Gilt die Nutzung von Leistungen mit möglichem Zugriff auf personenbezogene Daten als Auftragsverarbeitung?

Ob die Desinfektion, der Transport und die Datenlöschung von medizintechnischen Geräten nach einer Entleihe als Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) gilt, hängt davon ab, ob und wie personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden. **1. Desinfektion und Transport:** Diese Tätigkeiten betreffen in der Regel keine Verarbeitung personenbezogener Daten, sondern sind rein physische Dienstleistungen. Solange bei Desinfektion und Transport keine personenbezogenen Daten verarbeitet werden (z.B. keine Einsichtnahme in Patientendaten auf dem Gerät erfolgt), handelt es sich **nicht** um eine Auftragsverarbeitung nach Art. 28 DSGVO. **2. Datenlöschung:** Die Datenlöschung kann eine Auftragsverarbeitung darstellen, wenn dabei personenbezogene Daten im Auftrag des Verantwortlichen gelöscht werden. Das ist insbesondere dann der Fall, wenn auf den Geräten noch Patientendaten oder andere personenbezogene Informationen gespeichert sind und der Dienstleister diese im Auftrag des Verantwortlichen löscht. In diesem Fall ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO erforderlich. **Fazit:** - **Desinfektion und Transport:** In der Regel keine Auftragsverarbeitung. - **Datenlöschung:** In der Regel Auftragsverarbeitung, wenn personenbezogene Daten betroffen sind. **Quellen und weitere Informationen:** - [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/) - [BfDI: Auftragsverarbeitung](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitung-und-Weitergabe/Auftragsverarbeitung/auftragsverarbeitung-node.html) Im Zweifel sollte eine datenschutzrechtliche Prüfung im Einzelfall erfolgen.

Ob die Desinfektion und der Transport von medizintechnischen Geräten nach einer Entleihe als Auftragsverarbeitung im Sinne der DSGVO gilt, hängt davon ab, ob und in welchem Umfang personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden. **Grundlagen:** - **Auftragsverarbeitung** nach Art. 4 Nr. 8 und Art. 28 DSGVO liegt vor, wenn ein Dienstleister (Auftragsverarbeiter) personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet. - **Personenbezogene Daten** sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. **Konkret zu deiner Frage:** 1. **Desinfektion und Transport als reine Sachleistungen:** Werden die Geräte lediglich gereinigt, desinfiziert und transportiert, ohne dass dabei auf gespeicherte personenbezogene Daten zugegriffen wird (z.B. weil die Geräte keine Daten enthalten oder diese vorab gelöscht wurden), liegt in der Regel **keine Auftragsverarbeitung** vor. Es handelt sich dann um eine Dienstleistung ohne Datenverarbeitung. 2. **Geräte enthalten personenbezogene Daten:** Befinden sich auf den Geräten noch personenbezogene Daten (z.B. Patientendaten auf Speichermedien, Protokollen, Bilddaten), und besteht die Möglichkeit, dass der Dienstleister im Rahmen der Desinfektion oder des Transports auf diese Daten zugreifen kann oder sie verarbeitet (z.B. durch Auslesen, Kopieren, Löschen), dann handelt es sich **sehr wahrscheinlich um eine Auftragsverarbeitung**. In diesem Fall muss ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO abgeschlossen werden. 3. **Praktische Empfehlung:** In der Praxis wird empfohlen, vor der Übergabe an externe Dienstleister sicherzustellen, dass keine personenbezogenen Daten mehr auf den Geräten vorhanden sind (z.B. durch Löschung oder Rücksetzung auf Werkseinstellungen). So kann eine Auftragsverarbeitung vermieden werden. **Fazit:** Ob eine Auftragsverarbeitung vorliegt, hängt davon ab, ob der Dienstleister im Rahmen der Desinfektion und des Transports tatsächlich mit personenbezogenen Daten in Berührung kommt oder diese verarbeitet. Ist das der Fall, ist ein Vertrag zur Auftragsverarbeitung erforderlich. Andernfalls handelt es sich um eine reine Sachleistung ohne Bezug zur DSGVO. **Weitere Informationen zur Auftragsverarbeitung findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auftragsverarbeitung.pdf).**

