Wo werden in der DSGVO technische und organisatorische Maßnahmen gefordert?

Ob die Bewirtschaftung einer Demoflotte als Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) gilt, hängt davon ab, wie und in welchem Umfang personenbezogene Daten verarbeitet werden und wer die Verantwortung für diese Daten trägt. **Auftragsverarbeitung** liegt gemäß Art. 4 Nr. 8 und Art. 28 DSGVO dann vor, wenn ein Unternehmen (der „Auftraggeber“ oder „Verantwortliche“) einen externen Dienstleister (den „Auftragsverarbeiter“) damit beauftragt, personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen zu verarbeiten. **Entscheidende Kriterien:** - Werden im Rahmen der Bewirtschaftung personenbezogene Daten (z. B. von Fahrern, Nutzern, Kunden) verarbeitet? - Erfolgt die Verarbeitung ausschließlich im Auftrag und nach Weisung des Verantwortlichen? - Hat der Dienstleister keinen eigenen Entscheidungsspielraum über die Zwecke und Mittel der Datenverarbeitung? **Beispiel:** - Wenn ein Autohaus einem externen Dienstleister die Verwaltung seiner Demoflotte überträgt und dieser dabei Zugriff auf personenbezogene Daten (z. B. Fahrerdaten, Buchungsdaten) erhält und diese ausschließlich nach Weisung des Autohauses verarbeitet, handelt es sich in der Regel um eine Auftragsverarbeitung. - Wenn der Dienstleister jedoch eigene Zwecke verfolgt (z. B. eigene Marketingaktionen mit den Daten durchführt), ist er selbst Verantwortlicher und keine Auftragsverarbeitung liegt vor. **Fazit:** Die Bewirtschaftung der Demoflotte ist dann eine Auftragsverarbeitung, wenn der Dienstleister personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen verarbeitet. In diesem Fall ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO erforderlich. Weitere Informationen zur Auftragsverarbeitung findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auslegung_auftragsverarbeitung.pdf).

Welche Maßnahmen ein Unternehmen nach einem Datenleck ergreift, hängt von der Art des Vorfalls und den gesetzlichen Vorgaben ab. In der Regel werden folgende Schritte unternommen, um den Schaden für Betroffene zu minimieren: 1. **Sofortige Sicherung und Analyse**: Das Unternehmen identifiziert und schließt die Sicherheitslücke, um weiteren Datenabfluss zu verhindern. 2. **Benachrichtigung der Betroffenen**: Du wirst zeitnah informiert, welche Daten betroffen sind und welche Risiken bestehen. 3. **Meldung an Behörden**: Das Unternehmen meldet das Datenleck an die zuständige Datenschutzbehörde, wie es die DSGVO vorschreibt. 4. **Empfehlungen für Betroffene**: Du erhältst Hinweise, wie du dich schützen kannst, z. B. Passwortänderungen, besondere Vorsicht bei Phishing-Mails oder die Überwachung von Kontobewegungen. 5. **Angebot von Schutzmaßnahmen**: Oft bieten Unternehmen kostenlose Services wie Kreditüberwachungen oder Identitätsschutz an. 6. **Interne Maßnahmen**: Es werden zusätzliche Sicherheitsmaßnahmen eingeführt, Mitarbeitende geschult und Prozesse verbessert, um zukünftige Vorfälle zu verhindern. Für konkrete Informationen zu den Maßnahmen des betroffenen Unternehmens solltest du die offizielle Benachrichtigung oder die Website des Unternehmens prüfen. Dort findest du meist eine Übersicht der ergriffenen Schritte und Kontaktmöglichkeiten für weitere Fragen.

Ob ein Neutrovendor als Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung (DSGVO) gilt, hängt davon ab, welche Rolle das Unternehmen im konkreten Fall einnimmt. **Definition Aufverarbeiter:** Ein Auftragsverarbeiter ist gemäß Art. 4 Nr. 8 DSGVO eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Das bedeutet, der Auftragsverarbeiter handelt ausschließlich nach Weisung des Verantwortlichen und nutzt die Daten nicht für eigene Zwecke. **Neutrovendor:** Der Begriff „Neutrovendor“ ist kein fest definierter Begriff im Datenschutzrecht. In der Praxis bezeichnet er meist einen neutralen Anbieter oder Vermittler, der Dienstleistungen oder Produkte verschiedener Hersteller anbietet, ohne selbst Partei eines Vertrags zwischen Endkunde und Hersteller zu sein. **Entscheidend ist die Tätigkeit:** - **Verarbeitet der Neutrovendor personenbezogene Daten im Auftrag eines Verantwortlichen (z.B. eines Kunden) und ausschließlich nach dessen Weisung,** dann ist er als Auftragsverarbeiter zu qualifizieren. - **Verarbeitet der Neutrovendor die Daten jedoch zu eigenen Zwecken oder entscheidet selbst über die Mittel und Zwecke der Verarbeitung,** ist er Verantwortlicher im Sinne der DSGVO. **Fazit:** Ob ein Neutrovendor ein Auftragsverarbeiter ist, hängt von der konkreten Ausgestaltung der Zusammenarbeit und der Datenverarbeitung ab. Es kommt darauf an, ob er ausschließlich im Auftrag und nach Weisung handelt oder eigene Zwecke verfolgt. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_24_10_auslegung_hinweise_zur_auftragsverarbeitung.pdf) (DSK) oder direkt in der [DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

