Erläutern Sie Verarbeitungsverzeichnis und Datenschutzfolgeabschätzung.

Wenn ein Smartphonehersteller einen Spamschutzdienst eines Dritten (z. B. für Anrufe oder SMS) auf seinen Geräten bereitstellt, werden in der Regel verschiedene Daten verarbeitet. Die genauen Daten hängen vom jeweiligen Dienst und dessen Funktionsweise ab, typischerweise gehören aber folgende Informationen dazu: 1. **Telefonnummern eingehender und ausgehender Anrufe/SMS:** Um Spam zu erkennen, werden die Nummern oft an den Spamschutzdienst übermittelt und mit einer Datenbank abgeglichen. 2. **Metadaten zu Anrufen/SMS:** Dazu zählen Zeitstempel, Dauer des Anrufs, ob der Anruf angenommen oder abgelehnt wurde, und ggf. der Typ der Nachricht (SMS, MMS). 3. **Geräteinformationen:** Modell, Betriebssystemversion, ggf. eindeutige Gerätekennungen (z. B. IMEI), um den Dienst korrekt bereitzustellen und Missbrauch zu verhindern. 4. **Nutzungsdaten:** Wie oft der Spamschutz genutzt wird, welche Funktionen verwendet werden, ggf. Feedback zu falsch erkannten Spam-Anrufen. 5. **Standortdaten (optional):** Manche Dienste nutzen Standortdaten, um regionale Spamwellen zu erkennen. Dies ist aber nicht immer der Fall und meist optional. 6. **Kontaktinformationen (in der Regel nicht):** Seriöse Spamschutzdienste greifen nicht auf das gesamte Adressbuch zu, sondern verarbeiten nur die Nummern der eingehenden Anrufe/SMS. In manchen Fällen kann aber eine Abfrage erfolgen, ob eine Nummer im lokalen Adressbuch gespeichert ist (ohne die Kontakte zu übertragen). **Wichtig:** Die genaue Datenverarbeitung ist abhängig vom jeweiligen Drittanbieter und dessen Datenschutzrichtlinien. Nutzer sollten die Datenschutzerklärung des Smartphoneherstellers und des Spamschutzdienstes sorgfältig lesen. **Beispiel für einen Drittanbieter:** Google bietet mit „Google Telefon“ einen Spamschutz an: [Google Telefon App – Spamschutz](https://support.google.com/phoneapp/answer/3459196?hl=de) **Zusammenfassung:** Verarbeitet werden in der Regel Telefonnummern, Metadaten zu Anrufen/SMS, Geräteinformationen und Nutzungsdaten. Die Übermittlung und Verarbeitung dieser Daten erfolgt zum Zweck der Spam-Erkennung und -Prävention.

Ja, auch Verarbeitungstätigkeiten, die nur gelegentlich oder alle paar Jahre durchgeführt werden, müssen im Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO aufgeführt werden. Die DSGVO macht keine Ausnahme für seltene oder unregelmäßige Verarbeitungsvorgänge. Entscheidend ist, dass personenbezogene Daten verarbeitet werden – unabhängig von der Häufigkeit. Das Verzeichnis soll einen vollständigen Überblick über alle Verarbeitungstätigkeiten geben, um Transparenz und Nachvollziehbarkeit zu gewährleisten. Auch seltene Vorgänge, wie z.B. eine alle fünf Jahre stattfindende Mitarbeiterbefragung, müssen daher dokumentiert werden.

Nach Art. 30 DSGVO (Datenschutz-Grundverordnung) müssen grundsätzlich alle Verarbeitungstätigkeiten, bei denen personenbezogene Daten verarbeitet werden, in das sogenannte Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden. Es gibt jedoch eine Ausnahme: **Kleine Unternehmen und Organisationen** mit weniger als 250 Mitarbeitern müssen kein Verzeichnis führen, **es sei denn**: - Die Verarbeitung erfolgt nicht nur gelegentlich, - es werden besondere Kategorien personenbezogener Daten verarbeitet (z. B. Gesundheitsdaten, Daten zur ethnischen Herkunft, religiöse Überzeugungen), - oder die Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen. In der Praxis bedeutet das: Die meisten Unternehmen und Organisationen müssen ein Verzeichnis führen, da die Ausnahmen sehr eng gefasst sind. Sobald regelmäßig personenbezogene Daten verarbeitet werden (z. B. Lohnbuchhaltung, Kundenverwaltung), ist ein Verzeichnis erforderlich. **Weitere Informationen:** [Art. 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten](https://dsgvo-gesetz.de/art-30-dsgvo/)

Ein gemeinsamer Verantwortlicher im Sinne der DSGVO (Datenschutz-Grundverordnung) liegt vor, wenn zwei oder mehr Parteien gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen (Art. 26 DSGVO). Das bedeutet, sie entscheiden zusammen, warum und wie die Daten verarbeitet werden. Typische Beispiele sind Kooperationen zwischen Unternehmen, gemeinsame Projekte oder Plattformen, bei denen beide Seiten Einfluss auf die Datenverarbeitung haben. Die gemeinsamen Verantwortlichen müssen in einer Vereinbarung festlegen, wer welche datenschutzrechtlichen Pflichten übernimmt (z. B. Information der Betroffenen, Beantwortung von Auskunftsanfragen). Die wesentlichen Inhalte dieser Vereinbarung müssen den betroffenen Personen zugänglich gemacht werden. Weitere Informationen findest du direkt im Gesetzestext: [Art. 26 DSGVO – Gemeinsame Verantwortliche](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679#d1e2207-1-1)