Ob eine Auftragsverarbeitung im Sinne der DSGVO (§ 28 DSGVO) vorliegt, hängt davon ab, in welcher Rolle die externe Vertriebsagentur die personenbezogenen Daten verarbeitet: **Auftragsverarbeitung liegt vor, wenn:** Die Vertriebsagentur die Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers (z.B. des Kundenunternehmens) verarbeitet und keine eigenen Zwecke verfolgt. Die Agentur ist dann „Auftragsverarbeiter“ und es muss ein Vertrag zur Auftragsverarbeitung abgeschlossen werden. **Keine Auftragsverarbeitung liegt vor, wenn:** Die Vertriebsagentur die Daten für eigene Zwecke nutzt, z.B. um eigene Produkte oder Dienstleistungen anzubieten, oder eigenverantwortlich über die Zwecke und Mittel der Verarbeitung entscheidet. In diesem Fall ist die Agentur „gemeinsam Verantwortlicher“ oder „eigener Verantwortlicher“ nach Art. 4 Nr. 7 DSGVO. **Fazit:** Erhält die externe Vertriebsagentur die personenbezogenen Daten der Ansprechpartner ausschließlich, um im Auftrag des Kundenunternehmens Vertriebsdienstleistungen zu erbringen (z.B. Kontaktaufnahme, Terminvereinbarung), und handelt sie dabei nur nach Weisung, liegt in der Regel eine Auftragsverarbeitung vor. Handelt die Agentur jedoch eigenverantwortlich oder zu eigenen Zwecken, ist dies keine Auftragsverarbeitung. **Weitere Informationen:** - [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/) - [Auftragsverarbeitung vs. gemeinsame Verantwortlichkeit (BfDI)](https://www.bfdi.bund.de/DE/Infothek/Schlagworte/A/Auftragsverarbeitung/auftragsverarbeitung.html) Eine genaue Einordnung hängt immer vom konkreten Vertrag und der tatsächlichen Ausgestaltung der Zusammenarbeit ab.

Der reine Transport von unverschlüsselten Festplatten mit personenbezogenen Daten – ohne dass der Transporteur selbst auf die Daten zugreift oder sie verarbeitet – gilt in der Regel **nicht** als Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO). **Begründung:** Auftragsverarbeitung nach Art. 4 Nr. 8 und Art. 28 DSGVO liegt vor, wenn ein Dienstleister personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet. Der reine Transport (z.B. durch ein Kurierunternehmen), bei dem keine inhaltliche Kenntnisnahme oder Verarbeitung der Daten erfolgt, ist grundsätzlich keine Verarbeitung im Sinne der DSGVO, sondern eine reine Transportdienstleistung. **Wichtig:** - Der Transporteur darf keinen Zugriff auf die Daten nehmen. - Die Festplatten sollten idealerweise verschlüsselt sein, um das Risiko eines Datenverlusts oder -missbrauchs zu minimieren. - Es empfiehlt sich, mit dem Transporteur eine Vertraulichkeitsvereinbarung zu schließen und technische sowie organisatorische Maßnahmen zum Schutz der Daten zu treffen. **Quellen und weitere Informationen:** - [Datenschutzkonferenz: Orientierungshilfe Auftragsverarbeitung](https://www.datenschutzkonferenz-online.de/media/oh/20180524_oh_auftragsverarbeitung.pdf) (siehe insbesondere S. 6, Punkt 2.2) - [BayLDA: FAQ zur Auftragsverarbeitung](https://www.lda.bayern.de/media/FAQ_Auftragsverarbeitung.pdf) **Fazit:** Der reine Transport unverschlüsselter Festplatten mit personenbezogenen Daten ist in der Regel keine Auftragsverarbeitung, solange keine Datenverarbeitung im Sinne der DSGVO erfolgt.

