Gilt der Transport eines medizintechnischen Geräts mit personenbezogenen Daten als Auftragsverarbeitung?

Der reine Transport eines medizintechnischen Geräts, auf dem sich personenbezogene Daten befinden, stellt in der Regel **keine Auftragsverarbeitung** im Sinne von Art. 4 Nr. 8 und Art. 28 DSGVO dar – unabhängig davon, ob das Gerät versiegelt ist oder nicht. **Begründung:** - **Auftragsverarbeitung** liegt vor, wenn ein Dienstleister personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet (z.B. speichert, verändert, löscht). - Beim reinen Transport wird das Gerät lediglich von A nach B befördert, ohne dass der Transporteur aktiv auf die Daten zugreift oder sie verarbeitet. - Das Fehlen einer Versiegelung ändert daran grundsätzlich nichts. Allerdings erhöht es das Risiko eines unbefugten Zugriffs, was datenschutzrechtlich zu berücksichtigen ist (Stichwort: technische und organisatorische Maßnahmen nach Art. 32 DSGVO). **Wichtig:** Sollte der Transporteur jedoch die Möglichkeit haben, auf die Daten zuzugreifen (z.B. weil das Gerät nicht verschlüsselt oder nicht versiegelt ist), kann dies ein Risiko darstellen. In diesem Fall ist zu prüfen, ob zusätzliche Schutzmaßnahmen erforderlich sind (z.B. Verschlüsselung, vertragliche Regelungen). **Fazit:** Der Transport selbst ist keine Auftragsverarbeitung, solange keine Datenverarbeitung im Sinne der DSGVO erfolgt. Die Sicherheit der Daten muss aber dennoch gewährleistet sein. Weitere Informationen zur Auftragsverarbeitung findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auslegung_auftragsverarbeitung.pdf).

Ob die Desinfektion, der Transport und die Datenlöschung von medizintechnischen Geräten nach einer Entleihe als Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) gilt, hängt davon ab, ob und wie personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden. **1. Desinfektion und Transport:** Diese Tätigkeiten betreffen in der Regel keine Verarbeitung personenbezogener Daten, sondern sind rein physische Dienstleistungen. Solange bei Desinfektion und Transport keine personenbezogenen Daten verarbeitet werden (z.B. keine Einsichtnahme in Patientendaten auf dem Gerät erfolgt), handelt es sich **nicht** um eine Auftragsverarbeitung nach Art. 28 DSGVO. **2. Datenlöschung:** Die Datenlöschung kann eine Auftragsverarbeitung darstellen, wenn dabei personenbezogene Daten im Auftrag des Verantwortlichen gelöscht werden. Das ist insbesondere dann der Fall, wenn auf den Geräten noch Patientendaten oder andere personenbezogene Informationen gespeichert sind und der Dienstleister diese im Auftrag des Verantwortlichen löscht. In diesem Fall ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO erforderlich. **Fazit:** - **Desinfektion und Transport:** In der Regel keine Auftragsverarbeitung. - **Datenlöschung:** In der Regel Auftragsverarbeitung, wenn personenbezogene Daten betroffen sind. **Quellen und weitere Informationen:** - [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/) - [BfDI: Auftragsverarbeitung](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitung-und-Weitergabe/Auftragsverarbeitung/auftragsverarbeitung-node.html) Im Zweifel sollte eine datenschutzrechtliche Prüfung im Einzelfall erfolgen.

