Wer trägt die Verantwortung für Datenschutz?

Allgemeine Technische und Organisatorische Maßnahmen (TOM) geben Auskunft darüber, wie ein Unternehmen den Schutz personenbezogener Daten sicherstellt. Sie sind ein zentraler Bestandteil der Datenschutz-Grundverordnung (DSGVO) und zeigen, welche Vorkehrungen ein Unternehmen trifft, um die Sicherheit und Vertraulichkeit von Daten zu gewährleisten. Konkret sagen die allgemeinen TOM über ein Unternehmen aus: 1. **Sicherheitsbewusstsein:** Das Unternehmen ist sich seiner Verantwortung im Umgang mit personenbezogenen Daten bewusst und setzt Maßnahmen zum Schutz dieser Daten um. 2. **Rechtstreue:** Das Unternehmen hält sich an gesetzliche Vorgaben, insbesondere an die DSGVO. 3. **Struktur und Organisation:** Es gibt klare Prozesse und Zuständigkeiten für den Datenschutz im Unternehmen. 4. **Technische Ausstattung:** Das Unternehmen nutzt technische Lösungen (z. B. Verschlüsselung, Firewalls, Zugriffskontrollen), um Daten zu schützen. 5. **Organisatorische Abläufe:** Es bestehen interne Regelungen, Schulungen und Kontrollen, um Datenschutzrisiken zu minimieren. 6. **Transparenz:** Das Unternehmen kann gegenüber Kunden, Partnern und Behörden nachweisen, wie es den Datenschutz umsetzt. Zusammengefasst spiegeln die allgemeinen TOM wider, wie ernst ein Unternehmen den Datenschutz nimmt und wie professionell es mit sensiblen Informationen umgeht.

Ob ein Unternehmen im Chatfenster die Nachricht eines Nutzers bereits während der Eingabe sehen darf, hängt maßgeblich von datenschutzrechtlichen Vorgaben ab, insbesondere der Datenschutz-Grundverordnung (DSGVO). **Grundsätzliches:** - Die Eingabe einer Nachricht im Chatfenster ist bereits eine Verarbeitung personenbezogener Daten, wenn Rückschlüsse auf die Person möglich sind. - Das Mitlesen während der Eingabe (sog. "Live-Typing" oder "Pre-Chat-Preview") ist eine weitergehende Verarbeitung als das Übermitteln nach dem Absenden. **Erlaubnis und Hinweis:** - Eine solche Funktion ist grundsätzlich nur zulässig, wenn der Nutzer darüber **klar und verständlich informiert** wird, bevor die Eingabe erfolgt. - Idealerweise sollte der Nutzer der Funktion **aktiv zustimmen** (z. B. durch eine Checkbox), da es sich um eine Verarbeitung handelt, die über das übliche Maß hinausgeht. - Ein bloßer Hinweis ("Ihre Eingaben werden bereits während der Eingabe übertragen") kann ausreichend sein, wenn die Verarbeitung zur Vertragserfüllung notwendig ist oder ein berechtigtes Interesse besteht und die Interessen des Nutzers nicht überwiegen. Dennoch ist eine **Einwilligung** aus Transparenz- und Rechtssicherheitsgründen zu empfehlen. **Fazit:** Ja, es ist erlaubt, wenn der Nutzer **vor der Eingabe** klar und verständlich darauf hingewiesen wurde und idealerweise eingewilligt hat. Ohne Hinweis oder Einwilligung wäre dies ein Verstoß gegen die DSGVO. **Weitere Informationen:** - [Datenschutzkonferenz: Orientierungshilfe Telemedien](https://www.datenschutzkonferenz-online.de/media/oh/20210924_oh_telemedien.pdf) - [DSGVO Art. 6 – Rechtmäßigkeit der Verarbeitung](https://dsgvo-gesetz.de/art-6-dsgvo/) Eine rechtliche Beratung im Einzelfall kann sinnvoll sein, da die konkrete Ausgestaltung entscheidend ist.

In einem Unternehmen ist in der Regel der Verantwortliche für den Datenschutz, also der Datenschutzbeauftragte (DSB), für die Festlegung und Überwachung von Löschfristen zuständig. Die eigentliche Verantwortung liegt jedoch bei der Geschäftsführung bzw. der verantwortlichen Stelle gemäß Datenschutz-Grundverordnung (DSGVO). Sie muss sicherstellen, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist, und entsprechende Löschkonzepte implementieren. Der Datenschutzbeauftragte berät und unterstützt dabei, die gesetzlichen und betrieblichen Anforderungen umzusetzen, aber die letztendliche Verantwortung trägt die Unternehmensleitung. Oft arbeiten Datenschutzbeauftragte, IT-Abteilung, Fachabteilungen und ggf. die Rechtsabteilung gemeinsam an der Festlegung und Umsetzung von Löschfristen.