In einem Auftragsverarbeitungsvertrag (AVV) bezeichnet der Begriff "interne Empfänger" in der Regel Personen oder Abteilungen innerhalb des Unternehmens des Auftragsverarbeiters, die Zugriff auf die verarbeiteten personenbezogenen Daten erhalten. Das können zum Beispiel Mitarbeitende aus der IT, dem Support, der Buchhaltung oder der Geschäftsleitung sein, sofern sie im Rahmen ihrer Aufgaben mit den Daten arbeiten müssen. Der Begriff dient dazu, abzugrenzen, wer innerhalb der Organisation des Auftragsverarbeiters berechtigt ist, die Daten zu sehen oder zu verarbeiten – im Gegensatz zu "externen Empfängern", also Dritten außerhalb des Unternehmens (z.B. Subunternehmer, andere Dienstleister oder Behörden). Die Nennung "interner Empfänger" im AVV ist wichtig, um Transparenz zu schaffen und sicherzustellen, dass nur autorisierte Personen Zugriff auf die Daten haben, wie es die Datenschutz-Grundverordnung (DSGVO) verlangt.

Wenn ein Auftragsverarbeiter einen Unterauftragsverarbeiter in einem Drittland (außerhalb des Europäischen Wirtschaftsraums, EWR) einsetzt, sind nach der Datenschutz-Grundverordnung (DSGVO) besondere Anforderungen zu beachten, um den Schutz personenbezogener Daten sicherzustellen: 1. **Genehmigung einholen:** Der Auftragsverarbeiter darf einen Unterauftragsverarbeiter nur mit vorheriger spezifischer oder allgemeiner schriftlicher Genehmigung des Verantwortlichen (Art. 28 Abs. 2 DSGVO) einsetzen. Der Verantwortliche muss also zustimmen. 2. **Vertragliche Regelungen:** Zwischen Auftragsverarbeiter und Unterauftragsverarbeiter muss ein Vertrag bestehen, der die gleichen Datenschutzpflichten wie der Hauptvertrag enthält (Art. 28 Abs. 4 DSGVO). 3. **Drittlandübermittlung prüfen:** Die Übermittlung personenbezogener Daten in ein Drittland ist nur zulässig, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Das bedeutet: - **Angemessenheitsbeschluss:** Die EU-Kommission hat festgestellt, dass das Drittland ein angemessenes Datenschutzniveau bietet (Liste siehe [EU-Kommission](https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_de)). - **Geeignete Garantien:** Liegt kein Angemessenheitsbeschluss vor, müssen geeignete Garantien wie Standardvertragsklauseln ([SCCs](https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_de)), verbindliche interne Datenschutzvorschriften (BCRs) oder andere Mechanismen eingesetzt werden. - **Zusätzliche Maßnahmen:** Nach dem Schrems II-Urteil des EuGH kann es notwendig sein, zusätzliche technische und organisatorische Maßnahmen zu ergreifen, um das Datenschutzniveau zu gewährleisten. 4. **Transparenz und Information:** Der Verantwortliche muss die betroffenen Personen über die Drittlandübermittlung informieren (Art. 13, 14 DSGVO). 5. **Dokumentation:** Alle Schritte und Entscheidungen sollten dokumentiert werden, um die Einhaltung der DSGVO nachweisen zu können. **Fazit:** Der Einsatz eines Unterauftragsverarbeiters in einem Drittland ist möglich, aber nur unter strikter Einhaltung der DSGVO-Vorgaben. Verantwortliche und Auftragsverarbeiter müssen gemeinsam sicherstellen, dass ein angemessenes Datenschutzniveau gewährleistet ist.

