Wie melde ich einen Datenschutzbeauftragten bei der Aufsichtsbehörde in Mecklenburg-Vorpommern?

Die Meldung eines Datenschutzbeauftragten (DSB) an die zuständige Aufsichtsbehörde erfolgt in Deutschland in der Regel online über ein Meldeformular auf der Website der jeweiligen Landesdatenschutzbehörde. Der genaue Ablauf kann je nach Bundesland leicht variieren, grundsätzlich sind aber folgende Schritte üblich: 1. **Online-Formular ausfüllen:** Die meisten Aufsichtsbehörden stellen ein spezielles Online-Formular zur Verfügung, in das die Kontaktdaten des Unternehmens und des Datenschutzbeauftragten eingetragen werden. Beispiele: - [Bayern](https://www.lda.bayern.de/de/meldung_dsb.html) - [NRW](https://www.ldi.nrw.de/kontakt/datenschutzbeauftragte-melden/index.php) - [Berlin](https://www.datenschutz-berlin.de/service/meldung-des-datenschutzbeauftragten/) 2. **Angaben machen:** Erforderlich sind in der Regel: - Name und Kontaktdaten des Unternehmens - Name, Anschrift, E-Mail und ggf. Telefonnummer des Datenschutzbeauftragten - Angaben zum Beschäftigungsverhältnis (intern/extern) 3. **Absenden:** Nach dem Ausfüllen wird das Formular elektronisch an die Behörde übermittelt. In manchen Fällen ist auch eine Meldung per E-Mail oder Brief möglich, dies ist aber seltener. 4. **Bestätigung:** Nach erfolgreicher Meldung erhält das Unternehmen meist eine Eingangsbestätigung. **Hinweis:** Die Meldung muss unverzüglich nach der Benennung des Datenschutzbeauftragten erfolgen (§ 37 Abs. 7 DSGVO). **Weitere Informationen:** Eine Übersicht der deutschen Aufsichtsbehörden und deren Meldeformulare findest du hier: https://www.bfdi.bund.de/DE/Service/Anschriften/anschriften_table.html **Wichtig:** Die Meldung ist verpflichtend, sobald ein Unternehmen nach DSGVO zur Benennung eines Datenschutzbeauftragten verpflichtet ist.

Datenschutzverletzungen, die der Aufsichtsbehörde gemeldet werden müssen, sind in der Datenschutz-Grundverordnung (DSGVO) festgelegt. Folgende Punkte sind dabei relevant: 1. **Verletzung des Schutzes personenbezogener Daten**: Jede Verletzung, die zu einer unrechtmäßigen Verarbeitung, Verlust oder Zerstörung von personenbezogenen Daten führt. 2. **Risiko für die Rechte und Freiheiten betroffener Personen**: Wenn die Verletzung ein Risiko für die Rechte und Freiheiten von Personen darstellt, muss dies gemeldet werden. Dazu gehören beispielsweise Identitätsdiebstahl, Verlust der Vertraulichkeit oder Diskriminierung. 3. **Meldung innerhalb von 72 Stunden**: Die Meldung an die Aufsichtsbehörde muss in der Regel innerhalb von 72 Stunden nach Bekanntwerden der Verletzung erfolgen, es sei denn, die Verletzung ist voraussichtlich nicht mit einem Risiko für die Rechte und Freiheiten der betroffenen Personen verbunden. 4. **Inhalt der Meldung**: Die Meldung sollte Informationen über die Art der Verletzung, die betroffenen Daten, die Anzahl der betroffenen Personen, die wahrscheinlichen Folgen und die ergriffenen Maßnahmen zur Behebung der Verletzung enthalten. Es ist wichtig, die spezifischen Anforderungen und Verfahren der jeweiligen nationalen Aufsichtsbehörde zu beachten.

Datenschutzverstöße müssen in der Regel innerhalb von 72 Stunden nach Bekanntwerden bei der zuständigen Aufsichtsbehörde gemeldet werden, sofern sie ein Risiko für die Rechte und Freiheiten von betroffenen Personen darstellen. Dies ist in der Datenschutz-Grundverordnung (DSGVO) festgelegt. Wenn der Verstoß voraussichtlich kein Risiko für die betroffenen Personen mit sich bringt, ist eine Meldung nicht erforderlich. Es ist jedoch ratsam, auch in solchen Fällen eine interne Dokumentation des Vorfalls zu führen.

