Ist der Transport unverschlüsselter Festplatten mit personenbezogenen Daten ohne Datenverarbeitung eine Auftragsverarbeitung?

Typische Daten, die bei der Erbringung von Vertriebs- und Akquisedienstleistungen durch einen Auftragsverarbeiter verarbeitet werden, sind: 1. **Kontaktdaten** - Name, Vorname - Adresse - Telefonnummer - E-Mail-Adresse 2. **Berufliche Angaben** - Firmenname - Position/Funktion im Unternehmen - Abteilung 3. **Kommunikationsdaten** - Gesprächsnotizen - E-Mail-Verläufe - Terminvereinbarungen - Protokolle von Telefonaten oder Meetings 4. **Vertrags- und Angebotsdaten** - Angebotsunterlagen - Vertragsdaten - Preisabsprachen - Bestellhistorie 5. **Marketing- und Vertriebsdaten** - Interessen und Präferenzen - Reaktionen auf Marketingaktionen - Teilnahme an Veranstaltungen oder Webinaren 6. **Sonstige geschäftsrelevante Informationen** - Umsatzdaten - Kundennummern - Zahlungsmodalitäten Diese Daten werden in der Regel im Rahmen der Anbahnung und Durchführung von Geschäftsbeziehungen verarbeitet und unterliegen den Vorgaben der DSGVO, insbesondere im Hinblick auf Auftragsverarbeitung gemäß Art. 28 DSGVO.

Der typische Auftragsgegenstand bei der Erbringung von Vertriebs- und Akquisedienstleistungen durch einen Auftragsverarbeiter ist die Verarbeitung personenbezogener Daten potenzieller oder bestehender Kunden im Auftrag des Verantwortlichen (z. B. eines Unternehmens). Dies umfasst meist Tätigkeiten wie die Kontaktaufnahme, Terminvereinbarung, Lead-Generierung, Pflege von Kundendatenbanken oder Nachverfolgung von Interessenten. Die Zwecke der Datenverarbeitung sind in diesem Zusammenhang insbesondere: - **Anbahnung von Geschäftsbeziehungen** (Lead-Generierung, Erstkontakt) - **Pflege und Aktualisierung von Kundendaten** - **Durchführung von Marketing- und Vertriebsaktionen** - **Dokumentation und Nachverfolgung von Vertriebsaktivitäten** - **Unterstützung bei der Angebotserstellung und -verfolgung** Der Auftragsverarbeiter handelt dabei ausschließlich auf Weisung des Verantwortlichen und nutzt die Daten nur zu den vereinbarten Zwecken.

Ob eine Auftragsverarbeitung im Sinne der DSGVO (§ 28 DSGVO) vorliegt, hängt davon ab, in welcher Rolle die externe Vertriebsagentur die personenbezogenen Daten verarbeitet: **Auftragsverarbeitung liegt vor, wenn:** Die Vertriebsagentur die Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers (z.B. des Kundenunternehmens) verarbeitet und keine eigenen Zwecke verfolgt. Die Agentur ist dann „Auftragsverarbeiter“ und es muss ein Vertrag zur Auftragsverarbeitung abgeschlossen werden. **Keine Auftragsverarbeitung liegt vor, wenn:** Die Vertriebsagentur die Daten für eigene Zwecke nutzt, z.B. um eigene Produkte oder Dienstleistungen anzubieten, oder eigenverantwortlich über die Zwecke und Mittel der Verarbeitung entscheidet. In diesem Fall ist die Agentur „gemeinsam Verantwortlicher“ oder „eigener Verantwortlicher“ nach Art. 4 Nr. 7 DSGVO. **Fazit:** Erhält die externe Vertriebsagentur die personenbezogenen Daten der Ansprechpartner ausschließlich, um im Auftrag des Kundenunternehmens Vertriebsdienstleistungen zu erbringen (z.B. Kontaktaufnahme, Terminvereinbarung), und handelt sie dabei nur nach Weisung, liegt in der Regel eine Auftragsverarbeitung vor. Handelt die Agentur jedoch eigenverantwortlich oder zu eigenen Zwecken, ist dies keine Auftragsverarbeitung. **Weitere Informationen:** - [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/) - [Auftragsverarbeitung vs. gemeinsame Verantwortlichkeit (BfDI)](https://www.bfdi.bund.de/DE/Infothek/Schlagworte/A/Auftragsverarbeitung/auftragsverarbeitung.html) Eine genaue Einordnung hängt immer vom konkreten Vertrag und der tatsächlichen Ausgestaltung der Zusammenarbeit ab.