Ob die Desinfektion und der Transport von medizintechnischen Geräten nach einer Entleihe als Auftragsverarbeitung im Sinne der DSGVO gilt, hängt davon ab, ob und in welchem Umfang personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden. **Grundlagen:** - **Auftragsverarbeitung** nach Art. 4 Nr. 8 und Art. 28 DSGVO liegt vor, wenn ein Dienstleister (Auftragsverarbeiter) personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet. - **Personenbezogene Daten** sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. **Konkret zu deiner Frage:** 1. **Desinfektion und Transport als reine Sachleistungen:** Werden die Geräte lediglich gereinigt, desinfiziert und transportiert, ohne dass dabei auf gespeicherte personenbezogene Daten zugegriffen wird (z.B. weil die Geräte keine Daten enthalten oder diese vorab gelöscht wurden), liegt in der Regel **keine Auftragsverarbeitung** vor. Es handelt sich dann um eine Dienstleistung ohne Datenverarbeitung. 2. **Geräte enthalten personenbezogene Daten:** Befinden sich auf den Geräten noch personenbezogene Daten (z.B. Patientendaten auf Speichermedien, Protokollen, Bilddaten), und besteht die Möglichkeit, dass der Dienstleister im Rahmen der Desinfektion oder des Transports auf diese Daten zugreifen kann oder sie verarbeitet (z.B. durch Auslesen, Kopieren, Löschen), dann handelt es sich **sehr wahrscheinlich um eine Auftragsverarbeitung**. In diesem Fall muss ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO abgeschlossen werden. 3. **Praktische Empfehlung:** In der Praxis wird empfohlen, vor der Übergabe an externe Dienstleister sicherzustellen, dass keine personenbezogenen Daten mehr auf den Geräten vorhanden sind (z.B. durch Löschung oder Rücksetzung auf Werkseinstellungen). So kann eine Auftragsverarbeitung vermieden werden. **Fazit:** Ob eine Auftragsverarbeitung vorliegt, hängt davon ab, ob der Dienstleister im Rahmen der Desinfektion und des Transports tatsächlich mit personenbezogenen Daten in Berührung kommt oder diese verarbeitet. Ist das der Fall, ist ein Vertrag zur Auftragsverarbeitung erforderlich. Andernfalls handelt es sich um eine reine Sachleistung ohne Bezug zur DSGVO. **Weitere Informationen zur Auftragsverarbeitung findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auftragsverarbeitung.pdf).**

Ob die Desinfektion und der Transport von medizintechnischen Geräten eine Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) darstellen, hängt davon ab, ob und in welchem Umfang dabei personenbezogene Daten verarbeitet werden. **Definition Auftragsverarbeitung (Art. 4 Nr. 8, Art. 28 DSGVO):** Eine Auftragsverarbeitung liegt vor, wenn ein Dienstleister (Auftragsverarbeiter) im Auftrag eines Verantwortlichen personenbezogene Daten verarbeitet. **Desinfektion und Transport – typische Praxis:** - **Desinfektion:** In der Regel werden bei der Reinigung und Desinfektion von Geräten keine personenbezogenen Daten verarbeitet, da es sich meist um technische Geräte handelt, die nicht direkt mit personenbezogenen Informationen verknüpft sind. - **Transport:** Beim Transport kann es vorkommen, dass Begleitdokumente mit Patientendaten (z. B. Reparaturaufträge, Protokolle) mitgeführt werden. Werden diese Daten durch den Dienstleister eingesehen oder verarbeitet, könnte eine Auftragsverarbeitung vorliegen. **Fazit:** - **Keine Auftragsverarbeitung:** Wenn bei Desinfektion und Transport keinerlei personenbezogene Daten verarbeitet werden (z. B. nur Geräte ohne Bezug zu Patientendaten), liegt keine Auftragsverarbeitung vor. - **Auftragsverarbeitung:** Werden im Rahmen der Dienstleistung personenbezogene Daten (z. B. Patientennamen, Diagnosen auf Begleitpapieren) verarbeitet, ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO erforderlich. **Empfehlung:** Es sollte im Einzelfall geprüft werden, ob und welche personenbezogenen Daten im Rahmen der Dienstleistung verarbeitet werden. Im Zweifel empfiehlt sich eine datenschutzrechtliche Beratung. Weitere Informationen zur Auftragsverarbeitung findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auslegung_auftragsverarbeitung.pdf).

Ob die Inanspruchnahme von Leistungen, bei denen ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, eine Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) darstellt, hängt von den Umständen ab. Nach Art. 4 Nr. 8 DSGVO ist Auftragsverarbeiter eine Person oder Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Entscheidend ist, ob der Dienstleister tatsächlich im Auftrag und nach Weisung des Verantwortlichen mit personenbezogenen Daten umgeht. **Wichtige Kriterien:** - **Tatsächlicher Zugriff:** Es reicht aus, dass der Dienstleister theoretisch Zugriff auf personenbezogene Daten haben könnte (z.B. bei Wartung, Hosting, IT-Support). Ein tatsächlicher Zugriff ist nicht zwingend erforderlich. - **Weisungsgebundenheit:** Der Dienstleister handelt nicht eigenverantwortlich, sondern ausschließlich nach Weisung des Verantwortlichen. - **Zweck der Datenverarbeitung:** Die Verarbeitung erfolgt ausschließlich zur Erbringung der beauftragten Leistung. **Beispiel:** Ein IT-Dienstleister, der Wartungsarbeiten an einem System durchführt, in dem personenbezogene Daten gespeichert sind, gilt als Auftragsverarbeiter, auch wenn er im Regelfall nicht auf die Daten zugreift, dies aber technisch möglich wäre. **Fazit:** Ja, wenn ein Zugriff auf personenbezogene Daten durch den Dienstleister nicht ausgeschlossen werden kann und dieser im Auftrag und nach Weisung des Verantwortlichen handelt, liegt in der Regel eine Auftragsverarbeitung vor. In diesem Fall ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO erforderlich. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auslegung_auftragsverarbeitung.pdf) (DSK) oder beim [BfDI](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitung-und-Weitergabe/Auftragsverarbeitung/auftragsverarbeitung-node.html).