In Deutschland ist die zuständige Aufsichtsbehörde für Datenschutzfragen in der Regel die Landesdatenschutzbehörde des jeweiligen Bundeslandes. Für spezifische Anliegen oder Beschwerden zur Datenschutz-Grundverordnung (DSGVO) kannst du dich an die Datenschutzbehörde deines Wohnsitzlandes wenden. Eine Übersicht der Datenschutzbehörden in Deutschland findest du auf der Website der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder.

Die azrecorder App (auch bekannt als AZ Screen Recorder) ist eine beliebte Anwendung zum Aufzeichnen von Bildschirminhalten auf Android-Geräten. Beim Thema Datenschutz gibt es einige wichtige Punkte zu beachten: 1. **Berechtigungen:** Die App benötigt verschiedene Berechtigungen, z. B. Zugriff auf den Speicher, das Mikrofon und ggf. die Kamera. Diese Berechtigungen sind notwendig, um Bildschirmaufnahmen zu speichern und Ton aufzuzeichnen. 2. **Datenspeicherung:** Laut den Angaben des Entwicklers werden die aufgezeichneten Videos lokal auf dem Gerät gespeichert. Es erfolgt keine automatische Übertragung der Aufnahmen an Server des Anbieters. 3. **Datenerhebung:** Die App kann laut Datenschutzerklärung (siehe [Google Play Store – Datenschutz](https://play.google.com/store/apps/details?id=com.hecorat.screenrecorder.free&hl=de&gl=US)) bestimmte Nutzungsdaten und Diagnosedaten erfassen, um die App zu verbessern oder Fehler zu beheben. Dazu können Geräteinformationen, App-Nutzungsstatistiken und Absturzberichte gehören. 4. **Werbung und Drittanbieter:** Die kostenlose Version der App blendet Werbung ein. Dabei können Drittanbieter (z. B. Werbenetzwerke) Daten wie Gerätekennungen oder Standortinformationen erfassen, um personalisierte Werbung anzuzeigen. 5. **Datenschutzbestimmungen:** Die vollständigen Datenschutzrichtlinien findest du auf der [offiziellen Website des Entwicklers](https://az-screen-recorder.com/privacy-policy/) oder im Google Play Store unter dem Abschnitt „Datenschutz“. **Fazit:** Die azrecorder App speichert deine Aufnahmen lokal und erhebt laut eigenen Angaben keine sensiblen personenbezogenen Daten ohne deine Zustimmung. Allerdings werden durch Werbung und Analyse-Tools gewisse Nutzungsdaten erfasst. Es empfiehlt sich, die Datenschutzbestimmungen sorgfältig zu lesen und die Berechtigungen der App regelmäßig zu überprüfen. Weitere Informationen findest du direkt beim [Entwickler](https://az-screen-recorder.com/) und im [Google Play Store](https://play.google.com/store/apps/details?id=com.hecorat.screenrecorder.free&hl=de&gl=US).

Ob die Inanspruchnahme von Leistungen, bei denen ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, eine Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) darstellt, hängt von den Umständen ab. Nach Art. 4 Nr. 8 DSGVO ist Auftragsverarbeiter eine Person oder Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Entscheidend ist, ob der Dienstleister tatsächlich im Auftrag und nach Weisung des Verantwortlichen mit personenbezogenen Daten umgeht. **Wichtige Kriterien:** - **Tatsächlicher Zugriff:** Es reicht aus, dass der Dienstleister theoretisch Zugriff auf personenbezogene Daten haben könnte (z.B. bei Wartung, Hosting, IT-Support). Ein tatsächlicher Zugriff ist nicht zwingend erforderlich. - **Weisungsgebundenheit:** Der Dienstleister handelt nicht eigenverantwortlich, sondern ausschließlich nach Weisung des Verantwortlichen. - **Zweck der Datenverarbeitung:** Die Verarbeitung erfolgt ausschließlich zur Erbringung der beauftragten Leistung. **Beispiel:** Ein IT-Dienstleister, der Wartungsarbeiten an einem System durchführt, in dem personenbezogene Daten gespeichert sind, gilt als Auftragsverarbeiter, auch wenn er im Regelfall nicht auf die Daten zugreift, dies aber technisch möglich wäre. **Fazit:** Ja, wenn ein Zugriff auf personenbezogene Daten durch den Dienstleister nicht ausgeschlossen werden kann und dieser im Auftrag und nach Weisung des Verantwortlichen handelt, liegt in der Regel eine Auftragsverarbeitung vor. In diesem Fall ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO erforderlich. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auslegung_auftragsverarbeitung.pdf) (DSK) oder beim [BfDI](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitung-und-Weitergabe/Auftragsverarbeitung/auftragsverarbeitung-node.html).

