Gilt ein Lesezugriff aus einem Drittland als Datenverarbeitung?

Eine Datenverarbeitung im öffentlichen Dienst ist nach der Datenschutz-Grundverordnung (DSGVO) rechtmäßig, wenn mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Bedingungen erfüllt ist. Für Behörden und öffentliche Stellen sind insbesondere folgende Rechtsgrundlagen relevant: 1. **Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO):** Die Verarbeitung ist rechtmäßig, wenn sie zur Erfüllung einer gesetzlichen Pflicht erforderlich ist, der die Behörde unterliegt. 2. **Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt (Art. 6 Abs. 1 lit. e DSGVO):** Die Verarbeitung ist zulässig, wenn sie zur Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die der Behörde übertragen wurde. Die jeweilige Aufgabe muss durch ein Gesetz oder eine andere Rechtsvorschrift festgelegt sein. 3. **Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO):** Auch im öffentlichen Dienst kann eine Verarbeitung auf einer freiwilligen, informierten und eindeutigen Einwilligung der betroffenen Person beruhen. Weitere Voraussetzungen: - Die Verarbeitung muss auf das notwendige Maß beschränkt sein (Datenminimierung). - Es müssen angemessene technische und organisatorische Maßnahmen zum Schutz der Daten getroffen werden. - Die Betroffenenrechte (z. B. Auskunft, Berichtigung, Löschung) müssen gewährleistet sein. **Zusätzlich:** In Deutschland konkretisieren das Bundesdatenschutzgesetz (BDSG) und die jeweiligen Landesdatenschutzgesetze die Vorgaben der DSGVO für öffentliche Stellen. **Fazit:** Im öffentlichen Dienst ist eine Datenverarbeitung rechtmäßig, wenn sie auf einer gesetzlichen Grundlage, einer öffentlichen Aufgabe oder einer Einwilligung beruht und die weiteren Vorgaben der DSGVO eingehalten werden. Weitere Informationen findest du direkt bei der [DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) und beim [BfDI](https://www.bfdi.bund.de/DE/Home/home_node.html).

Wenn ein Smartphonehersteller einen Spamschutzdienst eines Dritten (z. B. für Anrufe oder SMS) auf seinen Geräten bereitstellt, werden in der Regel verschiedene Daten verarbeitet. Die genauen Daten hängen vom jeweiligen Dienst und dessen Funktionsweise ab, typischerweise gehören aber folgende Informationen dazu: 1. **Telefonnummern eingehender und ausgehender Anrufe/SMS:** Um Spam zu erkennen, werden die Nummern oft an den Spamschutzdienst übermittelt und mit einer Datenbank abgeglichen. 2. **Metadaten zu Anrufen/SMS:** Dazu zählen Zeitstempel, Dauer des Anrufs, ob der Anruf angenommen oder abgelehnt wurde, und ggf. der Typ der Nachricht (SMS, MMS). 3. **Geräteinformationen:** Modell, Betriebssystemversion, ggf. eindeutige Gerätekennungen (z. B. IMEI), um den Dienst korrekt bereitzustellen und Missbrauch zu verhindern. 4. **Nutzungsdaten:** Wie oft der Spamschutz genutzt wird, welche Funktionen verwendet werden, ggf. Feedback zu falsch erkannten Spam-Anrufen. 5. **Standortdaten (optional):** Manche Dienste nutzen Standortdaten, um regionale Spamwellen zu erkennen. Dies ist aber nicht immer der Fall und meist optional. 6. **Kontaktinformationen (in der Regel nicht):** Seriöse Spamschutzdienste greifen nicht auf das gesamte Adressbuch zu, sondern verarbeiten nur die Nummern der eingehenden Anrufe/SMS. In manchen Fällen kann aber eine Abfrage erfolgen, ob eine Nummer im lokalen Adressbuch gespeichert ist (ohne die Kontakte zu übertragen). **Wichtig:** Die genaue Datenverarbeitung ist abhängig vom jeweiligen Drittanbieter und dessen Datenschutzrichtlinien. Nutzer sollten die Datenschutzerklärung des Smartphoneherstellers und des Spamschutzdienstes sorgfältig lesen. **Beispiel für einen Drittanbieter:** Google bietet mit „Google Telefon“ einen Spamschutz an: [Google Telefon App – Spamschutz](https://support.google.com/phoneapp/answer/3459196?hl=de) **Zusammenfassung:** Verarbeitet werden in der Regel Telefonnummern, Metadaten zu Anrufen/SMS, Geräteinformationen und Nutzungsdaten. Die Übermittlung und Verarbeitung dieser Daten erfolgt zum Zweck der Spam-Erkennung und -Prävention.