Nach der Datenschutz-Grundverordnung (DSGVO) besteht keine ausdrückliche Pflicht, Löschprotokolle zu führen. Allerdings ergibt sich aus den Rechenschafts- und Nachweispflichten gemäß Art. 5 Abs. 2 und Art. 24 DSGVO, dass Verantwortliche nachweisen können müssen, dass personenbezogene Daten ordnungsgemäß gelöscht wurden, wenn dies erforderlich ist (z. B. nach Art. 17 DSGVO – Recht auf Löschung). Löschprotokolle werden insbesondere dann relevant, wenn: - Betroffene Personen ihr Recht auf Löschung geltend machen und nachweisen möchten, dass ihre Daten tatsächlich gelöscht wurden. - Aufsichtsbehörden im Rahmen einer Prüfung oder eines Auskunftsersuchens einen Nachweis über die Löschung verlangen. - Im Rahmen von Datenschutz-Folgenabschätzungen oder Audits die Einhaltung der Löschpflichten dokumentiert werden muss. Zusammengefasst: Löschprotokolle müssen immer dann nachgewiesen werden, wenn ein Nachweis über die erfolgte Löschung personenbezogener Daten erforderlich ist – insbesondere gegenüber Betroffenen oder Aufsichtsbehörden. Sie sind ein wichtiges Instrument, um die Einhaltung der DSGVO-Anforderungen zu dokumentieren und im Bedarfsfall belegen zu können.

Nach der Datenschutz-Grundverordnung (DSGVO) besteht grundsätzlich die Pflicht, personenbezogene Daten zu löschen, sobald der Zweck der Verarbeitung entfällt oder eine andere Löschpflicht greift (Art. 17 DSGVO). Das bedeutet: Wenn die Löschfristen abgelaufen sind, müssen die Daten tatsächlich gelöscht werden. Das Anlegen einer sogenannten „Blacklist“ mit den Daten gelöschter Personen ist in der Regel **nicht zulässig**, da dies dem Grundsatz der Datenminimierung und dem Löschgebot widerspricht. Eine Ausnahme kann bestehen, wenn es einen **berechtigten Zweck** gibt, z. B. um sich vor missbräuchlichen Neuanmeldungen zu schützen. In diesem Fall dürfen aber nur die unbedingt erforderlichen Daten (z. B. Name und E-Mail-Adresse) und nur für den notwendigen Zeitraum gespeichert werden. Auch dann muss die betroffene Person über diese Verarbeitung informiert werden (Transparenzpflicht). **Fazit:** Eigentümer, deren Daten nach den Löschfristen zu löschen sind, dürfen **nicht pauschal in eine Blacklist eingetragen werden**. Eine Speicherung auf einer Blacklist ist nur in Ausnahmefällen und unter strengen Voraussetzungen der DSGVO zulässig. Weitere Informationen findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [BfDI](https://www.bfdi.bund.de/). **Hinweis:** Dies ist keine Rechtsberatung, sondern eine allgemeine Information zur DSGVO.

Artikel 25 der Datenschutz-Grundverordnung (DSGVO) regelt das Prinzip „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ („Privacy by Design“ und „Privacy by Default“). Kernpunkte von Artikel 25 DSGVO: 1. **Datenschutz durch Technikgestaltung**: Verantwortliche müssen bereits bei der Entwicklung und Auswahl von Technologien und Prozessen geeignete technische und organisatorische Maßnahmen treffen, um die Datenschutzgrundsätze (z. B. Datenminimierung, Integrität, Vertraulichkeit) wirksam umzusetzen. 2. **Datenschutzfreundliche Voreinstellungen**: Es muss sichergestellt werden, dass standardmäßig nur die personenbezogenen Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind. Das betrifft insbesondere die Menge der erhobenen Daten, den Umfang ihrer Verarbeitung, die Speicherfrist und ihre Zugänglichkeit. 3. **Berücksichtigung von Stand der Technik und Kosten**: Bei der Auswahl der Maßnahmen sind der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Ziel von Artikel 25 ist es, Datenschutz von Anfang an in Systeme und Prozesse zu integrieren und nicht erst nachträglich zu berücksichtigen. Den vollständigen Wortlaut findest du hier: [Artikel 25 DSGVO (eur-lex.europa.eu)](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679#d1e2202-1-1)