Ob die Bewirtschaftung einer Demoflotte als Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) gilt, hängt davon ab, wie und in welchem Umfang personenbezogene Daten verarbeitet werden und wer die Verantwortung für diese Daten trägt. **Auftragsverarbeitung** liegt gemäß Art. 4 Nr. 8 und Art. 28 DSGVO dann vor, wenn ein Unternehmen (der „Auftraggeber“ oder „Verantwortliche“) einen externen Dienstleister (den „Auftragsverarbeiter“) damit beauftragt, personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen zu verarbeiten. **Entscheidende Kriterien:** - Werden im Rahmen der Bewirtschaftung personenbezogene Daten (z. B. von Fahrern, Nutzern, Kunden) verarbeitet? - Erfolgt die Verarbeitung ausschließlich im Auftrag und nach Weisung des Verantwortlichen? - Hat der Dienstleister keinen eigenen Entscheidungsspielraum über die Zwecke und Mittel der Datenverarbeitung? **Beispiel:** - Wenn ein Autohaus einem externen Dienstleister die Verwaltung seiner Demoflotte überträgt und dieser dabei Zugriff auf personenbezogene Daten (z. B. Fahrerdaten, Buchungsdaten) erhält und diese ausschließlich nach Weisung des Autohauses verarbeitet, handelt es sich in der Regel um eine Auftragsverarbeitung. - Wenn der Dienstleister jedoch eigene Zwecke verfolgt (z. B. eigene Marketingaktionen mit den Daten durchführt), ist er selbst Verantwortlicher und keine Auftragsverarbeitung liegt vor. **Fazit:** Die Bewirtschaftung der Demoflotte ist dann eine Auftragsverarbeitung, wenn der Dienstleister personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen verarbeitet. In diesem Fall ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO erforderlich. Weitere Informationen zur Auftragsverarbeitung findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auslegung_auftragsverarbeitung.pdf).

Typische Daten, die bei der Erbringung von Vertriebs- und Akquisedienstleistungen durch einen Auftragsverarbeiter verarbeitet werden, sind: 1. **Kontaktdaten** - Name, Vorname - Adresse - Telefonnummer - E-Mail-Adresse 2. **Berufliche Angaben** - Firmenname - Position/Funktion im Unternehmen - Abteilung 3. **Kommunikationsdaten** - Gesprächsnotizen - E-Mail-Verläufe - Terminvereinbarungen - Protokolle von Telefonaten oder Meetings 4. **Vertrags- und Angebotsdaten** - Angebotsunterlagen - Vertragsdaten - Preisabsprachen - Bestellhistorie 5. **Marketing- und Vertriebsdaten** - Interessen und Präferenzen - Reaktionen auf Marketingaktionen - Teilnahme an Veranstaltungen oder Webinaren 6. **Sonstige geschäftsrelevante Informationen** - Umsatzdaten - Kundennummern - Zahlungsmodalitäten Diese Daten werden in der Regel im Rahmen der Anbahnung und Durchführung von Geschäftsbeziehungen verarbeitet und unterliegen den Vorgaben der DSGVO, insbesondere im Hinblick auf Auftragsverarbeitung gemäß Art. 28 DSGVO.

