Ist IT-Ressourcen-Management eine Verarbeitungstätigkeit nach DSGVO?

Eine Datenverarbeitung im öffentlichen Dienst ist nach der Datenschutz-Grundverordnung (DSGVO) rechtmäßig, wenn mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Bedingungen erfüllt ist. Für Behörden und öffentliche Stellen sind insbesondere folgende Rechtsgrundlagen relevant: 1. **Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO):** Die Verarbeitung ist rechtmäßig, wenn sie zur Erfüllung einer gesetzlichen Pflicht erforderlich ist, der die Behörde unterliegt. 2. **Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt (Art. 6 Abs. 1 lit. e DSGVO):** Die Verarbeitung ist zulässig, wenn sie zur Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die der Behörde übertragen wurde. Die jeweilige Aufgabe muss durch ein Gesetz oder eine andere Rechtsvorschrift festgelegt sein. 3. **Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO):** Auch im öffentlichen Dienst kann eine Verarbeitung auf einer freiwilligen, informierten und eindeutigen Einwilligung der betroffenen Person beruhen. Weitere Voraussetzungen: - Die Verarbeitung muss auf das notwendige Maß beschränkt sein (Datenminimierung). - Es müssen angemessene technische und organisatorische Maßnahmen zum Schutz der Daten getroffen werden. - Die Betroffenenrechte (z. B. Auskunft, Berichtigung, Löschung) müssen gewährleistet sein. **Zusätzlich:** In Deutschland konkretisieren das Bundesdatenschutzgesetz (BDSG) und die jeweiligen Landesdatenschutzgesetze die Vorgaben der DSGVO für öffentliche Stellen. **Fazit:** Im öffentlichen Dienst ist eine Datenverarbeitung rechtmäßig, wenn sie auf einer gesetzlichen Grundlage, einer öffentlichen Aufgabe oder einer Einwilligung beruht und die weiteren Vorgaben der DSGVO eingehalten werden. Weitere Informationen findest du direkt bei der [DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) und beim [BfDI](https://www.bfdi.bund.de/DE/Home/home_node.html).

Ein gemeinsamer Verantwortlicher im Sinne der DSGVO (Datenschutz-Grundverordnung) liegt vor, wenn zwei oder mehr Parteien gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen (Art. 26 DSGVO). Das bedeutet, sie entscheiden zusammen, warum und wie die Daten verarbeitet werden. Typische Beispiele sind Kooperationen zwischen Unternehmen, gemeinsame Projekte oder Plattformen, bei denen beide Seiten Einfluss auf die Datenverarbeitung haben. Die gemeinsamen Verantwortlichen müssen in einer Vereinbarung festlegen, wer welche datenschutzrechtlichen Pflichten übernimmt (z. B. Information der Betroffenen, Beantwortung von Auskunftsanfragen). Die wesentlichen Inhalte dieser Vereinbarung müssen den betroffenen Personen zugänglich gemacht werden. Weitere Informationen findest du direkt im Gesetzestext: [Art. 26 DSGVO – Gemeinsame Verantwortliche](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679#d1e2207-1-1)

Ob ein Neutrovendor als Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung (DSGVO) gilt, hängt davon ab, welche Rolle das Unternehmen im konkreten Fall einnimmt. **Definition Aufverarbeiter:** Ein Auftragsverarbeiter ist gemäß Art. 4 Nr. 8 DSGVO eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Das bedeutet, der Auftragsverarbeiter handelt ausschließlich nach Weisung des Verantwortlichen und nutzt die Daten nicht für eigene Zwecke. **Neutrovendor:** Der Begriff „Neutrovendor“ ist kein fest definierter Begriff im Datenschutzrecht. In der Praxis bezeichnet er meist einen neutralen Anbieter oder Vermittler, der Dienstleistungen oder Produkte verschiedener Hersteller anbietet, ohne selbst Partei eines Vertrags zwischen Endkunde und Hersteller zu sein. **Entscheidend ist die Tätigkeit:** - **Verarbeitet der Neutrovendor personenbezogene Daten im Auftrag eines Verantwortlichen (z.B. eines Kunden) und ausschließlich nach dessen Weisung,** dann ist er als Auftragsverarbeiter zu qualifizieren. - **Verarbeitet der Neutrovendor die Daten jedoch zu eigenen Zwecken oder entscheidet selbst über die Mittel und Zwecke der Verarbeitung,** ist er Verantwortlicher im Sinne der DSGVO. **Fazit:** Ob ein Neutrovendor ein Auftragsverarbeiter ist, hängt von der konkreten Ausgestaltung der Zusammenarbeit und der Datenverarbeitung ab. Es kommt darauf an, ob er ausschließlich im Auftrag und nach Weisung handelt oder eigene Zwecke verfolgt. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_24_10_auslegung_hinweise_zur_auftragsverarbeitung.pdf) (DSK) oder direkt in der [DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