Das DSGVO-Risiko bei diesem Vorgehen ist als **erhöht** einzustufen, da mehrere datenschutzrechtlich relevante Aspekte betroffen sind: **1. Personenbezogene Daten:** Fotos, auf denen Personen erkennbar sind, gelten als personenbezogene Daten im Sinne der DSGVO. Auch im B2B-Kontext ist die DSGVO anwendbar, da es um natürliche Personen geht. **2. Rechtsgrundlage:** Für das Anfertigen und Verarbeiten (Speichern, Teilen) der Bilder ist eine Rechtsgrundlage erforderlich. In der Regel ist dies die **Einwilligung** der abgebildeten Personen (Art. 6 Abs. 1 lit. a DSGVO). Diese muss freiwillig, informiert und nachweisbar erfolgen. **3. Information und Transparenz:** Die betroffenen Personen müssen vorab über die Verarbeitung informiert werden (Art. 13 DSGVO). Dazu gehören u.a. Zweck, Speicherdauer, Empfänger und Rechte der Betroffenen. **4. Auftragsverarbeitung und Cloud-Speicherung:** OneDrive ist ein Cloud-Dienst von Microsoft ([Link](https://www.microsoft.com/de-de/microsoft-365/onedrive/online-cloud-storage)). Die Speicherung personenbezogener Daten bei einem externen Dienstleister erfordert einen **Auftragsverarbeitungsvertrag** (Art. 28 DSGVO). Zudem muss geprüft werden, wo die Daten gespeichert werden (EU/EWR oder Drittland) und ob ein angemessenes Datenschutzniveau besteht. **5. Zugang per QR-Code:** Der Zugang zu den Bildern per QR-Code muss so gestaltet sein, dass nur berechtigte Personen Zugriff erhalten. Öffentliche Freigabelinks ohne Zugangsbeschränkung sind kritisch. Es sollte eine Authentifizierung erfolgen. **6. Datensicherheit:** Die Übertragung und Speicherung der Bilder muss technisch und organisatorisch abgesichert sein (Art. 32 DSGVO). **Empfohlene Maßnahmen zur Risikominimierung:** - Vorab Einwilligungen der abgebildeten Personen einholen (schriftlich/digital). - Betroffene umfassend informieren (z.B. durch Datenschutzhinweise beim Event). - Auftragsverarbeitungsvertrag mit Microsoft abschließen. - Sicherstellen, dass die Daten in der EU/EWR gespeichert werden. - Zugang zu den Bildern nur für berechtigte Personen, z.B. durch passwortgeschützte Links. - Löschfristen festlegen und kommunizieren. **Fazit:** Ohne Einwilligung und angemessene technische sowie organisatorische Maßnahmen besteht ein erhebliches DSGVO-Risiko (Abmahnungen, Bußgelder). Mit korrekter Umsetzung lässt sich das Risiko jedoch deutlich reduzieren. Eine datenschutzrechtliche Beratung wird empfohlen.

Ob ein Whistleblower-Anbieter als Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung (DSGVO) gilt, hängt davon ab, wie die Dienstleistung ausgestaltet ist. **Grundsätzliches:** Ein Auftragsverarbeiter ist nach Art. 4 Nr. 8 DSGVO eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Verantwortliche (z. B. ein Unternehmen, das ein Hinweisgebersystem einführt) entscheidet über Zweck und Mittel der Datenverarbeitung. **Typischer Fall:** Ein externer Whistleblower-Anbieter stellt meist eine technische Plattform (z. B. ein Hinweisgebersystem) zur Verfügung und verarbeitet dabei personenbezogene Daten (z. B. Name des Hinweisgebers, beschuldigte Personen, Inhalte der Meldung) im Auftrag des Unternehmens. In diesem Fall ist der Anbieter in der Regel ein Auftragsverarbeiter, da er die Daten nur im Auftrag und nach Weisung des Unternehmens verarbeitet. **Ausnahme:** Handelt der Anbieter eigenverantwortlich, z. B. indem er selbst über die Zwecke und Mittel der Datenverarbeitung entscheidet (etwa bei einer anonymen Ombudsstelle, die eigenständig Fälle prüft und entscheidet, ob und wie sie weitergeleitet werden), könnte er als (gemeinsamer) Verantwortlicher gelten. **Fazit:** In den meisten Fällen ist ein Whistleblower-Anbieter ein Auftragsverarbeiter im Sinne der DSGVO. Es sollte jedoch immer im Einzelfall geprüft werden, wie die Rollenverteilung konkret ausgestaltet ist. Weitere Informationen: - [Art. 4 Nr. 8 DSGVO – Definition Auftragsverarbeiter](https://dsgvo-gesetz.de/art-4-dsgvo/) - [Hinweise der Datenschutzkonferenz zu Whistleblowing-Systemen (PDF)](https://www.datenschutzkonferenz-online.de/media/dskb/2022_24_Whistleblowing.pdf)