Um echte Unter-Auftragsverarbeiter (Subunternehmer im Sinne der DSGVO) zu erkennen, sind folgende Informationen entscheidend: 1. **Art der Dienstleistung:** Der Unter-Auftragsverarbeiter muss tatsächlich im Auftrag des Hauptdienstleisters personenbezogene Daten verarbeiten, die im Zusammenhang mit dem Hauptauftrag stehen. 2. **Vertragliche Einbindung:** Es muss ein Vertrag oder eine Vereinbarung bestehen, die die Datenverarbeitung im Auftrag regelt (Art. 28 DSGVO). 3. **Zweck der Datenverarbeitung:** Die Verarbeitung muss ausschließlich im Rahmen und zu den Zwecken erfolgen, die der Hauptauftraggeber vorgegeben hat. 4. **Zugriff auf personenbezogene Daten:** Der Unter-Auftragsverarbeiter muss tatsächlich Zugriff auf personenbezogene Daten haben, die im Rahmen des Hauptauftrags verarbeitet werden. 5. **Keine Eigenverantwortung:** Der Unter-Auftragsverarbeiter darf die Daten nicht für eigene Zwecke nutzen, sondern nur im Auftrag und nach Weisung des Hauptdienstleisters. **Typische Beispiele für echte Unter-Auftragsverarbeiter:** - IT-Hosting-Anbieter, die Server für den Dienstleister betreiben und dabei Zugriff auf personenbezogene Daten haben. - Callcenter, die im Auftrag des Dienstleisters Kundendaten verarbeiten. - Externe Buchhaltungsfirmen, die im Auftrag des Dienstleisters Lohnabrechnungen erstellen. **Nicht als Unter-Auftragsverarbeiter gelten z.B.:** - Reine Telekommunikationsanbieter (z.B. Internetprovider ohne Datenzugriff) - Post- und Kurierdienste (reiner Transport, kein Datenzugriff) - Wartungsfirmen ohne Zugriff auf produktive Daten **Fazit:** Entscheidend ist, ob der Dienstleister im Rahmen des Auftrags tatsächlich personenbezogene Daten im Auftrag verarbeitet und dabei den Weisungen des Hauptdienstleisters unterliegt. Eine bloße Nennung in einer Liste reicht nicht aus – es muss ein tatsächlicher Datenverarbeitungsbezug bestehen. Weitere Infos: [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/)

Die azrecorder App (auch bekannt als AZ Screen Recorder) ist eine beliebte Anwendung zum Aufzeichnen von Bildschirminhalten auf Android-Geräten. Beim Thema Datenschutz gibt es einige wichtige Punkte zu beachten: 1. **Berechtigungen:** Die App benötigt verschiedene Berechtigungen, z. B. Zugriff auf den Speicher, das Mikrofon und ggf. die Kamera. Diese Berechtigungen sind notwendig, um Bildschirmaufnahmen zu speichern und Ton aufzuzeichnen. 2. **Datenspeicherung:** Laut den Angaben des Entwicklers werden die aufgezeichneten Videos lokal auf dem Gerät gespeichert. Es erfolgt keine automatische Übertragung der Aufnahmen an Server des Anbieters. 3. **Datenerhebung:** Die App kann laut Datenschutzerklärung (siehe [Google Play Store – Datenschutz](https://play.google.com/store/apps/details?id=com.hecorat.screenrecorder.free&hl=de&gl=US)) bestimmte Nutzungsdaten und Diagnosedaten erfassen, um die App zu verbessern oder Fehler zu beheben. Dazu können Geräteinformationen, App-Nutzungsstatistiken und Absturzberichte gehören. 4. **Werbung und Drittanbieter:** Die kostenlose Version der App blendet Werbung ein. Dabei können Drittanbieter (z. B. Werbenetzwerke) Daten wie Gerätekennungen oder Standortinformationen erfassen, um personalisierte Werbung anzuzeigen. 5. **Datenschutzbestimmungen:** Die vollständigen Datenschutzrichtlinien findest du auf der [offiziellen Website des Entwicklers](https://az-screen-recorder.com/privacy-policy/) oder im Google Play Store unter dem Abschnitt „Datenschutz“. **Fazit:** Die azrecorder App speichert deine Aufnahmen lokal und erhebt laut eigenen Angaben keine sensiblen personenbezogenen Daten ohne deine Zustimmung. Allerdings werden durch Werbung und Analyse-Tools gewisse Nutzungsdaten erfasst. Es empfiehlt sich, die Datenschutzbestimmungen sorgfältig zu lesen und die Berechtigungen der App regelmäßig zu überprüfen. Weitere Informationen findest du direkt beim [Entwickler](https://az-screen-recorder.com/) und im [Google Play Store](https://play.google.com/store/apps/details?id=com.hecorat.screenrecorder.free&hl=de&gl=US).

