Was bedeutet der Begriff "interne Empfänger" in einem Auftragsverarbeitungsvertrag?

Wenn ein Auftragsverarbeiter einen Unterauftragsverarbeiter in einem Drittland (außerhalb des Europäischen Wirtschaftsraums, EWR) einsetzt, sind nach der Datenschutz-Grundverordnung (DSGVO) besondere Anforderungen zu beachten, um den Schutz personenbezogener Daten sicherzustellen: 1. **Genehmigung einholen:** Der Auftragsverarbeiter darf einen Unterauftragsverarbeiter nur mit vorheriger spezifischer oder allgemeiner schriftlicher Genehmigung des Verantwortlichen (Art. 28 Abs. 2 DSGVO) einsetzen. Der Verantwortliche muss also zustimmen. 2. **Vertragliche Regelungen:** Zwischen Auftragsverarbeiter und Unterauftragsverarbeiter muss ein Vertrag bestehen, der die gleichen Datenschutzpflichten wie der Hauptvertrag enthält (Art. 28 Abs. 4 DSGVO). 3. **Drittlandübermittlung prüfen:** Die Übermittlung personenbezogener Daten in ein Drittland ist nur zulässig, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Das bedeutet: - **Angemessenheitsbeschluss:** Die EU-Kommission hat festgestellt, dass das Drittland ein angemessenes Datenschutzniveau bietet (Liste siehe [EU-Kommission](https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_de)). - **Geeignete Garantien:** Liegt kein Angemessenheitsbeschluss vor, müssen geeignete Garantien wie Standardvertragsklauseln ([SCCs](https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_de)), verbindliche interne Datenschutzvorschriften (BCRs) oder andere Mechanismen eingesetzt werden. - **Zusätzliche Maßnahmen:** Nach dem Schrems II-Urteil des EuGH kann es notwendig sein, zusätzliche technische und organisatorische Maßnahmen zu ergreifen, um das Datenschutzniveau zu gewährleisten. 4. **Transparenz und Information:** Der Verantwortliche muss die betroffenen Personen über die Drittlandübermittlung informieren (Art. 13, 14 DSGVO). 5. **Dokumentation:** Alle Schritte und Entscheidungen sollten dokumentiert werden, um die Einhaltung der DSGVO nachweisen zu können. **Fazit:** Der Einsatz eines Unterauftragsverarbeiters in einem Drittland ist möglich, aber nur unter strikter Einhaltung der DSGVO-Vorgaben. Verantwortliche und Auftragsverarbeiter müssen gemeinsam sicherstellen, dass ein angemessenes Datenschutzniveau gewährleistet ist.

Um echte Unter-Auftragsverarbeiter (Subunternehmer im Sinne der DSGVO) zu erkennen, sind folgende Informationen entscheidend: 1. **Art der Dienstleistung:** Der Unter-Auftragsverarbeiter muss tatsächlich im Auftrag des Hauptdienstleisters personenbezogene Daten verarbeiten, die im Zusammenhang mit dem Hauptauftrag stehen. 2. **Vertragliche Einbindung:** Es muss ein Vertrag oder eine Vereinbarung bestehen, die die Datenverarbeitung im Auftrag regelt (Art. 28 DSGVO). 3. **Zweck der Datenverarbeitung:** Die Verarbeitung muss ausschließlich im Rahmen und zu den Zwecken erfolgen, die der Hauptauftraggeber vorgegeben hat. 4. **Zugriff auf personenbezogene Daten:** Der Unter-Auftragsverarbeiter muss tatsächlich Zugriff auf personenbezogene Daten haben, die im Rahmen des Hauptauftrags verarbeitet werden. 5. **Keine Eigenverantwortung:** Der Unter-Auftragsverarbeiter darf die Daten nicht für eigene Zwecke nutzen, sondern nur im Auftrag und nach Weisung des Hauptdienstleisters. **Typische Beispiele für echte Unter-Auftragsverarbeiter:** - IT-Hosting-Anbieter, die Server für den Dienstleister betreiben und dabei Zugriff auf personenbezogene Daten haben. - Callcenter, die im Auftrag des Dienstleisters Kundendaten verarbeiten. - Externe Buchhaltungsfirmen, die im Auftrag des Dienstleisters Lohnabrechnungen erstellen. **Nicht als Unter-Auftragsverarbeiter gelten z.B.:** - Reine Telekommunikationsanbieter (z.B. Internetprovider ohne Datenzugriff) - Post- und Kurierdienste (reiner Transport, kein Datenzugriff) - Wartungsfirmen ohne Zugriff auf produktive Daten **Fazit:** Entscheidend ist, ob der Dienstleister im Rahmen des Auftrags tatsächlich personenbezogene Daten im Auftrag verarbeitet und dabei den Weisungen des Hauptdienstleisters unterliegt. Eine bloße Nennung in einer Liste reicht nicht aus – es muss ein tatsächlicher Datenverarbeitungsbezug bestehen. Weitere Infos: [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/)

