarbeiter. Direkte Ansprüche oder ein direktes Vorgehen des Verantwortlichen gegen den Unterauftragnehmer sind in der DSGVO nicht ausdrücklich vorgesehen. Der Verantwortliche hat in der Regel keine direkte vertragliche Beziehung zum Unterauftragnehmer, sondern nur zum Auftragsverarbeiter. Im Falle eines Datenschutzverstoßes muss sich der Verantwortliche daher in der Regel zunächst an den Auftragsverarbeiter wenden, der wiederum gegenüber seinem Unterauftragnehmer regressieren kann. Eine Ausnahme kann bestehen, wenn der Vertrag zwischen Verantwortlichem und Auftragsverarbeiter ausdrücklich ein solches Direktanspruchsrecht vorsieht oder wenn der Unterauftragnehmer sich ausdrücklich gegenüber dem Verantwortlichen verpflichtet hat (z.B. durch einen sogenannten Vertrag zugunsten Dritter). Zusammengefasst: - Grundsätzlich kann der Verantwortliche nicht direkt gegen den Unterauftragnehmer vorgehen. - Ein direktes Vorgehen ist nur möglich, wenn dies ausdrücklich vertraglich vereinbart wurde. Weitere Informationen zur DSGVO und den Rollen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder auf der [Seite der Europäischen Kommission](https://ec.europa.eu/info/law/law-topic/data-protection_de).

Die Datenschutz-Grundverordnung (DSGVO) sieht keine direkten Verbote für Verantwort vor, sondern legt vielmehr Anforderungen und Pflichten fest, die diese einhalten müssen, um den Schutz personenbezogener Daten zu gewährleisten. Verantwortliche müssen sicherstellen, dass sie die Rechte der betroffenen Personen respektieren und geeignete technische sowie organisatorische Maßnahmen zum Schutz der Daten ergreifen. Bei Verstößen gegen die DSGVO können jedoch empfindliche Geldbußen und andere Sanktionen verhängt werden.

Ob ein Whistleblower-Anbieter als Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung (DSGVO) gilt, hängt davon ab, wie die Dienstleistung ausgestaltet ist. **Grundsätzliches:** Ein Auftragsverarbeiter ist nach Art. 4 Nr. 8 DSGVO eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Verantwortliche (z. B. ein Unternehmen, das ein Hinweisgebersystem einführt) entscheidet über Zweck und Mittel der Datenverarbeitung. **Typischer Fall:** Ein externer Whistleblower-Anbieter stellt meist eine technische Plattform (z. B. ein Hinweisgebersystem) zur Verfügung und verarbeitet dabei personenbezogene Daten (z. B. Name des Hinweisgebers, beschuldigte Personen, Inhalte der Meldung) im Auftrag des Unternehmens. In diesem Fall ist der Anbieter in der Regel ein Auftragsverarbeiter, da er die Daten nur im Auftrag und nach Weisung des Unternehmens verarbeitet. **Ausnahme:** Handelt der Anbieter eigenverantwortlich, z. B. indem er selbst über die Zwecke und Mittel der Datenverarbeitung entscheidet (etwa bei einer anonymen Ombudsstelle, die eigenständig Fälle prüft und entscheidet, ob und wie sie weitergeleitet werden), könnte er als (gemeinsamer) Verantwortlicher gelten. **Fazit:** In den meisten Fällen ist ein Whistleblower-Anbieter ein Auftragsverarbeiter im Sinne der DSGVO. Es sollte jedoch immer im Einzelfall geprüft werden, wie die Rollenverteilung konkret ausgestaltet ist. Weitere Informationen: - [Art. 4 Nr. 8 DSGVO – Definition Auftragsverarbeiter](https://dsgvo-gesetz.de/art-4-dsgvo/) - [Hinweise der Datenschutzkonferenz zu Whistleblowing-Systemen (PDF)](https://www.datenschutzkonferenz-online.de/media/dskb/2022_24_Whistleblowing.pdf)

Ja, ein Lesezugriff aus einem Drittland stellt eine Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) dar. Nach Art. 4 Nr. 2 DSGVO umfasst der Begriff der Verarbeitung unter anderem das Abrufen, Abfragen oder die Verwendung personenbezogener Daten – unabhängig davon, ob die Daten nur gelesen oder tatsächlich verändert werden. Wenn also beispielsweise jemand aus einem Drittland (außerhalb des Europäischen Wirtschaftsraums) auf personenbezogene Daten zugreift, gilt dies als Übermittlung und Verarbeitung personenbezogener Daten in ein Drittland. Das hat zur Folge, dass die besonderen Anforderungen der DSGVO für Datenübermittlungen in Drittländer (insbesondere Art. 44 ff. DSGVO) beachtet werden müssen.