Es gibt mehrere Fälle, in denen Unternehmen wegen unzureichender Datenschutzmaßnahmen im Home Office verurteilt oder mit Bußgeldern belegt wurden. Ein häufiges Problem war die unzureichende Sicherung von personenbezogenen Daten, die während der Arbeit im Home Office verarbeitet wurden. Ein Beispiel ist ein Fall in Deutschland, in dem ein Unternehmen wegen mangelnder Sicherheitsvorkehrungen bei der Nutzung von Home-Office-Software verurteilt wurde. Hierbei wurden sensible Kundendaten über unsichere Netzwerke übertragen, was gegen die Datenschutz-Grundverordnung (DSGVO) verstieß. Ein weiteres Beispiel ist ein Unternehmen, das aufgrund unzureichender Schulungen seiner Mitarbeiter in Bezug auf Datenschutz im Home Office mit einer Geldstrafe belegt wurde. Die Mitarbeiter waren nicht ausreichend über die Risiken und den Umgang mit personenbezogenen Daten informiert worden, was zu Datenlecks führte. Diese Fälle verdeutlichen die Notwendigkeit für Unternehmen, angemessene technische und organisatorische Maßnahmen zu ergreifen, um den Datenschutz auch im Home Office zu gewährleisten.

Artikel 28 der Datenschutz-Grundverordnung (DSGVO) bezieht sich auf die Auftragsver und legt fest, welche Anforderungen an die Verträge zwischen dem Verantwortlichen und dem Auftragsverarbeiter gestellt werden. In Bezug auf Minderjährige müssen Unternehmen besonders darauf achten, dass die Verarbeitung personenbezogener Daten von Minderjährigen den zusätzlichen Schutzmaßnahmen entspricht, die in der DSGVO vorgesehen sind. 1. **Einwilligung**: Wenn die Verarbeitung personenbezogener Daten von Minderjährigen erfolgt, ist sicherzustellen, dass die Einwilligung der Eltern oder Erziehungsberechtigten eingeholt wird, sofern der Minderjährige unter dem in dem jeweiligen Mitgliedstaat festgelegten Alter liegt (in der Regel unter 16 Jahren). 2. **Vertragliche Regelungen**: In den Verträgen mit Auftragsverarbeitern (Art. 28 Abs. 3 DSGVO) sollten spezifische Klauseln enthalten sein, die den Schutz der Daten von Minderjährigen betonen. Dazu gehört, dass der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergreift, um die Daten von Minderjährigen zu schützen. 3. **Transparenz und Information**: Unternehmen müssen sicherstellen, dass die Informationen über die Datenverarbeitung klar und verständlich sind, insbesondere für Minderjährige und deren Eltern. Dies kann durch altersgerechte Datenschutzerklärungen geschehen. 4. **Schulung und Sensibilisierung**: Es ist wichtig, dass Mitarbeiter, die mit der Verarbeitung von Daten von Minderjährigen betraut sind, entsprechend geschult werden, um die besonderen Anforderungen und Risiken zu verstehen. 5. **Risikobewertung**: Unternehmen sollten eine Risikoanalyse durchführen, um die spezifischen Risiken bei der Verarbeitung von Daten von Minderjährigen zu identifizieren und geeignete Maßnahmen zu ergreifen. Durch die Beachtung dieser Punkte können Unternehmen sicherstellen, dass sie die Anforderungen der DSGVO in Bezug auf die Verarbeitung von Daten von Minderjährigen erfüllen.

