Reicht die Formulierung 'Verarbeitung personenbezogener Daten gem. Gegenstand des Basisdienstleistungsvertrages' zur Genehmigung von Unterauftragsverarbeitern aus?

Personenbezogene Daten der höchsten Schutzklasse sind besonders sensible Daten, deren Missbrauch für die betroffenen Personen erhebliche Risiken wie Diskriminierung, Identitätsdiebstahl oder Rufschädigung bedeuten kann. In Deutschland und der EU werden diese Daten als „besondere Kategorien personenbezogener Daten“ gemäß Art. 9 DSGVO bezeichnet. Dazu zählen insbesondere: - Daten zur rassischen und ethnischen Herkunft - Politische Meinungen - Religiöse oder weltanschauliche Überzeugungen - Gewerkschaftszugehörigkeit - Genetische Daten - Biometrische Daten (zur eindeutigen Identifizierung einer Person) - Gesundheitsdaten - Daten zum Sexualleben oder der sexuellen Orientierung Diese Daten unterliegen besonders strengen Schutzvorschriften. Ihre Verarbeitung ist grundsätzlich verboten, es sei denn, es greift eine ausdrückliche Ausnahme nach Art. 9 Abs. 2 DSGVO (z. B. ausdrückliche Einwilligung der betroffenen Person). Weitere Informationen findest du direkt bei der [Datenschutz-Grundverordnung (DSGVO)](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

Die Formulierung „Projektmanagement und Kollaboration und Dokumentationsspeicherung“ ist im Kontext der Genehmigung von Unterauftragsverarbeitern (z. B. im Rahmen eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO) **nicht optimal** und in der Regel **nicht ausreichend präzise**. **Begründung:** - Die DSGVO verlangt, dass der Verantwortliche über die Art und den Umfang der Verarbeitung durch Unteraufnehmer informiert wird. - Die Beschreibung der Verarbeitungstätigkeiten muss so konkret sein, dass der Verantwortliche beurteilen kann, ob die Datenverarbeitung durch den Unterauftragsverarbeiter im Rahmen des Hauptvertrags erfolgt. - Allgemeine Begriffe wie „Projektmanagement“, „Kollaboration“ und „Dokumentationsspeicherung“ sind sehr weit gefasst und lassen viele Interpretationsspielräume offen. **Empfehlung:** - Die Beschreibung sollte spezifischer sein, z. B.: - „Bereitstellung einer Cloud-basierten Projektmanagement-Software zur Aufgabenverwaltung und Zusammenarbeit von Projektbeteiligten, einschließlich Speicherung und Verwaltung von Projektdokumenten.“ - Es sollte klar werden, welche Datenarten betroffen sind, zu welchem Zweck sie verarbeitet werden und welche Funktionen der Unterauftragsverarbeiter konkret übernimmt. **Fazit:** Die Formulierung ist zu allgemein. Es empfiehlt sich, die Tätigkeiten des Unterauftragsverarbeiters genauer und verständlicher zu beschreiben, um den Anforderungen der DSGVO zu genügen. Weitere Informationen zur Auftragsverarbeitung findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auslegung_hinweise_auftragsverarbeitung.pdf) oder beim [BayLDA](https://www.lda.bayern.de/de/thema_auftragsverarbeitung.html).

Um einen Unterauftragsverarbeiter (auch Subunternehmer im Sinne der DSGVO) von einem sonstigen Subunternehmen zu unterscheiden, sind folgende Informationen entscheidend: 1. **Art der Tätigkeit**: Ein Unterauftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag und auf Weisung des Verantwortlichen (oder eines Auftragsverarbeiters) gemäß Art. 28 DSGVO. Ein sonstiges Subunternehmen erbringt Leistungen, die nicht mit der Verarbeitung personenbezogener Daten im Auftrag zusammenhängen (z. B. Gebäudereinigung, Wartung ohne Zugriff auf Daten). 2. **Zugriff auf personenbezogene Daten**: Der Unterauftragsverarbeiter erhält Zugang zu personenbezogenen Daten, um diese im Rahmen des Hauptauftrags zu verarbeiten. Ein sonstiges Subunternehmen hat entweder keinen Zugriff auf personenbezogene Daten oder verarbeitet diese nicht im Auftrag des Verantwortlichen. 3. **Vertragliche Einbindung**: Für Unterauftragsverarbeiter ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO zwingend erforderlich. Für sonstige Subunternehmen gelten allgemeine zivilrechtliche Verträge, aber keine speziellen datenschutzrechtlichen Anforderungen. 4. **Weisungsgebundenheit**: Unterauftragsverarbeiter handeln ausschließlich auf Weisung des Verantwortlichen oder des Hauptauftragsverarbeiters. Sonstige Subunternehmen handeln eigenverantwortlich im Rahmen ihres Auftrags. **Zusammengefasst:** Entscheidend ist, ob das Subunternehmen im Auftrag personenbezogene Daten verarbeitet (dann Unterauftragsverarbeiter) oder ob es Leistungen erbringt, die keinen Bezug zur Datenverarbeitung im Auftrag haben (dann sonstiges Subunternehmen). Weitere Informationen zur Abgrenzung findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auslegung_auftragsverarbeitung.pdf) (DSK) und im [Leitfaden der BayLDA](https://www.lda.bayern.de/media/baylda_dsfa_leitfaden.pdf).