Ein gemeinsamer Verantwortlicher im Sinne der DSGVO (Datenschutz-Grundverordnung) liegt vor, wenn zwei oder mehr Parteien gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen (Art. 26 DSGVO). Das bedeutet, sie entscheiden zusammen, warum und wie die Daten verarbeitet werden. Typische Beispiele sind Kooperationen zwischen Unternehmen, gemeinsame Projekte oder Plattformen, bei denen beide Seiten Einfluss auf die Datenverarbeitung haben. Die gemeinsamen Verantwortlichen müssen in einer Vereinbarung festlegen, wer welche datenschutzrechtlichen Pflichten übernimmt (z. B. Information der Betroffenen, Beantwortung von Auskunftsanfragen). Die wesentlichen Inhalte dieser Vereinbarung müssen den betroffenen Personen zugänglich gemacht werden. Weitere Informationen findest du direkt im Gesetzestext: [Art. 26 DSGVO – Gemeinsame Verantwortliche](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679#d1e2207-1-1)

Ob das IT-Ressourcen-Management eine Verarbeitungstätigkeit nach DSGVO ist, hängt davon ab, ob dabei personenbezogene Daten verarbeitet werden. **Definition Verarbeitungstätigkeit nach DSGVO:** Eine Verarbeitungstätigkeit im Sinne der Datenschutz-Grundverordnung (DSGVO) liegt immer dann vor, wenn personenbezogene Daten automatisiert oder nicht automatisiert verarbeitet werden (Art. 4 Nr. 2 DSGVO). Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). **IT-Ressourcen-Management:** Darunter versteht man die Verwaltung und Organisation von IT-Ressourcen wie Hardware, Software, Netzwerken und IT-Dienstleistungen. Wenn im Rahmen des IT-Ressourcen-Managements personenbezogene Daten verarbeitet werden (z. B. Nutzerkonten, Zugriffsprotokolle, Lizenzmanagement mit personenbezogenen Angaben), handelt es sich um eine Verarbeitungstätigkeit nach DSGVO. **Fazit:** - Werden im IT-Ressourcen-Management **keine** personenbezogenen Daten verarbeitet (z. B. rein technische Inventarisierung von Geräten ohne Personenbezug), liegt **keine** Verarbeitungstätigkeit nach DSGVO vor. - Werden **personenbezogene Daten** verarbeitet (z. B. Verwaltung von Nutzerzugängen, Protokollierung von Zugriffen), ist das IT-Ressourcen-Management **eine Verarbeitungstätigkeit nach DSGVO** und muss entsprechend dokumentiert werden. **Weiterführende Informationen:** - [DSGVO Art. 4 Begriffsbestimmungen](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) - [Verzeichnis von Verarbeitungstätigkeiten (BayLDA)](https://www.lda.bayern.de/de/verarbeitungstaetigkeiten.html) **Zusammengefasst:** IT-Ressourcen-Management ist dann eine Verarbeitungstätigkeit nach DSGVO, wenn dabei personenbezogene Daten verarbeitet werden.