Die azrecorder App (auch bekannt als AZ Screen Recorder) ist eine beliebte Anwendung zum Aufzeichnen von Bildschirminhalten auf Android-Geräten. Beim Thema Datenschutz gibt es einige wichtige Punkte zu beachten: 1. **Berechtigungen:** Die App benötigt verschiedene Berechtigungen, z. B. Zugriff auf den Speicher, das Mikrofon und ggf. die Kamera. Diese Berechtigungen sind notwendig, um Bildschirmaufnahmen zu speichern und Ton aufzuzeichnen. 2. **Datenspeicherung:** Laut den Angaben des Entwicklers werden die aufgezeichneten Videos lokal auf dem Gerät gespeichert. Es erfolgt keine automatische Übertragung der Aufnahmen an Server des Anbieters. 3. **Datenerhebung:** Die App kann laut Datenschutzerklärung (siehe [Google Play Store – Datenschutz](https://play.google.com/store/apps/details?id=com.hecorat.screenrecorder.free&hl=de&gl=US)) bestimmte Nutzungsdaten und Diagnosedaten erfassen, um die App zu verbessern oder Fehler zu beheben. Dazu können Geräteinformationen, App-Nutzungsstatistiken und Absturzberichte gehören. 4. **Werbung und Drittanbieter:** Die kostenlose Version der App blendet Werbung ein. Dabei können Drittanbieter (z. B. Werbenetzwerke) Daten wie Gerätekennungen oder Standortinformationen erfassen, um personalisierte Werbung anzuzeigen. 5. **Datenschutzbestimmungen:** Die vollständigen Datenschutzrichtlinien findest du auf der [offiziellen Website des Entwicklers](https://az-screen-recorder.com/privacy-policy/) oder im Google Play Store unter dem Abschnitt „Datenschutz“. **Fazit:** Die azrecorder App speichert deine Aufnahmen lokal und erhebt laut eigenen Angaben keine sensiblen personenbezogenen Daten ohne deine Zustimmung. Allerdings werden durch Werbung und Analyse-Tools gewisse Nutzungsdaten erfasst. Es empfiehlt sich, die Datenschutzbestimmungen sorgfältig zu lesen und die Berechtigungen der App regelmäßig zu überprüfen. Weitere Informationen findest du direkt beim [Entwickler](https://az-screen-recorder.com/) und im [Google Play Store](https://play.google.com/store/apps/details?id=com.hecorat.screenrecorder.free&hl=de&gl=US).

Ob die Inanspruchnahme von Leistungen, bei denen ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, eine Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) darstellt, hängt von den Umständen ab. Nach Art. 4 Nr. 8 DSGVO ist Auftragsverarbeiter eine Person oder Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Entscheidend ist, ob der Dienstleister tatsächlich im Auftrag und nach Weisung des Verantwortlichen mit personenbezogenen Daten umgeht. **Wichtige Kriterien:** - **Tatsächlicher Zugriff:** Es reicht aus, dass der Dienstleister theoretisch Zugriff auf personenbezogene Daten haben könnte (z.B. bei Wartung, Hosting, IT-Support). Ein tatsächlicher Zugriff ist nicht zwingend erforderlich. - **Weisungsgebundenheit:** Der Dienstleister handelt nicht eigenverantwortlich, sondern ausschließlich nach Weisung des Verantwortlichen. - **Zweck der Datenverarbeitung:** Die Verarbeitung erfolgt ausschließlich zur Erbringung der beauftragten Leistung. **Beispiel:** Ein IT-Dienstleister, der Wartungsarbeiten an einem System durchführt, in dem personenbezogene Daten gespeichert sind, gilt als Auftragsverarbeiter, auch wenn er im Regelfall nicht auf die Daten zugreift, dies aber technisch möglich wäre. **Fazit:** Ja, wenn ein Zugriff auf personenbezogene Daten durch den Dienstleister nicht ausgeschlossen werden kann und dieser im Auftrag und nach Weisung des Verantwortlichen handelt, liegt in der Regel eine Auftragsverarbeitung vor. In diesem Fall ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO erforderlich. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auslegung_auftragsverarbeitung.pdf) (DSK) oder beim [BfDI](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitung-und-Weitergabe/Auftragsverarbeitung/auftragsverarbeitung-node.html).

Die Teilnahme eines Interimmanagers an einem Bewerbungsgespräch ist aus datenschutzrechtlicher Sicht grundsätzlich zulässig, wenn bestimmte Voraussetzungen erfüllt sind. Nach der Datenschutz-Grundverordnung (DSGVO) dürfen personenbezogene Daten – dazu zählen auch die im Bewerbungsgespräch erhobenen Informationen – nur verarbeitet werden, wenn dafür eine Rechtsgrundlage besteht. Wichtige Punkte: 1. **Erforderlichkeit**: Die Teilnahme des Interimmanagers muss für den Auswahlprozess erforderlich sein, z.B. weil er eine leitende Funktion innehat oder fachlich relevante Entscheidungen trifft. 2. **Vertraulichkeit**: Der Interimmanager muss zur Vertraulichkeit verpflichtet werden, idealerweise durch eine entsprechende Vereinbarung oder durch Aufnahme in den Arbeits- bzw. Dienstvertrag. 3. **Information der Bewerber**: Die Bewerber müssen darüber informiert werden, wer am Gespräch teilnimmt und zu welchem Zweck ihre Daten verarbeitet werden (Art. 13 DSGVO). 4. **Zweckbindung**: Die im Gespräch erhobenen Daten dürfen nur für den Auswahlprozess verwendet werden. Fazit: Die Teilnahme ist zulässig, wenn der Interimmanager in den Auswahlprozess eingebunden ist, zur Vertraulichkeit verpflichtet wurde und die Bewerber entsprechend informiert werden. Weitere Informationen bietet z.B. die [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder die [Bundesbeauftragte für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).