Nach der Datenschutz-Grundverordnung (DSGVO) besteht keine ausdrückliche Pflicht, Löschprotokolle zu führen. Allerdings ergibt sich aus den Rechenschafts- und Nachweispflichten gemäß Art. 5 Abs. 2 und Art. 24 DSGVO, dass Verantwortliche nachweisen können müssen, dass personenbezogene Daten ordnungsgemäß gelöscht wurden, wenn dies erforderlich ist (z. B. nach Art. 17 DSGVO – Recht auf Löschung). Löschprotokolle werden insbesondere dann relevant, wenn: - Betroffene Personen ihr Recht auf Löschung geltend machen und nachweisen möchten, dass ihre Daten tatsächlich gelöscht wurden. - Aufsichtsbehörden im Rahmen einer Prüfung oder eines Auskunftsersuchens einen Nachweis über die Löschung verlangen. - Im Rahmen von Datenschutz-Folgenabschätzungen oder Audits die Einhaltung der Löschpflichten dokumentiert werden muss. Zusammengefasst: Löschprotokolle müssen immer dann nachgewiesen werden, wenn ein Nachweis über die erfolgte Löschung personenbezogener Daten erforderlich ist – insbesondere gegenüber Betroffenen oder Aufsichtsbehörden. Sie sind ein wichtiges Instrument, um die Einhaltung der DSGVO-Anforderungen zu dokumentieren und im Bedarfsfall belegen zu können.

Nach der Datenschutz-Grundverordnung (DSGVO) besteht grundsätzlich die Pflicht, personenbezogene Daten zu löschen, sobald der Zweck der Verarbeitung entfällt oder eine andere Löschpflicht greift (Art. 17 DSGVO). Das bedeutet: Wenn die Löschfristen abgelaufen sind, müssen die Daten tatsächlich gelöscht werden. Das Anlegen einer sogenannten „Blacklist“ mit den Daten gelöschter Personen ist in der Regel **nicht zulässig**, da dies dem Grundsatz der Datenminimierung und dem Löschgebot widerspricht. Eine Ausnahme kann bestehen, wenn es einen **berechtigten Zweck** gibt, z. B. um sich vor missbräuchlichen Neuanmeldungen zu schützen. In diesem Fall dürfen aber nur die unbedingt erforderlichen Daten (z. B. Name und E-Mail-Adresse) und nur für den notwendigen Zeitraum gespeichert werden. Auch dann muss die betroffene Person über diese Verarbeitung informiert werden (Transparenzpflicht). **Fazit:** Eigentümer, deren Daten nach den Löschfristen zu löschen sind, dürfen **nicht pauschal in eine Blacklist eingetragen werden**. Eine Speicherung auf einer Blacklist ist nur in Ausnahmefällen und unter strengen Voraussetzungen der DSGVO zulässig. Weitere Informationen findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [BfDI](https://www.bfdi.bund.de/). **Hinweis:** Dies ist keine Rechtsberatung, sondern eine allgemeine Information zur DSGVO.