Der Ausdruck „Empfängern, denen personenbezogene Daten offengelegt werden“ bedeutet, dass bestimmte Personen, Unternehmen oder Organisationen („Empfänger“) Zugang zu personenbezogenen Daten erhalten oder diese Daten von einer anderen Stelle mitgeteilt bekommen. Im Kontext des Datenschutzes, insbesondere nach der Datenschutz-Grundverordnung (DSGVO), bezeichnet ein „Empfänger“ jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden – unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Beispiel: Wenn ein Unternehmen Kundendaten an einen externen Dienstleister weitergibt, ist dieser Dienstleister der „Empfänger“, dem personenbezogene Daten offengelegt werden. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_24_10_auslegung_empfaenger.pdf) oder direkt in der [DSGVO, Art. 4 Nr. 9](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

In einem Unternehmen ist in der Regel der Verantwortliche für den Datenschutz, also der Datenschutzbeauftragte (DSB), für die Festlegung und Überwachung von Löschfristen zuständig. Die eigentliche Verantwortung liegt jedoch bei der Geschäftsführung bzw. der verantwortlichen Stelle gemäß Datenschutz-Grundverordnung (DSGVO). Sie muss sicherstellen, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist, und entsprechende Löschkonzepte implementieren. Der Datenschutzbeauftragte berät und unterstützt dabei, die gesetzlichen und betrieblichen Anforderungen umzusetzen, aber die letztendliche Verantwortung trägt die Unternehmensleitung. Oft arbeiten Datenschutzbeauftragte, IT-Abteilung, Fachabteilungen und ggf. die Rechtsabteilung gemeinsam an der Festlegung und Umsetzung von Löschfristen.

Ob eine Dienstleistung mit Telefonnummernvalidierung eine Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist, hängt davon ab, wie die Dienstleistung ausgestaltet ist und welche Rolle der Dienstleister einnimmt. **Auftragsverarbeitung** liegt gemäß Art. 4 Nr. 8 und Art. 28 DSGVO immer dann vor, wenn ein Dienstleister personenbezogene Daten im Auftrag und nach Weisung eines Verantwortlichen verarbeitet. **Konkret:** - Wenn du als Unternehmen einen externen Dienstleister beauftragst, Telefonnummern deiner Kunden zu validieren (z.B. auf Gültigkeit oder Format), und der Dienstleister diese Daten ausschließlich nach deinen Vorgaben verarbeitet, handelt es sich in der Regel um eine Auftragsverarbeitung. In diesem Fall muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden. - Wenn der Dienstleister die Telefonnummern jedoch für eigene Zwecke verarbeitet oder die Daten mit anderen Datenquellen abgleicht, um eigene Produkte oder Services zu verbessern, ist er selbst Verantwortlicher oder ggf. gemeinsam Verantwortlicher. Dann liegt keine Auftragsverarbeitung vor. **Beispiel:** - Ein Dienstleister prüft im Auftrag deines Unternehmens, ob eine Telefonnummer existiert oder korrekt formatiert ist, und nutzt die Daten nicht für eigene Zwecke → Auftragsverarbeitung. - Ein Dienstleister sammelt Telefonnummern, wertet sie aus und nutzt sie für eigene Marketingzwecke → keine Auftragsverarbeitung. **Fazit:** In den meisten Fällen ist eine Dienstleistung zur Telefonnummernvalidierung eine Auftragsverarbeitung, sofern der Dienstleister die Daten ausschließlich im Auftrag und nach Weisung verarbeitet. Es sollte aber immer im Einzelfall geprüft werden, wie die Datenverarbeitung konkret erfolgt. Weitere Informationen findest du z.B. beim [BayLDA](https://www.lda.bayern.de/de/thema-auftragsverarbeitung.html) oder [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_24_10_auftragsverarbeitung.pdf).