Wenn ein Auftragsverarbeiter einen Unterauftragsverarbeiter in einem Drittland (außerhalb des Europäischen Wirtschaftsraums, EWR) einsetzt, sind nach der Datenschutz-Grundverordnung (DSGVO) besondere Anforderungen zu beachten, um den Schutz personenbezogener Daten sicherzustellen: 1. **Genehmigung einholen:** Der Auftragsverarbeiter darf einen Unterauftragsverarbeiter nur mit vorheriger spezifischer oder allgemeiner schriftlicher Genehmigung des Verantwortlichen (Art. 28 Abs. 2 DSGVO) einsetzen. Der Verantwortliche muss also zustimmen. 2. **Vertragliche Regelungen:** Zwischen Auftragsverarbeiter und Unterauftragsverarbeiter muss ein Vertrag bestehen, der die gleichen Datenschutzpflichten wie der Hauptvertrag enthält (Art. 28 Abs. 4 DSGVO). 3. **Drittlandübermittlung prüfen:** Die Übermittlung personenbezogener Daten in ein Drittland ist nur zulässig, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Das bedeutet: - **Angemessenheitsbeschluss:** Die EU-Kommission hat festgestellt, dass das Drittland ein angemessenes Datenschutzniveau bietet (Liste siehe [EU-Kommission](https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_de)). - **Geeignete Garantien:** Liegt kein Angemessenheitsbeschluss vor, müssen geeignete Garantien wie Standardvertragsklauseln ([SCCs](https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_de)), verbindliche interne Datenschutzvorschriften (BCRs) oder andere Mechanismen eingesetzt werden. - **Zusätzliche Maßnahmen:** Nach dem Schrems II-Urteil des EuGH kann es notwendig sein, zusätzliche technische und organisatorische Maßnahmen zu ergreifen, um das Datenschutzniveau zu gewährleisten. 4. **Transparenz und Information:** Der Verantwortliche muss die betroffenen Personen über die Drittlandübermittlung informieren (Art. 13, 14 DSGVO). 5. **Dokumentation:** Alle Schritte und Entscheidungen sollten dokumentiert werden, um die Einhaltung der DSGVO nachweisen zu können. **Fazit:** Der Einsatz eines Unterauftragsverarbeiters in einem Drittland ist möglich, aber nur unter strikter Einhaltung der DSGVO-Vorgaben. Verantwortliche und Auftragsverarbeiter müssen gemeinsam sicherstellen, dass ein angemessenes Datenschutzniveau gewährleistet ist.

Datenschutzinformationen müssen Betroffene klar und verständlich über die Datenverarbeitung informieren. Folgende Punkte sollten dabei berücksichtigt werden: 1. **Identität des Verantwortlichen**: Wer ist für die Datenverarbeitung verantwortlich? Hier sollten Name und Kontaktdaten angegeben werden. 2. **Zweck der Datenverarbeitung**: Warum werden die Daten erhoben? Die Zwecke müssen konkret und nachvollziehbar beschrieben werden. 3. **Rechtsgrundlage**: Auf welcher rechtlichen Grundlage erfolgt die Verarbeitung? Dies kann beispielsweise die Einwilligung des Betroffenen oder ein berechtigtes Interesse sein. 4. **Empfänger der Daten**: Wer erhält die Daten? Hier sollten mögliche Empfänger oder Kategorien von Empfängern genannt werden. 5. **Datenübermittlung in Drittländer**: Falls Daten außerhalb der EU oder des EWR übermittelt werden, muss dies ebenfalls angegeben werden, inklusive der entsprechenden Schutzmaßnahmen. 6. **Dauer der Datenspeicherung**: Wie lange werden die Daten gespeichert? Es sollte eine klare Angabe zur Speicherdauer oder den Kriterien für die Festlegung dieser Dauer gemacht werden. 7. **Rechte der Betroffenen**: Betroffene müssen über ihre Rechte informiert werden, wie z.B. das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch. 8. **Widerrufsrecht**: Falls die Verarbeitung auf einer Einwilligung beruht, muss darauf hingewiesen werden, dass die Einwilligung jederzeit widerrufen werden kann. 9. **Beschwerderecht**: Betroffene sollten darüber informiert werden, dass sie das Recht haben, sich bei einer Aufsichtsbehörde zu beschweren. 10. **Automatisierte Entscheidungsfindung**: Falls zutreffend, muss erklärt werden, ob eine automatisierte Entscheidungsfindung stattfindet und welche Logik dabei zugrunde liegt. Diese Informationen sollten in einer leicht zugänglichen und verständlichen Form bereitgestellt werden, um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden.