Nach der Datenschutz-Grundverordnung (DSGVO) ist die Einwilligung der Kunden im Maklerbüro insbesondere in folgenden Fällen und nach bestimmten Vorschriften erforderlich: **1. Artikel 6 DSGVO – Rechtmäßigkeit der Verarbeitung:** Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Bedingungen erfüllt ist. Die Einwilligung ist eine dieser Bedingungen (Art. 6 Abs. 1 lit. a DSGVO). Das bedeutet: Immer dann, wenn keine andere Rechtsgrundlage (z.B. Vertragserfüllung, gesetzliche Verpflichtung, berechtigtes Interesse) greift, ist eine ausdrückliche Einwilligung der betroffenen Person erforderlich. **2. Artikel 7 DSGVO – Bedingungen für die Einwilligung:** Hier werden die Anforderungen an die Einwilligung geregelt. Sie muss freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben werden. Die betroffene Person muss ihre Einwilligung jederzeit widerrufen können. **3. Artikel 9 DSGVO – Verarbeitung besonderer Kategorien personenbezogener Daten:** Für die Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) ist grundsätzlich eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO erforderlich, sofern keine andere Ausnahme greift. **Typische Anwendungsfälle im Maklerbüro:** - Weitergabe von Kundendaten an Dritte (z.B. Banken, Versicherungen, andere Makler), sofern dies nicht zur Vertragserfüllung notwendig ist. - Nutzung von Kundendaten zu Werbezwecken (z.B. Newsletter, Angebote). - Veröffentlichung von Kundendaten (z.B. Referenzobjekte mit Kundennamen). - Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten bei Versicherungsanfragen). **Wichtige Hinweise:** - Die Einwilligung muss dokumentiert werden. - Sie muss jederzeit widerrufbar sein. - Die Information über die Datenverarbeitung muss transparent und verständlich erfolgen (Art. 13 und 14 DSGVO). **Weitere Informationen:** [DSGVO im Volltext (eur-lex.europa.eu)](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) Zusammengefasst: Die Einwilligung ist immer dann erforderlich, wenn keine andere Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten besteht oder wenn besondere Datenkategorien betroffen sind. Die maßgeblichen Vorschriften sind Art. 6, Art. 7 und ggf. Art. 9 DSGVO.

Nachweise über die Bearbeitung von Anfragen auf Auskunft, Berichtigung oder Löschung nach DSGVO werden in der Regel durch eine sorgfältige Dokumentation geführt. Die DSGVO verpflichtet Verantwortliche, die Einhaltung der Datenschutzgrundsätze nachweisen zu können (Art. 5 Abs. 2 DSGVO, Rechenschaftspflicht). Das bedeutet konkret: 1. **Erfassung der Anfrage:** Jede eingehende Anfrage (z. B. per E-Mail, Brief, Online-Formular) sollte mit Datum, Art der Anfrage (Auskunft, Berichtigung, Löschung) und Identität des Anfragenden dokumentiert werden. 2. **Bearbeitungsprozess:** Die einzelnen Bearbeitungsschritte (z. B. Identitätsprüfung, Prüfung der Daten, interne Kommunikation, Entscheidung über die Anfrage) werden mit Datum und verantwortlicher Person festgehalten. 3. **Ergebnis und Antwort:** Die ergriffenen Maßnahmen (z. B. Daten wurden berichtigt, gelöscht oder Auskunft erteilt) sowie die Form und das Datum der Antwort an die betroffene Person werden dokumentiert. Auch eine eventuelle Ablehnung mit Begründung sollte festgehalten werden. 4. **Aufbewahrung der Nachweise:** Die Dokumentation sollte so aufbewahrt werden, dass sie im Falle einer Prüfung durch die Aufsichtsbehörde vorgelegt werden kann. Die Aufbewahrungsdauer richtet sich nach den allgemeinen Verjährungsfristen und dem Grundsatz der Datenminimierung. **Typische Dokumentationsformen:** - Datenschutzmanagement-Software - Tabellen (z. B. Excel) - Protokolle oder Aktenvermerke - Einträge im Ticketsystem **Wichtig:** Die Dokumentation darf keine sensiblen Daten enthalten, die über das zur Nachweisführung Erforderliche hinausgehen. **Rechtliche Grundlage:** - Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) - Art. 12 Abs. 3 DSGVO (Fristen und Nachweis der Bearbeitung) Weitere Informationen findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [BfDI](https://www.bfdi.bund.de/).