Ob die Desinfektion, der Transport und die Datenlöschung von medizintechnischen Geräten nach einer Entleihe als Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) gilt, hängt davon ab, ob und wie personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden. **1. Desinfektion und Transport:** Diese Tätigkeiten betreffen in der Regel keine Verarbeitung personenbezogener Daten, sondern sind rein physische Dienstleistungen. Solange bei Desinfektion und Transport keine personenbezogenen Daten verarbeitet werden (z.B. keine Einsichtnahme in Patientendaten auf dem Gerät erfolgt), handelt es sich **nicht** um eine Auftragsverarbeitung nach Art. 28 DSGVO. **2. Datenlöschung:** Die Datenlöschung kann eine Auftragsverarbeitung darstellen, wenn dabei personenbezogene Daten im Auftrag des Verantwortlichen gelöscht werden. Das ist insbesondere dann der Fall, wenn auf den Geräten noch Patientendaten oder andere personenbezogene Informationen gespeichert sind und der Dienstleister diese im Auftrag des Verantwortlichen löscht. In diesem Fall ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO erforderlich. **Fazit:** - **Desinfektion und Transport:** In der Regel keine Auftragsverarbeitung. - **Datenlöschung:** In der Regel Auftragsverarbeitung, wenn personenbezogene Daten betroffen sind. **Quellen und weitere Informationen:** - [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/) - [BfDI: Auftragsverarbeitung](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitung-und-Weitergabe/Auftragsverarbeitung/auftragsverarbeitung-node.html) Im Zweifel sollte eine datenschutzrechtliche Prüfung im Einzelfall erfolgen.

Ob die Desinfektion und der Transport von medizintechnischen Geräten nach einer Entleihe als Auftragsverarbeitung im Sinne der DSGVO gilt, hängt davon ab, ob und in welchem Umfang personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden. **Grundlagen:** - **Auftragsverarbeitung** nach Art. 4 Nr. 8 und Art. 28 DSGVO liegt vor, wenn ein Dienstleister (Auftragsverarbeiter) personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet. - **Personenbezogene Daten** sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. **Konkret zu deiner Frage:** 1. **Desinfektion und Transport als reine Sachleistungen:** Werden die Geräte lediglich gereinigt, desinfiziert und transportiert, ohne dass dabei auf gespeicherte personenbezogene Daten zugegriffen wird (z.B. weil die Geräte keine Daten enthalten oder diese vorab gelöscht wurden), liegt in der Regel **keine Auftragsverarbeitung** vor. Es handelt sich dann um eine Dienstleistung ohne Datenverarbeitung. 2. **Geräte enthalten personenbezogene Daten:** Befinden sich auf den Geräten noch personenbezogene Daten (z.B. Patientendaten auf Speichermedien, Protokollen, Bilddaten), und besteht die Möglichkeit, dass der Dienstleister im Rahmen der Desinfektion oder des Transports auf diese Daten zugreifen kann oder sie verarbeitet (z.B. durch Auslesen, Kopieren, Löschen), dann handelt es sich **sehr wahrscheinlich um eine Auftragsverarbeitung**. In diesem Fall muss ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO abgeschlossen werden. 3. **Praktische Empfehlung:** In der Praxis wird empfohlen, vor der Übergabe an externe Dienstleister sicherzustellen, dass keine personenbezogenen Daten mehr auf den Geräten vorhanden sind (z.B. durch Löschung oder Rücksetzung auf Werkseinstellungen). So kann eine Auftragsverarbeitung vermieden werden. **Fazit:** Ob eine Auftragsverarbeitung vorliegt, hängt davon ab, ob der Dienstleister im Rahmen der Desinfektion und des Transports tatsächlich mit personenbezogenen Daten in Berührung kommt oder diese verarbeitet. Ist das der Fall, ist ein Vertrag zur Auftragsverarbeitung erforderlich. Andernfalls handelt es sich um eine reine Sachleistung ohne Bezug zur DSGVO. **Weitere Informationen zur Auftragsverarbeitung findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auftragsverarbeitung.pdf).**