Eine Datenverarbeitung im öffentlichen Dienst ist nach der Datenschutz-Grundverordnung (DSGVO) rechtmäßig, wenn mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Bedingungen erfüllt ist. Für Behörden und öffentliche Stellen sind insbesondere folgende Rechtsgrundlagen relevant: 1. **Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO):** Die Verarbeitung ist rechtmäßig, wenn sie zur Erfüllung einer gesetzlichen Pflicht erforderlich ist, der die Behörde unterliegt. 2. **Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt (Art. 6 Abs. 1 lit. e DSGVO):** Die Verarbeitung ist zulässig, wenn sie zur Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die der Behörde übertragen wurde. Die jeweilige Aufgabe muss durch ein Gesetz oder eine andere Rechtsvorschrift festgelegt sein. 3. **Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO):** Auch im öffentlichen Dienst kann eine Verarbeitung auf einer freiwilligen, informierten und eindeutigen Einwilligung der betroffenen Person beruhen. Weitere Voraussetzungen: - Die Verarbeitung muss auf das notwendige Maß beschränkt sein (Datenminimierung). - Es müssen angemessene technische und organisatorische Maßnahmen zum Schutz der Daten getroffen werden. - Die Betroffenenrechte (z. B. Auskunft, Berichtigung, Löschung) müssen gewährleistet sein. **Zusätzlich:** In Deutschland konkretisieren das Bundesdatenschutzgesetz (BDSG) und die jeweiligen Landesdatenschutzgesetze die Vorgaben der DSGVO für öffentliche Stellen. **Fazit:** Im öffentlichen Dienst ist eine Datenverarbeitung rechtmäßig, wenn sie auf einer gesetzlichen Grundlage, einer öffentlichen Aufgabe oder einer Einwilligung beruht und die weiteren Vorgaben der DSGVO eingehalten werden. Weitere Informationen findest du direkt bei der [DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) und beim [BfDI](https://www.bfdi.bund.de/DE/Home/home_node.html).

Nach der Datenschutz-Grundverordnung (DSGVO) ist die Einwilligung der Kunden im Maklerbüro insbesondere in folgenden Fällen und nach bestimmten Vorschriften erforderlich: **1. Artikel 6 DSGVO – Rechtmäßigkeit der Verarbeitung:** Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Bedingungen erfüllt ist. Die Einwilligung ist eine dieser Bedingungen (Art. 6 Abs. 1 lit. a DSGVO). Das bedeutet: Immer dann, wenn keine andere Rechtsgrundlage (z.B. Vertragserfüllung, gesetzliche Verpflichtung, berechtigtes Interesse) greift, ist eine ausdrückliche Einwilligung der betroffenen Person erforderlich. **2. Artikel 7 DSGVO – Bedingungen für die Einwilligung:** Hier werden die Anforderungen an die Einwilligung geregelt. Sie muss freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben werden. Die betroffene Person muss ihre Einwilligung jederzeit widerrufen können. **3. Artikel 9 DSGVO – Verarbeitung besonderer Kategorien personenbezogener Daten:** Für die Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) ist grundsätzlich eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO erforderlich, sofern keine andere Ausnahme greift. **Typische Anwendungsfälle im Maklerbüro:** - Weitergabe von Kundendaten an Dritte (z.B. Banken, Versicherungen, andere Makler), sofern dies nicht zur Vertragserfüllung notwendig ist. - Nutzung von Kundendaten zu Werbezwecken (z.B. Newsletter, Angebote). - Veröffentlichung von Kundendaten (z.B. Referenzobjekte mit Kundennamen). - Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten bei Versicherungsanfragen). **Wichtige Hinweise:** - Die Einwilligung muss dokumentiert werden. - Sie muss jederzeit widerrufbar sein. - Die Information über die Datenverarbeitung muss transparent und verständlich erfolgen (Art. 13 und 14 DSGVO). **Weitere Informationen:** [DSGVO im Volltext (eur-lex.europa.eu)](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) Zusammengefasst: Die Einwilligung ist immer dann erforderlich, wenn keine andere Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten besteht oder wenn besondere Datenkategorien betroffen sind. Die maßgeblichen Vorschriften sind Art. 6, Art. 7 und ggf. Art. 9 DSGVO.