Ein DSGVO-Ordner dient dazu, bei Prüfungen durch Aufsichtsbehörden nachzuweisen, dass die Anforderungen der Datenschutz-Grundverordnung (DSGVO) eingehalten werden. Folgende Dokumente und Nachweise sollten typischerweise enthalten sein: 1. **Verzeichnis von Verarbeitungstätigkeiten** Nach Art. 30 DSGVO ist dies für die meisten Unternehmen Pflicht. Es listet alle Prozesse auf, bei denen personenbezogene Daten verarbeitet werden. 2. **Datenschutzrichtlinien und -konzepte** Interne Richtlinien, wie mit personenbezogenen Daten umgegangen wird. 3. **Auftragsverarbeitungsverträge (AVV)** Verträge mit Dienstleistern, die personenbezogene Daten im Auftrag verarbeiten (z.B. IT-Dienstleister, Cloud-Anbieter). 4. **Technische und organisatorische Maßnahmen (TOMs)** Dokumentation der Maßnahmen zum Schutz personenbezogener Daten (z.B. Zutrittskontrolle, Verschlüsselung, Backup). 5. **Mitarbeiterschulungen und -verpflichtungen** Nachweise über Datenschutzschulungen und Verpflichtungserklärungen der Mitarbeiter auf das Datengeheimnis. 6. **Informationspflichten und Einwilligungen** Muster und Nachweise für die Erfüllung der Informationspflichten gegenüber Betroffenen (z.B. Datenschutzerklärungen, Einwilligungsformulare). 7. **Meldung von Datenschutzverletzungen** Dokumentation von Datenschutzvorfällen und deren Meldung an die Aufsichtsbehörde (Art. 33 DSGVO). 8. **Betroffenenrechte** Nachweise über die Bearbeitung von Anfragen auf Auskunft, Berichtigung, Löschung etc. 9. **Datenschutz-Folgenabschätzungen (DSFA)** Falls erforderlich, Dokumentation der DSFA für risikoreiche Verarbeitungen. 10. **Kontakt zum Datenschutzbeauftragten** Benennung und Kontaktdaten des Datenschutzbeauftragten (sofern erforderlich). 11. **Sonstige relevante Dokumente** Z.B. Löschkonzepte, Protokolle von Datenschutz-Audits, Verfahrensanweisungen. **Tipp:** Der Ordner kann sowohl physisch als auch digital geführt werden. Wichtig ist die Aktualität und Vollständigkeit der Unterlagen. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder dem [BfDI](https://www.bfdi.bund.de/).

Wenn ein Smartphonehersteller einen Spamschutzdienst eines Dritten (z. B. für Anrufe oder SMS) auf seinen Geräten bereitstellt, werden in der Regel verschiedene Daten verarbeitet. Die genauen Daten hängen vom jeweiligen Dienst und dessen Funktionsweise ab, typischerweise gehören aber folgende Informationen dazu: 1. **Telefonnummern eingehender und ausgehender Anrufe/SMS:** Um Spam zu erkennen, werden die Nummern oft an den Spamschutzdienst übermittelt und mit einer Datenbank abgeglichen. 2. **Metadaten zu Anrufen/SMS:** Dazu zählen Zeitstempel, Dauer des Anrufs, ob der Anruf angenommen oder abgelehnt wurde, und ggf. der Typ der Nachricht (SMS, MMS). 3. **Geräteinformationen:** Modell, Betriebssystemversion, ggf. eindeutige Gerätekennungen (z. B. IMEI), um den Dienst korrekt bereitzustellen und Missbrauch zu verhindern. 4. **Nutzungsdaten:** Wie oft der Spamschutz genutzt wird, welche Funktionen verwendet werden, ggf. Feedback zu falsch erkannten Spam-Anrufen. 5. **Standortdaten (optional):** Manche Dienste nutzen Standortdaten, um regionale Spamwellen zu erkennen. Dies ist aber nicht immer der Fall und meist optional. 6. **Kontaktinformationen (in der Regel nicht):** Seriöse Spamschutzdienste greifen nicht auf das gesamte Adressbuch zu, sondern verarbeiten nur die Nummern der eingehenden Anrufe/SMS. In manchen Fällen kann aber eine Abfrage erfolgen, ob eine Nummer im lokalen Adressbuch gespeichert ist (ohne die Kontakte zu übertragen). **Wichtig:** Die genaue Datenverarbeitung ist abhängig vom jeweiligen Drittanbieter und dessen Datenschutzrichtlinien. Nutzer sollten die Datenschutzerklärung des Smartphoneherstellers und des Spamschutzdienstes sorgfältig lesen. **Beispiel für einen Drittanbieter:** Google bietet mit „Google Telefon“ einen Spamschutz an: [Google Telefon App – Spamschutz](https://support.google.com/phoneapp/answer/3459196?hl=de) **Zusammenfassung:** Verarbeitet werden in der Regel Telefonnummern, Metadaten zu Anrufen/SMS, Geräteinformationen und Nutzungsdaten. Die Übermittlung und Verarbeitung dieser Daten erfolgt zum Zweck der Spam-Erkennung und -Prävention.