Ja, die technischen und organisatorischen Maßnahmen (TOM) von Cloud-Unterauftragsverarbeitern sollten geprüft werden. Nach Art. 28 Abs. 4 DSGVO ist der Auftragsverarbeiter verpflichtet, bei der Einschaltung von Unterauftragsverarbeitern sicherzustellen, dass auch diese die Anforderungen der DSGVO erfüllen. Dazu gehört insbesondere, dass angemessene TOM nach Art. 32 DSGVO gewährleistet sind. Als Verantwortlicher solltest du daher sicherstellen, dass: - der Auftragsverarbeiter nur mit deiner vorherigen Zustimmung Unterauftragsverarbeiter einsetzt, - die vertraglichen Vereinbarungen mit den Unterauftragsverarbeitern den Anforderungen der DSGVO entsprechen, - und die TOM der Unterauftragsverarbeiter angemessen und dokumentiert sind. In der Praxis bedeutet das, dass du (bzw. dein Auftragsverarbeiter) die TOM der Cloud-Unterauftragsverarbeiter zumindest anhand von Dokumentationen, Zertifikaten (z. B. ISO 27001), Audits oder anderen Nachweisen prüfst und bewertest. Nur so kannst du deiner Rechenschaftspflicht nachkommen und das Schutzniveau für personenbezogene Daten sicherstellen. Weitere Informationen findest du z. B. beim [BfDI](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitung-und-Weitergabe/Auftragsverarbeitung/auftragsverarbeitung-node.html) oder [BayLDA](https://www.lda.bayern.de/de/thema_auftragsverarbeitung.html).

Ob IaaS (Infrastructure as a Service) und PaaS (Platform as a Service) als Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) gelten, hängt davon ab, wie diese Dienste genutzt werden und welche Rolle der Anbieter dabei spielt. **Grundsätzliches zur Auftragsverarbeitung:** Auftragsverarbeitung liegt vor, wenn ein Dienstleister (Auftragsverarbeiter) personenbezogene Daten im Auftrag und nach Weisung eines Verantwortlichen verarbeitet (Art. 4 Nr. 8, Art. 28 DSGVO). **IaaS und PaaS im Kontext der Auftragsverarbeitung:** - **IaaS:** Hier stellt der Anbieter Infrastruktur (z.B. Server, Speicher, Netzwerke) zur Verfügung. Der Kunde installiert und betreibt darauf eigene Anwendungen und verarbeitet ggf. personenbezogene Daten. Der IaaS-Anbieter hat in der Regel keinen Zugriff auf die Daten, kann aber technisch darauf zugreifen (z.B. im Rahmen von Wartung oder Support). Daher wird IaaS meist als Auftragsverarbeitung eingestuft, sofern personenbezogene Daten verarbeitet werden. - **PaaS:** Hier stellt der Anbieter eine Plattform (z.B. Datenbanken, Entwicklungsumgebungen) bereit, auf der der Kunde eigene Anwendungen betreibt. Auch hier verarbeitet der Anbieter ggf. personenbezogene Daten im Auftrag des Kunden. Daher ist auch PaaS in der Regel als Auftragsverarbeitung zu betrachten. **Wichtige Voraussetzung:** Entscheidend ist, dass der Anbieter im Auftrag und nach Weisung des Kunden handelt und keinen eigenen Zweck bei der Datenverarbeitung verfolgt. **Fazit:** In den meisten Fällen sind IaaS- und PaaS-Anbieter als Auftragsverarbeiter zu qualifizieren, wenn sie im Auftrag des Kunden personenbezogene Daten verarbeiten. Es muss dann ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen werden. **Weitere Informationen:** - [IaaS bei Wikipedia](https://de.wikipedia.org/wiki/Infrastructure_as_a_Service) - [PaaS bei Wikipedia](https://de.wikipedia.org/wiki/Platform_as_a_Service) - [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/) Eine genaue Bewertung kann im Einzelfall aber von der konkreten Ausgestaltung des Dienstes abhängen.