Das Verarbeitungsverzeichnis und die Datenschutzfolgeabschätzung sind zentrale Elemente des Datenschutzrechts, insbesondere im Rahmen der Datenschutz-Grundverordnung (DSGVO). 1. **Verarbeitungsverzeichnis**: Ein Verarbeitungsverzeichnis ist ein Dokument, das von Verantwortlichen und Auftragsverarbeitern geführt werden muss. Es enthält Informationen über alle Verarbeitungstätigkeiten, die personenbezogene Daten betreffen. Zu den erforderlichen Angaben gehören unter anderem der Zweck der Verarbeitung, die Kategorien von betroffenen Personen und Daten, die Empfänger der Daten, die Speicherdauer sowie eine Beschreibung der technischen und organisatorischen Maßnahmen zum Schutz der Daten. Das Verzeichnis dient der Transparenz und Nachvollziehbarkeit der Datenverarbeitung und ist ein wichtiges Instrument zur Einhaltung der Datenschutzvorschriften. 2. **Datenschutzfolgeabschätzung (DSFA)**: Eine Datenschutzfolgeabschätzung ist ein Verfahren, das durchgeführt werden muss, wenn eine Verarbeitung von personenbezogenen Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat. Die DSFA dient dazu, die Risiken der Datenverarbeitung zu identifizieren, zu bewerten und gegebenenfalls Maßnahmen zur Risikominderung zu ergreifen. Sie umfasst eine Beschreibung der geplanten Verarbeitung, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung sowie eine Einschätzung der Risiken und der geplanten Maßnahmen zur Risikominderung. Die DSFA ist ein wichtiges Instrument, um proaktiv Datenschutzrisiken zu managen und die Rechte der betroffenen Personen zu schützen.

1. Einleitung 1.1. Bedeutung des Datenschutzes in der Personalabteilung 1.2. Ziel der Gliederung 2. Rechtliche Grundlagen 2.1. Datenschutz-Grundverordnung (DSGVO) 2.2. Bundesdatenschutzgesetz (BDSG) 2.3. Weitere relevante Gesetze 3. Datenarten in der Personalabteilung 3.1. Personaldaten 3.2. Gesundheitsdaten 3.3. Sensible Daten 4. Verantwortlichkeiten und Rollen 4.1. Datenschutzbeauftragter 4.2. Personalabteilung 4.3. Mitarbeiter 5. Datenverarbeitung und -speicherung 5.1. Erhebung von Daten 5.2. Speicherung und Archivierung 5.3. Datenübertragung 6. Rechte der Mitarbeiter 6.1. Auskunftsrecht 6.2. Recht auf Berichtigung 6.3. Recht auf Löschung 7. Maßnahmen zur Datensicherheit 7.1. Technische Maßnahmen 7.2. Organisatorische Maßnahmen 7.3. Schulungen und Sensibilisierung 8. Datenschutzverletzungen 8.1. Definition und Beispiele 8.2. Meldepflichten 8.3. Konsequenzen und Sanktionen 9. Fazit 9.1. Zusammenfassung der wichtigsten Punkte 9.2. Ausblick auf zukünftige Entwicklungen im Datenschutz 10. Literaturverzeichnis 10.1. Gesetze und Verordnungen 10.2. Fachliteratur 10.3. Online-Ressourcen