Ein Datenschutzkonzept ist nicht mit einem Sicherheitskonzept gleichzustellen, auch wenn beide eng miteinander verbunden sind. **Datenschutzkonzept:** Ein Datenschutzkonzept beschreibt Maßnahmen, Prozesse und Verantwortlichkeiten, um personenbezogene Daten gemäß den gesetzlichen Vorgaben (z. B. DSGVO) zu schützen. Es legt fest, wie Daten erhoben, verarbeitet, gespeichert und gelöscht werden und wie die Rechte der Betroffenen gewahrt bleiben. **Sicherheitskonzept:** Ein Sicherheitskonzept ist umfassender und bezieht sich auf den Schutz aller Informationen und IT-Systeme eines Unternehmens – unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht. Es umfasst technische und organisatorische Maßnahmen zur Abwehr von Bedrohungen wie Hackerangriffen, Datenverlust oder Systemausfällen. **Fazit:** Das Datenschutzkonzept ist ein Teilbereich des Sicherheitskonzepts. Während das Sicherheitskonzept den Schutz aller Daten und Systeme behandelt, konzentriert sich das Datenschutzkonzept speziell auf den Schutz personenbezogener Daten und die Einhaltung datenschutzrechtlicher Vorgaben.

Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet einen umfassenden Rahmen für Informationssicherheit in Organisationen. Er enthält viele Maßnahmen, die auch dem Datenschutz dienen, etwa zum Schutz personenbezogener Daten vor unbefugtem Zugriff, Verlust oder Manipulation. Allerdings deckt der IT-Grundschutz nicht alle Anforderungen des Datenschutzes vollständig ab. Datenschutz – insbesondere nach der Datenschutz-Grundverordnung (DSGVO) – umfasst neben technischen und organisatorischen Maßnahmen (TOM) auch rechtliche, organisatorische und prozessuale Anforderungen, wie z.B.: - Rechtmäßigkeit der Datenverarbeitung - Betroffenenrechte (z.B. Auskunft, Löschung) - Datenschutz-Folgenabschätzung - Verzeichnis von Verarbeitungstätigkeiten - Auftragsverarbeitung Der IT-Grundschutz unterstützt zwar die Umsetzung vieler technischer und organisatorischer Maßnahmen, ersetzt aber keine vollständige Datenschutz-Compliance. Für einen umfassenden Datenschutz müssen zusätzlich die spezifischen gesetzlichen Anforderungen (z.B. DSGVO, BDSG) beachtet und umgesetzt werden. Weitere Informationen findest du beim [BSI zum IT-Grundschutz](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/it-grundschutz_node.html) und beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).