Der reine Transport eines medizintechnischen Geräts, auf dem sich personenbezogene Daten befinden, stellt in der Regel **keine Auftragsverarbeitung** im Sinne von Art. 4 Nr. 8 und Art. 28 DSGVO dar – unabhängig davon, ob das Gerät versiegelt ist oder nicht. **Begründung:** - **Auftragsverarbeitung** liegt vor, wenn ein Dienstleister personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet (z.B. speichert, verändert, löscht). - Beim reinen Transport wird das Gerät lediglich von A nach B befördert, ohne dass der Transporteur aktiv auf die Daten zugreift oder sie verarbeitet. - Das Fehlen einer Versiegelung ändert daran grundsätzlich nichts. Allerdings erhöht es das Risiko eines unbefugten Zugriffs, was datenschutzrechtlich zu berücksichtigen ist (Stichwort: technische und organisatorische Maßnahmen nach Art. 32 DSGVO). **Wichtig:** Sollte der Transporteur jedoch die Möglichkeit haben, auf die Daten zuzugreifen (z.B. weil das Gerät nicht verschlüsselt oder nicht versiegelt ist), kann dies ein Risiko darstellen. In diesem Fall ist zu prüfen, ob zusätzliche Schutzmaßnahmen erforderlich sind (z.B. Verschlüsselung, vertragliche Regelungen). **Fazit:** Der Transport selbst ist keine Auftragsverarbeitung, solange keine Datenverarbeitung im Sinne der DSGVO erfolgt. Die Sicherheit der Daten muss aber dennoch gewährleistet sein. Weitere Informationen zur Auftragsverarbeitung findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auslegung_auftragsverarbeitung.pdf).

Der reine Transport eines medizintechnischen Geräts, auf dem sich personenbezogene Daten befinden, stellt in der Regel **keine Auftragsverarbeitung** im Sinne der Datenschutz-Grundverordnung (DSGVO) dar. **Begründung:** Eine Auftragsverarbeitung nach Art. 28 DSGVO liegt vor, wenn ein Dienstleister im Auftrag und nach Weisung des Verantwortlichen personenbezogene Daten verarbeitet. Beim Transport wird das Gerät (und damit die Daten) lediglich physisch befördert, ohne dass der Transporteur selbst auf die Daten zugreift oder sie verarbeitet (z.B. einliest, speichert, verändert oder löscht). **Wichtig:** - Der Transporteur darf keinen Zugriff auf die Daten nehmen. - Es müssen geeignete technische und organisatorische Maßnahmen getroffen werden, um die Daten während des Transports zu schützen (z.B. Verschlüsselung, versiegelte Verpackung). **Ausnahme:** Sollte der Transporteur im Rahmen des Transports tatsächlich Zugriff auf die Daten erhalten oder diese in irgendeiner Form verarbeiten (z.B. zur Wartung, Reparatur, Auslesen der Daten), wäre eine Auftragsverarbeitung gegeben und ein entsprechender Vertrag nach Art. 28 DSGVO erforderlich. **Fazit:** Solange der Transporteur keinen Zugriff auf die Daten hat und diese nicht verarbeitet, handelt es sich nicht um eine Auftragsverarbeitung. Es ist jedoch ratsam, dies im Einzelfall zu prüfen und die Schutzmaßnahmen zu dokumentieren. Weitere Informationen zur Auftragsverarbeitung findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auftragsverarbeitung.pdf).