Typische Datenverarbeitungen bei der Erbringung von Vertriebs- und Akquisedienstleistungen durch einen Auftragsverarbeiter umfassen: 1. **Erhebung und Speicherung von Kontaktdaten** Erfassung und Verwaltung von Namen, Adressen, Telefonnummern, E-Mail-Adressen und weiteren Kontaktdaten potenzieller und bestehender Kunden. 2. **Pflege von CRM-Systemen** Eingabe, Aktualisierung und Pflege von Kundendaten, Gesprächsnotizen, Interaktionshistorien und Vertriebschancen in Customer-Relationship-Management-Systemen. 3. **Versand von Werbe- und Informationsmaterial** Verarbeitung von Daten zum Versand von Newslettern, Angeboten, Einladungen zu Veranstaltungen oder anderen Marketingmaßnahmen. 4. **Terminvereinbarung und -koordination** Nutzung personenbezogener Daten zur Kontaktaufnahme, Terminabstimmung und -bestätigung (z. B. für Beratungsgespräche oder Produktpräsentationen). 5. **Dokumentation von Vertriebsaktivitäten** Protokollierung von Anrufen, E-Mails, Meetings und Ergebnissen von Akquisegesprächen. 6. **Lead-Generierung und Qualifizierung** Analyse und Bewertung von Interessenten anhand gespeicherter Daten, um potenzielle Kunden zu identifizieren und zu priorisieren. 7. **Datenabgleich und -bereinigung** Abgleich von Kundendaten mit bestehenden Datenbanken, Dublettenprüfung und Aktualisierung veralteter Informationen. 8. **Berichtswesen und Auswertung** Erstellung von Berichten und Statistiken über Vertriebsaktivitäten, Erfolgsquoten und Kundenreaktionen auf Basis der verarbeiteten Daten. Diese Verarbeitungen erfolgen im Auftrag des Verantwortlichen und unterliegen den Vorgaben der Datenschutz-Grundverordnung (DSGVO), insbesondere im Hinblick auf Zweckbindung, Datensicherheit und Weisungsgebundenheit des Auftragsverarbeiters.

Artikel 25 der Datenschutz-Grundverordnung (DSGVO) regelt das Prinzip „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ („Privacy by Design“ und „Privacy by Default“). Kernpunkte von Artikel 25 DSGVO: 1. **Datenschutz durch Technikgestaltung**: Verantwortliche müssen bereits bei der Entwicklung und Auswahl von Technologien und Prozessen geeignete technische und organisatorische Maßnahmen treffen, um die Datenschutzgrundsätze (z. B. Datenminimierung, Integrität, Vertraulichkeit) wirksam umzusetzen. 2. **Datenschutzfreundliche Voreinstellungen**: Es muss sichergestellt werden, dass standardmäßig nur die personenbezogenen Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind. Das betrifft insbesondere die Menge der erhobenen Daten, den Umfang ihrer Verarbeitung, die Speicherfrist und ihre Zugänglichkeit. 3. **Berücksichtigung von Stand der Technik und Kosten**: Bei der Auswahl der Maßnahmen sind der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Ziel von Artikel 25 ist es, Datenschutz von Anfang an in Systeme und Prozesse zu integrieren und nicht erst nachträglich zu berücksichtigen. Den vollständigen Wortlaut findest du hier: [Artikel 25 DSGVO (eur-lex.europa.eu)](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679#d1e2202-1-1)