IT-Sicherheit selbst ist keine Verarbeitungstätigkeit im Sinne der Datenschutz-Grundverordnung (DSGVO). Einestätigkeit beschreibt einen Vorgang oder eine Reihe von Vorgängen im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Speichern, Übermitteln oder Löschen dieser Daten. IT-Sicherheitsmaßnahmen (z. B. Firewalls, Verschlüsselung, Zugriffskontrollen) dienen dazu, die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Sie sind also unterstützende Maßnahmen, die im Rahmen von Verarbeitungstätigkeiten eingesetzt werden, aber keine eigenständige Verarbeitungstätigkeit darstellen. In einem Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO werden die eigentlichen Prozesse (z. B. Lohnabrechnung, Kundenverwaltung) dokumentiert. Die dabei eingesetzten IT-Sicherheitsmaßnahmen werden in der Regel als technische und organisatorische Maßnahmen (TOM) separat beschrieben. Zusammengefasst: IT-Sicherheit ist keine Verarbeitungstätigkeit, sondern eine Maßnahme zum Schutz der Verarbeitungstätigkeiten.

Ja, im Sinne der Datenschutz-Grundverordnung (DSGVO) kann die Beschaffung als Verarbeitungstätigkeit gelten, sofern dabei personenbezogene Daten verarbeitet werden. **Begründung:** Die DSGVO definiert „Verarbeitung“ sehr weit und umfasst jeden Vorgang im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Offenlegen, Übermitteln, Verknüpfen, Einschränken, Löschen oder Vernichten. **Beispiel:** Wenn im Rahmen der Beschaffung (z. B. Einkauf von Waren oder Dienstleistungen) personenbezogene Daten von Ansprechpartnern bei Lieferanten, Mitarbeitern oder anderen natürlichen Personen verarbeitet werden (z. B. Name, Kontaktdaten, Bankverbindung), handelt es sich um eine Verarbeitungstätigkeit. **Praxis:** In vielen Unternehmen wird die Beschaffung daher als eigene Verarbeitungstätigkeit im Verzeichnis der Verarbeitungstätigkeiten dokumentiert. **Fazit:** Beschaffung ist dann eine Verarbeitungstätigkeit im Sinne der DSGVO, wenn dabei personenbezogene Daten verarbeitet werden.

Die Abfrage von personenbezogenen Daten wie Vorname, Nachname, E-Mail, dienstliche Telefonnummer, Firma, Postanschrift, Land, Branche und Jobfunktion im Rahmen der Leadqualifizierung ist grundsätzlich möglich, unterliegt aber in Deutschland und der EU den Vorgaben der Datenschutz-Grundverordnung (DSGVO). Wichtige Voraussetzungen: 1. **Rechtmäßigkeit der Verarbeitung:** Es muss eine Rechtsgrundlage für die Datenerhebung geben. Im Marketing-Kontext ist das meist die Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO) oder ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO), wobei letzteres sorgfältig abgewogen werden muss. 2. **Datenminimierung:** Es dürfen nur die Daten abgefragt werden, die für den Zweck der Leadqualifizierung tatsächlich erforderlich sind (Art. 5 Abs. 1 lit. c DSGVO). Beispielsweise ist die Abfrage der Postanschrift nur dann zulässig, wenn sie für die Qualifizierung oder spätere Kontaktaufnahme wirklich notwendig ist. 3. **Transparenz und Information:** Die betroffene Person muss klar und verständlich über die Datenerhebung, den Zweck, die Speicherdauer und ihre Rechte informiert werden (Art. 13 DSGVO). 4. **Freiwilligkeit der Einwilligung:** Die Einwilligung muss freiwillig erfolgen. Pflichtfelder sollten auf das Notwendige beschränkt sein. **Fazit:** Die genannten Daten dürfen abgefragt werden, wenn sie für den Zweck der Leadqualifizierung erforderlich sind und die Vorgaben der DSGVO eingehalten werden. Es empfiehlt sich, die Datenerhebung auf das Notwendige zu beschränken und die Betroffenen transparent zu informieren. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [BfDI](https://www.bfdi.bund.de/).