Wenn Mitarbeiter mit personenbezogenen Daten arbeiten, sollten sie eine Vertraulichkeitsvereinbarung unterschreiben.

Die Grundsätze für die Verarbeitung personenbezogener Daten gemäß Artikel 5 der Datenschutz-Grundverordnung (DSGVO) sind: 1. **Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz**: Die Verarbeitung muss rechtmäßig sein und die betroffenen Personen müssen über die Verarbeitung informiert werden. *Beispiel*: In der Pflegepraxis muss der Pflegebedürftige vor der Erhebung seiner Daten darüber informiert werden, welche Daten gesammelt werden, zu welchem Zweck und wer Zugriff darauf hat. 2. **Zweckbindung**: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden. *Beispiel*: Die Gesundheitsdaten eines Patienten dürfen nur zur Erstellung eines Pflegeplans verwendet werden und nicht für Marketingzwecke. 3. **Datenminimierung**: Es dürfen nur die Daten verarbeitet werden, die für die jeweiligen Zwecke notwendig sind. *Beispiel*: Bei der Erfassung von Informationen für die Pflege sollte nur das erfasst werden, was für die Pflege relevant ist, wie z.B. medizinische Vorgeschichte und aktuelle Bedürfnisse, nicht jedoch persönliche Vorlieben, die nicht für die Pflege entscheidend sind. 4. **Richtigkeit**: Die Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Es sind alle angemessenen Maßnahmen zu treffen, um sicherzustellen, dass unrichtige Daten unverzüglich gelöscht oder berichtigt werden. *Beispiel*: Wenn sich die Medikation eines Patienten ändert, muss dies umgehend in den Pflegeunterlagen aktualisiert werden, um falsche Behandlungen zu vermeiden. 5. **Speicherbegrenzung**: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. *Beispiel*: Nach dem Tod eines Patienten sollten die Daten nur so lange aufbewahrt werden, wie es gesetzlich vorgeschrieben ist, z.B. für die Dokumentation oder zur Abrechnung. 6. **Integrität und Vertraulichkeit**: Die Verarbeitung muss so erfolgen, dass die Sicherheit der personenbezogenen Daten gewährleistet ist, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor Verlust, Zerstörung oder Schädigung. *Beispiel*: In der Pflegepraxis sollten alle elektronischen Patientendaten durch Passwörter und Verschlüsselung geschützt werden, um unbefugten Zugriff zu verhindern. 7. **Rechenschaftspflicht**: Der Verantwortliche ist dafür verantwortlich, dass die Grundsätze eingehalten werden, und muss dies auch nachweisen können. *Beispiel*: Eine Pflegeeinrichtung sollte regelmäßige Schulungen für das Personal zur Datenschutzrichtlinie durchführen und Dokumentationen führen, um die Einhaltung der DSGVO nachweisen zu können. Diese Grundsätze helfen dabei, die Privatsphäre und die Rechte der betroffenen Personen zu schützen und eine verantwortungsvolle Datenverarbeitung sicherzustellen.

Laut der Datenschutz-Grundverordnung (DSGVO) sind mehrere Verfahren und Maßnahmen notwendig, wenn personenbezogene Daten verarbeitet werden. Dazu gehören: 1. **Rechtsgrundlage**: Es muss eine gültige Rechtsgrundlage für die Verarbeitung vorliegen, wie Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe oder berechtigtes Interesse. 2. **Transparenz**: Betroffene Personen müssen über die Verarbeitung ihrer Daten informiert werden, einschließlich der Zwecke der Verarbeitung, der Rechtsgrundlage, der Speicherdauer und der Rechte der Betroffenen. 3. **Datenschutz-Folgenabschätzung (DSFA)**: Bei bestimmten Arten von Datenverarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen, ist eine DSFA erforderlich. 4. **Technische und organisatorische Maßnahmen**: Es müssen geeignete Maßnahmen ergriffen werden, um die Sicherheit der Daten zu gewährleisten, wie z.B. Verschlüsselung, Zugriffskontrollen und regelmäßige Sicherheitsüberprüfungen. 5. **Dokumentation**: Die Verarbeitungstätigkeiten müssen dokumentiert werden, um die Einhaltung der DSGVO nachweisen zu können. 6. **Rechte der Betroffenen**: Die Rechte der betroffenen Personen, wie das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch, müssen gewährleistet und respektiert werden. 7. **Meldung von Datenschutzverletzungen**: Im Falle einer Datenschutzverletzung muss diese innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden, sofern ein Risiko für die Rechte und Freiheiten der Betroffenen besteht. Diese Verfahren sind entscheidend, um den Anforderungen der DSGVO gerecht zu werden und den Schutz personenbezogener Daten sicherzustellen.