Die Teilnahme eines Interimmanagers an einem Bewerbungsgespräch ist aus datenschutzrechtlicher Sicht grundsätzlich zulässig, wenn bestimmte Voraussetzungen erfüllt sind. Nach der Datenschutz-Grundverordnung (DSGVO) dürfen personenbezogene Daten – dazu zählen auch die im Bewerbungsgespräch erhobenen Informationen – nur verarbeitet werden, wenn dafür eine Rechtsgrundlage besteht. Wichtige Punkte: 1. **Erforderlichkeit**: Die Teilnahme des Interimmanagers muss für den Auswahlprozess erforderlich sein, z.B. weil er eine leitende Funktion innehat oder fachlich relevante Entscheidungen trifft. 2. **Vertraulichkeit**: Der Interimmanager muss zur Vertraulichkeit verpflichtet werden, idealerweise durch eine entsprechende Vereinbarung oder durch Aufnahme in den Arbeits- bzw. Dienstvertrag. 3. **Information der Bewerber**: Die Bewerber müssen darüber informiert werden, wer am Gespräch teilnimmt und zu welchem Zweck ihre Daten verarbeitet werden (Art. 13 DSGVO). 4. **Zweckbindung**: Die im Gespräch erhobenen Daten dürfen nur für den Auswahlprozess verwendet werden. Fazit: Die Teilnahme ist zulässig, wenn der Interimmanager in den Auswahlprozess eingebunden ist, zur Vertraulichkeit verpflichtet wurde und die Bewerber entsprechend informiert werden. Weitere Informationen bietet z.B. die [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder die [Bundesbeauftragte für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).

Ob die Desinfektion, der Transport und die Datenlöschung von medizintechnischen Geräten nach einer Entleihe als Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) gilt, hängt davon ab, ob und wie personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden. **1. Desinfektion und Transport:** Diese Tätigkeiten betreffen in der Regel keine Verarbeitung personenbezogener Daten, sondern sind rein physische Dienstleistungen. Solange bei Desinfektion und Transport keine personenbezogenen Daten verarbeitet werden (z.B. keine Einsichtnahme in Patientendaten auf dem Gerät erfolgt), handelt es sich **nicht** um eine Auftragsverarbeitung nach Art. 28 DSGVO. **2. Datenlöschung:** Die Datenlöschung kann eine Auftragsverarbeitung darstellen, wenn dabei personenbezogene Daten im Auftrag des Verantwortlichen gelöscht werden. Das ist insbesondere dann der Fall, wenn auf den Geräten noch Patientendaten oder andere personenbezogene Informationen gespeichert sind und der Dienstleister diese im Auftrag des Verantwortlichen löscht. In diesem Fall ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO erforderlich. **Fazit:** - **Desinfektion und Transport:** In der Regel keine Auftragsverarbeitung. - **Datenlöschung:** In der Regel Auftragsverarbeitung, wenn personenbezogene Daten betroffen sind. **Quellen und weitere Informationen:** - [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/) - [BfDI: Auftragsverarbeitung](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitung-und-Weitergabe/Auftragsverarbeitung/auftragsverarbeitung-node.html) Im Zweifel sollte eine datenschutzrechtliche Prüfung im Einzelfall erfolgen.