Ob ein Unternehmen für die Nutzung des Samsung VXT CMS (Visual eXperience Transformation Content Management System) einen Auftragsverarbeitungsvertrag (AVV) mit Samsung abschließen muss, hängt davon ab, ob und in welchem Umfang personenbezogene Daten im Auftrag des Unternehmens durch Samsung verarbeitet werden. **Rechtlicher Hintergrund:** Nach Art. 28 DSGVO ist ein AVV immer dann erforderlich, wenn ein Dienstleister (hier: Samsung) im Auftrag eines Unternehmens personenbezogene Daten verarbeitet. Das ist typischerweise der Fall, wenn das Unternehmen die Kontrolle über die Daten behält und Samsung diese Daten nur im Rahmen der Dienstleistung verarbeitet (z.B. Hosting, Wartung, Support). **Samsung VXT CMS – Relevanz für AVV:** - Wenn das Unternehmen über das VXT CMS ausschließlich Inhalte verwaltet, die keine personenbezogenen Daten enthalten (z.B. rein werbliche oder informative Inhalte ohne Personenbezug), ist kein AVV erforderlich. - Werden jedoch im Rahmen der Nutzung des VXT CMS personenbezogene Daten verarbeitet (z.B. Nutzerprofile, Login-Daten, Tracking-Informationen, personenbezogene Inhalte), und hat Samsung Zugriff auf diese Daten oder verarbeitet sie im Auftrag des Unternehmens, ist ein AVV nach DSGVO verpflichtend. **Praktische Umsetzung:** - Viele Cloud-Dienste bieten standardmäßig einen AVV an, der Teil der Vertragsunterlagen ist. - Es empfiehlt sich, die Datenschutzdokumentation von Samsung VXT CMS zu prüfen oder direkt bei Samsung nachzufragen, ob und wie ein AVV abgeschlossen werden kann. **Fazit:** Ein AVV ist erforderlich, wenn Samsung im Rahmen des VXT CMS personenbezogene Daten im Auftrag des Unternehmens verarbeitet. Die konkrete Notwendigkeit hängt vom Nutzungsszenario ab. Im Zweifel sollte dies mit dem Datenschutzbeauftragten und/oder direkt mit Samsung ([Samsung VXT](https://www.samsung.com/de/business/smart-signage/vxt/)) geklärt werden.

Ob eine Unterauftragsverarbeitung (Subunternehmerverhältnis) im Sinne der DSGVO vorliegt, hängt davon ab, ob der Dritte im Auftrag und auf Weisung des ursprünglichen Auftragsverarbeiters personenbezogene Daten verarbeitet. Im beschriebenen Fall: Wenn der Mitarbeiterscreening-Auftragsverarbeiter (AV) einen Dritten mit der Entwicklung und Implementierung von Business ByDesign Plugins beauftragt, ist entscheidend, ob dieser Dritte im Rahmen seiner Tätigkeit Zugriff auf personenbezogene Daten erhält, die im Rahmen des Mitarbeiterscreenings verarbeitet werden. **Unterauftragsverarbeitung liegt vor, wenn:** - Der Dritte im Auftrag des AV handelt, - und dabei personenbezogene Daten verarbeitet, die Gegenstand des ursprünglichen Auftragsverarbeitungsvertrags sind. **Beispiel:** - Der Dritte entwickelt und implementiert Plugins und hat dabei Zugriff auf die Datenbank mit personenbezogenen Daten der Mitarbeiter (z.B. zu Testzwecken, Fehlerbehebung, Migration). - In diesem Fall ist der Dritte ein Unterauftragsverarbeiter gemäß Art. 28 Abs. 2 und 4 DSGVO. Der AV muss die Zustimmung des Verantwortlichen einholen und einen entsprechenden Vertrag mit dem Dritten abschließen. **Keine Unterauftragsverarbeitung liegt vor, wenn:** - Der Dritte rein technische Dienstleistungen erbringt, ohne dabei mit personenbezogenen Daten in Berührung zu kommen (z.B. rein theoretische Entwicklung ohne Zugriff auf Produktivdaten). - Oder der Dritte als eigenständiger Verantwortlicher agiert (was hier aber unwahrscheinlich ist). **Fazit:** Sobald der beauftragte Dritte im Rahmen der Entwicklung oder Implementierung tatsächlich Zugriff auf personenbezogene Daten erhält oder diese verarbeitet, handelt es sich um eine Unterauftragsverarbeitung. In diesem Fall sind die Vorgaben des Art. 28 DSGVO zu beachten. Weitere Informationen: - [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/) - [Business ByDesign (SAP)](https://www.sap.com/germany/products/erp/business-bydesign.html)

Der Ausdruck „Empfängern, denen personenbezogene Daten offengelegt werden“ bedeutet, dass bestimmte Personen, Unternehmen oder Organisationen („Empfänger“) Zugang zu personenbezogenen Daten erhalten oder diese Daten von einer anderen Stelle mitgeteilt bekommen. Im Kontext des Datenschutzes, insbesondere nach der Datenschutz-Grundverordnung (DSGVO), bezeichnet ein „Empfänger“ jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden – unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Beispiel: Wenn ein Unternehmen Kundendaten an einen externen Dienstleister weitergibt, ist dieser Dienstleister der „Empfänger“, dem personenbezogene Daten offengelegt werden. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_24_10_auslegung_empfaenger.pdf) oder direkt in der [DSGVO, Art. 4 Nr. 9](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).