Das DSGVO-Risiko bei diesem Vorgehen ist als **erhöht** einzustufen, da mehrere datenschutzrechtlich relevante Aspekte betroffen sind: **1. Personenbezogene Daten:** Fotos, auf denen Personen erkennbar sind, gelten als personenbezogene Daten im Sinne der DSGVO. Auch im B2B-Kontext ist die DSGVO anwendbar, da es um natürliche Personen geht. **2. Rechtsgrundlage:** Für das Anfertigen und Verarbeiten (Speichern, Teilen) der Bilder ist eine Rechtsgrundlage erforderlich. In der Regel ist dies die **Einwilligung** der abgebildeten Personen (Art. 6 Abs. 1 lit. a DSGVO). Diese muss freiwillig, informiert und nachweisbar erfolgen. **3. Information und Transparenz:** Die betroffenen Personen müssen vorab über die Verarbeitung informiert werden (Art. 13 DSGVO). Dazu gehören u.a. Zweck, Speicherdauer, Empfänger und Rechte der Betroffenen. **4. Auftragsverarbeitung und Cloud-Speicherung:** OneDrive ist ein Cloud-Dienst von Microsoft ([Link](https://www.microsoft.com/de-de/microsoft-365/onedrive/online-cloud-storage)). Die Speicherung personenbezogener Daten bei einem externen Dienstleister erfordert einen **Auftragsverarbeitungsvertrag** (Art. 28 DSGVO). Zudem muss geprüft werden, wo die Daten gespeichert werden (EU/EWR oder Drittland) und ob ein angemessenes Datenschutzniveau besteht. **5. Zugang per QR-Code:** Der Zugang zu den Bildern per QR-Code muss so gestaltet sein, dass nur berechtigte Personen Zugriff erhalten. Öffentliche Freigabelinks ohne Zugangsbeschränkung sind kritisch. Es sollte eine Authentifizierung erfolgen. **6. Datensicherheit:** Die Übertragung und Speicherung der Bilder muss technisch und organisatorisch abgesichert sein (Art. 32 DSGVO). **Empfohlene Maßnahmen zur Risikominimierung:** - Vorab Einwilligungen der abgebildeten Personen einholen (schriftlich/digital). - Betroffene umfassend informieren (z.B. durch Datenschutzhinweise beim Event). - Auftragsverarbeitungsvertrag mit Microsoft abschließen. - Sicherstellen, dass die Daten in der EU/EWR gespeichert werden. - Zugang zu den Bildern nur für berechtigte Personen, z.B. durch passwortgeschützte Links. - Löschfristen festlegen und kommunizieren. **Fazit:** Ohne Einwilligung und angemessene technische sowie organisatorische Maßnahmen besteht ein erhebliches DSGVO-Risiko (Abmahnungen, Bußgelder). Mit korrekter Umsetzung lässt sich das Risiko jedoch deutlich reduzieren. Eine datenschutzrechtliche Beratung wird empfohlen.

Ob ein Whistleblower-Anbieter als Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung (DSGVO) gilt, hängt davon ab, wie die Dienstleistung ausgestaltet ist. **Grundsätzliches:** Ein Auftragsverarbeiter ist nach Art. 4 Nr. 8 DSGVO eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Verantwortliche (z. B. ein Unternehmen, das ein Hinweisgebersystem einführt) entscheidet über Zweck und Mittel der Datenverarbeitung. **Typischer Fall:** Ein externer Whistleblower-Anbieter stellt meist eine technische Plattform (z. B. ein Hinweisgebersystem) zur Verfügung und verarbeitet dabei personenbezogene Daten (z. B. Name des Hinweisgebers, beschuldigte Personen, Inhalte der Meldung) im Auftrag des Unternehmens. In diesem Fall ist der Anbieter in der Regel ein Auftragsverarbeiter, da er die Daten nur im Auftrag und nach Weisung des Unternehmens verarbeitet. **Ausnahme:** Handelt der Anbieter eigenverantwortlich, z. B. indem er selbst über die Zwecke und Mittel der Datenverarbeitung entscheidet (etwa bei einer anonymen Ombudsstelle, die eigenständig Fälle prüft und entscheidet, ob und wie sie weitergeleitet werden), könnte er als (gemeinsamer) Verantwortlicher gelten. **Fazit:** In den meisten Fällen ist ein Whistleblower-Anbieter ein Auftragsverarbeiter im Sinne der DSGVO. Es sollte jedoch immer im Einzelfall geprüft werden, wie die Rollenverteilung konkret ausgestaltet ist. Weitere Informationen: - [Art. 4 Nr. 8 DSGVO – Definition Auftragsverarbeiter](https://dsgvo-gesetz.de/art-4-dsgvo/) - [Hinweise der Datenschutzkonferenz zu Whistleblowing-Systemen (PDF)](https://www.datenschutzkonferenz-online.de/media/dskb/2022_24_Whistleblowing.pdf)

Ja, ein Lesezugriff aus einem Drittland stellt eine Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) dar. Nach Art. 4 Nr. 2 DSGVO umfasst der Begriff der Verarbeitung unter anderem das Abrufen, Abfragen oder die Verwendung personenbezogener Daten – unabhängig davon, ob die Daten nur gelesen oder tatsächlich verändert werden. Wenn also beispielsweise jemand aus einem Drittland (außerhalb des Europäischen Wirtschaftsraums) auf personenbezogene Daten zugreift, gilt dies als Übermittlung und Verarbeitung personenbezogener Daten in ein Drittland. Das hat zur Folge, dass die besonderen Anforderungen der DSGVO für Datenübermittlungen in Drittländer (insbesondere Art. 44 ff. DSGVO) beachtet werden müssen.