Ob die Desinfektion und der Transport von medizintechnischen Geräten nach einer Entleihe als Auftragsverarbeitung im Sinne der DSGVO gilt, hängt davon ab, ob und in welchem Umfang personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden. **Grundlagen:** - **Auftragsverarbeitung** nach Art. 4 Nr. 8 und Art. 28 DSGVO liegt vor, wenn ein Dienstleister (Auftragsverarbeiter) personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet. - **Personenbezogene Daten** sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. **Konkret zu deiner Frage:** 1. **Desinfektion und Transport als reine Sachleistungen:** Werden die Geräte lediglich gereinigt, desinfiziert und transportiert, ohne dass dabei auf gespeicherte personenbezogene Daten zugegriffen wird (z.B. weil die Geräte keine Daten enthalten oder diese vorab gelöscht wurden), liegt in der Regel **keine Auftragsverarbeitung** vor. Es handelt sich dann um eine Dienstleistung ohne Datenverarbeitung. 2. **Geräte enthalten personenbezogene Daten:** Befinden sich auf den Geräten noch personenbezogene Daten (z.B. Patientendaten auf Speichermedien, Protokollen, Bilddaten), und besteht die Möglichkeit, dass der Dienstleister im Rahmen der Desinfektion oder des Transports auf diese Daten zugreifen kann oder sie verarbeitet (z.B. durch Auslesen, Kopieren, Löschen), dann handelt es sich **sehr wahrscheinlich um eine Auftragsverarbeitung**. In diesem Fall muss ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO abgeschlossen werden. 3. **Praktische Empfehlung:** In der Praxis wird empfohlen, vor der Übergabe an externe Dienstleister sicherzustellen, dass keine personenbezogenen Daten mehr auf den Geräten vorhanden sind (z.B. durch Löschung oder Rücksetzung auf Werkseinstellungen). So kann eine Auftragsverarbeitung vermieden werden. **Fazit:** Ob eine Auftragsverarbeitung vorliegt, hängt davon ab, ob der Dienstleister im Rahmen der Desinfektion und des Transports tatsächlich mit personenbezogenen Daten in Berührung kommt oder diese verarbeitet. Ist das der Fall, ist ein Vertrag zur Auftragsverarbeitung erforderlich. Andernfalls handelt es sich um eine reine Sachleistung ohne Bezug zur DSGVO. **Weitere Informationen zur Auftragsverarbeitung findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auftragsverarbeitung.pdf).**

Um QR-Codes datenschutzkonform für eine Behörde zu generieren, sollten folgende Punkte beachtet werden: 1. **Keine sensiblen Daten im QR-Code speichern:** Im QR-Code sollten keine personenbezogenen oder sensiblen Daten direkt hinterlegt werden. Stattdessen empfiehlt es sich, nur einen Link (z.B. zu einer sicheren Webseite) zu kodieren, auf der sich die eigentlichen Daten nach Authentifizierung abrufen lassen. 2. **Verwendung von sicheren QR-Code-Generatoren:** Nutze keine kostenlosen Online-Generatoren, bei denen unklar ist, wie mit den eingegebenen Daten umgegangen wird. Besser ist es, Open-Source-Tools (z.B. [qrencode](https://fukuchi.org/works/qrencode/) oder [goqr.me](https://goqr.me/de/qr-code-generator-software/)) lokal auf einem behördlichen Rechner zu verwenden. 3. **Transparenz und Information:** Die betroffenen Personen müssen darüber informiert werden, welche Daten im QR-Code enthalten sind und zu welchem Zweck sie verwendet werden. Dies kann z.B. durch eine Datenschutzerklärung auf der verlinkten Webseite erfolgen. 4. **Zugriffs- und Berechtigungskonzept:** Falls der QR-Code Zugang zu personenbezogenen Daten ermöglicht, sollte der Zugriff durch Authentifizierung und Berechtigungsmanagement geschützt werden. 5. **Speicherung und Protokollierung:** Es sollte dokumentiert werden, wer QR-Codes generiert und wie sie verwendet werden. Die Speicherung der Daten sollte den Vorgaben der DSGVO entsprechen. 6. **Auftragsverarbeitung prüfen:** Falls externe Dienstleister für die Generierung oder Auswertung der QR-Codes eingesetzt werden, muss ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen werden. **Zusammengefasst:** QR-Codes für Behörden sollten möglichst keine personenbezogenen Daten enthalten, mit vertrauenswürdiger Software lokal generiert werden und die Nutzung muss transparent und sicher gestaltet sein. Weitere Informationen bietet z.B. der [Leitfaden der Datenschutzkonferenz zu QR-Codes](https://www.datenschutzkonferenz-online.de/media/oh/20211028_oh_qr_codes.pdf). **Hinweis:** Für spezifische Anwendungsfälle empfiehlt sich die Rücksprache mit dem behördlichen Datenschutzbeauftragten.