Profiling im Datenschutz bezieht sich auf die automatisierte Verarbeitung personenbezogener Daten, um bestimmte Aspekte einer Person zu bewerten oder vorherzusagen. Dazu gehören beispielsweise die Analyse von Verhaltensmustern, Vorlieben oder Interessen. Profiling kann in verschiedenen Kontexten eingesetzt werden, wie etwa im Marketing, bei Kreditentscheidungen oder zur Risikobewertung. Im Rahmen der Datenschutz-Grundverordnung (DSGVO) in der EU gibt es spezifische Regelungen, die den Umgang mit Profiling betreffen. Personen haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die rechtliche Auswirkungen auf sie hat oder sie erheblich beeinträchtigt. Zudem müssen die betroffenen Personen über die Durchführung von Profiling informiert werden und haben das Recht, Widerspruch einzulegen.

Zu den besonderen Kategorien personenbezogener Daten gehören gemäß Artikel 9 der Datenschutz-Grundverordnung (DSGVO) folgende Daten: 1. **Rassische und ethnische Herkunft** 2. **Politische Meinungen** 3. **Religiöse oder weltanschauliche Überzeugungen** 4. **Gewerkschaftszugehörigkeit** 5. **Genetische Daten** 6. **Biometrische Daten** (zur eindeutigen Identifizierung einer natürlichen Person) 7. **Gesundheitsdaten** 8. **Daten zum Sexualleben oder der sexuellen Orientierung** Diese Daten unterliegen einem besonderen Schutz, da sie besonders sensibel sind und missbräuchlich verwendet werden könnten.

Personenbezogene müssen gelöscht werden, wenn für Zwecke, für die erhoben oder aufige Weise verarbeitet wurden nicht mehr notwendig sind. Dies ist in der Datenschutzundverordnung (GVO) der Union festgelegt, in Artikel 17 dem sogenannten "Recht Vergessenwerden". Gründe für die Lö können sein: 1 **Widerruf Einwilligung**: die betroffene Person Einwilligung zur widerruft und keine andere Rechtsgrund für die Verarbeitung gibt2. **Widers**: Wenn dieroffene Person Widers gegen die Verarbeitung ein und keine vorrigen berechtigten Gründe die Verarbeitung vorliegen3. **Unmäßige Verarbeitung** Wenn die Daten unmäßig verarbeitet wurden. . **Erfüllung rechtlichen Verpflichtung: Wenn die Lö zur Erfüllung rechtlichen Verpflichtung dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich ist. 5 **Einwilligung als Kind**: Wenn die Daten im Zusammenhang mit Erbringung von Diensten der Informationsgesellschaft erhoben wurden und die bet Person zum Zeitpunkt der Einwilligung ein Kind war. Weitere Informationen zurVO und den entsprechenden Artikeln findest du hier: [DSGVO Texthttps://eur-lex.europa.eu/legal-content/DE/TXT/?=CELEX%3A32016R0679).

Die geplante Speicherdauer für personenbezogene Daten hängt von verschiedenen Faktoren ab, die in der Datenschutz-Grundverordnung (DSGVO) und anderen relevanten Gesetzen festgelegt sind. Hier sind einige der wichtigsten Kriterien: 1. **Zweckbindung**: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Zweck, für den sie erhoben wurden, erforderlich ist. Sobald der Zweck erfüllt ist, sollten die Daten gelöscht oder anonymisiert werden. 2. **Gesetzliche Aufbewahrungsfristen**: Es gibt gesetzliche Vorgaben, die vorschreiben, wie lange bestimmte Daten aufbewahrt werden müssen. Zum Beispiel müssen steuerliche Unterlagen in der Regel 10 Jahre aufbewahrt werden. 3. **Einwilligung des Betroffenen**: Wenn die Verarbeitung auf der Einwilligung des Betroffenen basiert, können die Daten so lange gespeichert werden, wie die Einwilligung gültig ist. Der Betroffene hat das Recht, seine Einwilligung jederzeit zu widerrufen. 4. **Vertragliche Verpflichtungen**: Daten, die im Rahmen eines Vertragsverhältnisses erhoben wurden, können so lange gespeichert werden, wie es zur Erfüllung des Vertrags und zur Geltendmachung oder Abwehr von Ansprüchen erforderlich ist. 5. **Berechtigte Interessen**: In einigen Fällen können Daten auch auf Grundlage berechtigter Interessen des Verantwortlichen oder eines Dritten gespeichert werden, solange diese Interessen nicht die Rechte und Freiheiten der betroffenen Person überwiegen. 6. **Archivierungszwecke im öffentlichen Interesse, wissenschaftliche oder historische Forschungszwecke und statistische Zwecke**: Unter bestimmten Bedingungen dürfen Daten auch länger gespeichert werden, wenn sie für diese speziellen Zwecke benötigt werden. Es ist wichtig, dass Unternehmen und Organisationen klare Richtlinien und Verfahren zur Datenaufbewahrung und -löschung haben, um sicherzustellen, dass sie die gesetzlichen Anforderungen einhalten.