Ja, in der beschriebenen Konstellation ist in der Regel ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO erforderlich. **Begründung:** Wenn ein Unternehmen (Entleiher) Geräte vom Verleiher erhält und auf diesen Geräten bei der Rückgabe personenbezogene Daten Dritter vorhanden sein könnten, verarbeitet der Verleiher im Rahmen der Rücknahme und ggf. Löschung oder Wartung dieser Geräte personenbezogene Daten im Auftrag des Entleihers. Der Verleiher handelt dann als Auftragsverarbeiter, da er die Daten nicht zu eigenen Zwecken, sondern im Auftrag und nach Weisung des Entleihers verarbeitet. **Wichtige Punkte:** - **Art der Datenverarbeitung:** Sobald der Verleiher Zugriff auf personenbezogene Daten erhält (z.B. bei Wartung, Reparatur, Datenlöschung oder -auswertung), liegt eine Verarbeitung im Auftrag vor. - **Pflichten:** Der Entleiher bleibt Verantwortlicher im Sinne der DSGVO und muss sicherstellen, dass der Verleiher als Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen zum Schutz der Daten ergreift. - **AVV-Inhalt:** Der Vertrag muss die in Art. 28 DSGVO geforderten Inhalte umfassen, z.B. Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen, Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters. **Ausnahme:** Wenn der Verleiher nachweislich keinen Zugriff auf personenbezogene Daten erhält (z.B. weil der Entleiher die Geräte vor Rückgabe vollständig und sicher löscht), ist kein AVV erforderlich. In der Praxis ist dies jedoch oft schwer sicherzustellen. **Fazit:** Ein AVV ist in den meisten Fällen bei Leihstellungen von Geräten, auf denen personenbezogene Daten Dritter bei Rückgabe vorhanden sein könnten, erforderlich. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auslegung_auftragsverarbeitung.pdf) oder bei der [Aufsichtsbehörde](https://www.lda.bayern.de/de/thema_auftragsverarbeitung.html).

Die Teilnahme eines Interimmanagers an einem Bewerbungsgespräch ist aus datenschutzrechtlicher Sicht grundsätzlich zulässig, wenn bestimmte Voraussetzungen erfüllt sind. Nach der Datenschutz-Grundverordnung (DSGVO) dürfen personenbezogene Daten – dazu zählen auch die im Bewerbungsgespräch erhobenen Informationen – nur verarbeitet werden, wenn dafür eine Rechtsgrundlage besteht. Wichtige Punkte: 1. **Erforderlichkeit**: Die Teilnahme des Interimmanagers muss für den Auswahlprozess erforderlich sein, z.B. weil er eine leitende Funktion innehat oder fachlich relevante Entscheidungen trifft. 2. **Vertraulichkeit**: Der Interimmanager muss zur Vertraulichkeit verpflichtet werden, idealerweise durch eine entsprechende Vereinbarung oder durch Aufnahme in den Arbeits- bzw. Dienstvertrag. 3. **Information der Bewerber**: Die Bewerber müssen darüber informiert werden, wer am Gespräch teilnimmt und zu welchem Zweck ihre Daten verarbeitet werden (Art. 13 DSGVO). 4. **Zweckbindung**: Die im Gespräch erhobenen Daten dürfen nur für den Auswahlprozess verwendet werden. Fazit: Die Teilnahme ist zulässig, wenn der Interimmanager in den Auswahlprozess eingebunden ist, zur Vertraulichkeit verpflichtet wurde und die Bewerber entsprechend informiert werden. Weitere Informationen bietet z.B. die [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder die [Bundesbeauftragte für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).