Ob das IT-Ressourcen-Management eine Verarbeitungstätigkeit nach DSGVO ist, hängt davon ab, ob dabei personenbezogene Daten verarbeitet werden. **Definition Verarbeitungstätigkeit nach DSGVO:** Eine Verarbeitungstätigkeit im Sinne der Datenschutz-Grundverordnung (DSGVO) liegt immer dann vor, wenn personenbezogene Daten automatisiert oder nicht automatisiert verarbeitet werden (Art. 4 Nr. 2 DSGVO). Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). **IT-Ressourcen-Management:** Darunter versteht man die Verwaltung und Organisation von IT-Ressourcen wie Hardware, Software, Netzwerken und IT-Dienstleistungen. Wenn im Rahmen des IT-Ressourcen-Managements personenbezogene Daten verarbeitet werden (z. B. Nutzerkonten, Zugriffsprotokolle, Lizenzmanagement mit personenbezogenen Angaben), handelt es sich um eine Verarbeitungstätigkeit nach DSGVO. **Fazit:** - Werden im IT-Ressourcen-Management **keine** personenbezogenen Daten verarbeitet (z. B. rein technische Inventarisierung von Geräten ohne Personenbezug), liegt **keine** Verarbeitungstätigkeit nach DSGVO vor. - Werden **personenbezogene Daten** verarbeitet (z. B. Verwaltung von Nutzerzugängen, Protokollierung von Zugriffen), ist das IT-Ressourcen-Management **eine Verarbeitungstätigkeit nach DSGVO** und muss entsprechend dokumentiert werden. **Weiterführende Informationen:** - [DSGVO Art. 4 Begriffsbestimmungen](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) - [Verzeichnis von Verarbeitungstätigkeiten (BayLDA)](https://www.lda.bayern.de/de/verarbeitungstaetigkeiten.html) **Zusammengefasst:** IT-Ressourcen-Management ist dann eine Verarbeitungstätigkeit nach DSGVO, wenn dabei personenbezogene Daten verarbeitet werden.

Datenschutzinformationen müssen Betroffene klar und verständlich über die Datenverarbeitung informieren. Folgende Punkte sollten dabei berücksichtigt werden: 1. **Identität des Verantwortlichen**: Wer ist für die Datenverarbeitung verantwortlich? Hier sollten Name und Kontaktdaten angegeben werden. 2. **Zweck der Datenverarbeitung**: Warum werden die Daten erhoben? Die Zwecke müssen konkret und nachvollziehbar beschrieben werden. 3. **Rechtsgrundlage**: Auf welcher rechtlichen Grundlage erfolgt die Verarbeitung? Dies kann beispielsweise die Einwilligung des Betroffenen oder ein berechtigtes Interesse sein. 4. **Empfänger der Daten**: Wer erhält die Daten? Hier sollten mögliche Empfänger oder Kategorien von Empfängern genannt werden. 5. **Datenübermittlung in Drittländer**: Falls Daten außerhalb der EU oder des EWR übermittelt werden, muss dies ebenfalls angegeben werden, inklusive der entsprechenden Schutzmaßnahmen. 6. **Dauer der Datenspeicherung**: Wie lange werden die Daten gespeichert? Es sollte eine klare Angabe zur Speicherdauer oder den Kriterien für die Festlegung dieser Dauer gemacht werden. 7. **Rechte der Betroffenen**: Betroffene müssen über ihre Rechte informiert werden, wie z.B. das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch. 8. **Widerrufsrecht**: Falls die Verarbeitung auf einer Einwilligung beruht, muss darauf hingewiesen werden, dass die Einwilligung jederzeit widerrufen werden kann. 9. **Beschwerderecht**: Betroffene sollten darüber informiert werden, dass sie das Recht haben, sich bei einer Aufsichtsbehörde zu beschweren. 10. **Automatisierte Entscheidungsfindung**: Falls zutreffend, muss erklärt werden, ob eine automatisierte Entscheidungsfindung stattfindet und welche Logik dabei zugrunde liegt. Diese Informationen sollten in einer leicht zugänglichen und verständlichen Form bereitgestellt werden, um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden.

1. Einleitung 1.1. Bedeutung des Datenschutzes in der Personalabteilung 1.2. Ziel der Gliederung 2. Rechtliche Grundlagen 2.1. Datenschutz-Grundverordnung (DSGVO) 2.2. Bundesdatenschutzgesetz (BDSG) 2.3. Weitere relevante Gesetze 3. Datenarten in der Personalabteilung 3.1. Personaldaten 3.2. Gesundheitsdaten 3.3. Sensible Daten 4. Verantwortlichkeiten und Rollen 4.1. Datenschutzbeauftragter 4.2. Personalabteilung 4.3. Mitarbeiter 5. Datenverarbeitung und -speicherung 5.1. Erhebung von Daten 5.2. Speicherung und Archivierung 5.3. Datenübertragung 6. Rechte der Mitarbeiter 6.1. Auskunftsrecht 6.2. Recht auf Berichtigung 6.3. Recht auf Löschung 7. Maßnahmen zur Datensicherheit 7.1. Technische Maßnahmen 7.2. Organisatorische Maßnahmen 7.3. Schulungen und Sensibilisierung 8. Datenschutzverletzungen 8.1. Definition und Beispiele 8.2. Meldepflichten 8.3. Konsequenzen und Sanktionen 9. Fazit 9.1. Zusammenfassung der wichtigsten Punkte 9.2. Ausblick auf zukünftige Entwicklungen im Datenschutz 10. Literaturverzeichnis 10.1. Gesetze und Verordnungen 10.2. Fachliteratur 10.3. Online-Ressourcen