Der typische Auftragsgegenstand bei der Erbringung von Vertriebs- und Akquisedienstleistungen durch einen Auftragsverarbeiter ist die Verarbeitung personenbezogener Daten potenzieller oder bestehender Kunden im Auftrag des Verantwortlichen (z. B. eines Unternehmens). Dies umfasst meist Tätigkeiten wie die Kontaktaufnahme, Terminvereinbarung, Lead-Generierung, Pflege von Kundendatenbanken oder Nachverfolgung von Interessenten. Die Zwecke der Datenverarbeitung sind in diesem Zusammenhang insbesondere: - **Anbahnung von Geschäftsbeziehungen** (Lead-Generierung, Erstkontakt) - **Pflege und Aktualisierung von Kundendaten** - **Durchführung von Marketing- und Vertriebsaktionen** - **Dokumentation und Nachverfolgung von Vertriebsaktivitäten** - **Unterstützung bei der Angebotserstellung und -verfolgung** Der Auftragsverarbeiter handelt dabei ausschließlich auf Weisung des Verantwortlichen und nutzt die Daten nur zu den vereinbarten Zwecken.

Ob eine Auftragsverarbeitung im Sinne der DSGVO (§ 28 DSGVO) vorliegt, hängt davon ab, in welcher Rolle die externe Vertriebsagentur die personenbezogenen Daten verarbeitet: **Auftragsverarbeitung liegt vor, wenn:** Die Vertriebsagentur die Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers (z.B. des Kundenunternehmens) verarbeitet und keine eigenen Zwecke verfolgt. Die Agentur ist dann „Auftragsverarbeiter“ und es muss ein Vertrag zur Auftragsverarbeitung abgeschlossen werden. **Keine Auftragsverarbeitung liegt vor, wenn:** Die Vertriebsagentur die Daten für eigene Zwecke nutzt, z.B. um eigene Produkte oder Dienstleistungen anzubieten, oder eigenverantwortlich über die Zwecke und Mittel der Verarbeitung entscheidet. In diesem Fall ist die Agentur „gemeinsam Verantwortlicher“ oder „eigener Verantwortlicher“ nach Art. 4 Nr. 7 DSGVO. **Fazit:** Erhält die externe Vertriebsagentur die personenbezogenen Daten der Ansprechpartner ausschließlich, um im Auftrag des Kundenunternehmens Vertriebsdienstleistungen zu erbringen (z.B. Kontaktaufnahme, Terminvereinbarung), und handelt sie dabei nur nach Weisung, liegt in der Regel eine Auftragsverarbeitung vor. Handelt die Agentur jedoch eigenverantwortlich oder zu eigenen Zwecken, ist dies keine Auftragsverarbeitung. **Weitere Informationen:** - [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/) - [Auftragsverarbeitung vs. gemeinsame Verantwortlichkeit (BfDI)](https://www.bfdi.bund.de/DE/Infothek/Schlagworte/A/Auftragsverarbeitung/auftragsverarbeitung.html) Eine genaue Einordnung hängt immer vom konkreten Vertrag und der tatsächlichen Ausgestaltung der Zusammenarbeit ab.

Ja, die technischen und organisatorischen Maßnahmen (TOM) von Cloud-Unterauftragsverarbeitern sollten geprüft werden. Nach Art. 28 Abs. 4 DSGVO ist der Auftragsverarbeiter verpflichtet, bei der Einschaltung von Unterauftragsverarbeitern sicherzustellen, dass auch diese die Anforderungen der DSGVO erfüllen. Dazu gehört insbesondere, dass angemessene TOM nach Art. 32 DSGVO gewährleistet sind. Als Verantwortlicher solltest du daher sicherstellen, dass: - der Auftragsverarbeiter nur mit deiner vorherigen Zustimmung Unterauftragsverarbeiter einsetzt, - die vertraglichen Vereinbarungen mit den Unterauftragsverarbeitern den Anforderungen der DSGVO entsprechen, - und die TOM der Unterauftragsverarbeiter angemessen und dokumentiert sind. In der Praxis bedeutet das, dass du (bzw. dein Auftragsverarbeiter) die TOM der Cloud-Unterauftragsverarbeiter zumindest anhand von Dokumentationen, Zertifikaten (z. B. ISO 27001), Audits oder anderen Nachweisen prüfst und bewertest. Nur so kannst du deiner Rechenschaftspflicht nachkommen und das Schutzniveau für personenbezogene Daten sicherstellen. Weitere Informationen findest du z. B. beim [BfDI](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitung-und-Weitergabe/Auftragsverarbeitung/auftragsverarbeitung-node.html) oder [BayLDA](https://www.lda.bayern.de/de/thema_auftragsverarbeitung.html).