Sollte man einen Vertrag mit einem Auftragsverarbeiter nach einer Datenpanne mit Datenleck kündigen?

Um festzustellen, ob ein neuer Vendor (Dienstleister, Lieferant) als Auftragsverarbeiter im Sinne der DSGVO (Datenschutz-Grundverordnung) agiert, sollte die Abteilung gezielte Fragen stellen, die klären, ob und wie der Vendor personenbezogene Daten im Auftrag des Unternehmens verarbeitet. Wichtige Fragen sind: 1. **Werden personenbezogene Daten im Rahmen der Dienstleistung verarbeitet?** (z. B. Kundendaten, Mitarbeiterdaten, Nutzerdaten) 2. **Verarbeitet der Vendor die Daten ausschließlich im Auftrag und nach Weisung des Unternehmens?** (Oder entscheidet der Vendor selbst über Zwecke und Mittel der Verarbeitung?) 3. **Welche Art von personenbezogenen Daten werden verarbeitet?** (z. B. Name, Adresse, Kontaktdaten, besondere Kategorien wie Gesundheitsdaten) 4. **Zu welchen Zwecken werden die Daten verarbeitet?** (z. B. Hosting, Support, Marketing, Lohnabrechnung) 5. **Hat der Vendor Zugriff auf die Daten oder werden diese nur durchgeleitet?** (z. B. Speicherung, Bearbeitung, Löschung) 6. **Findet die Verarbeitung der Daten ausschließlich im Rahmen der vertraglich vereinbarten Leistungen statt?** 7. **Werden die Daten an Dritte weitergegeben oder Subunternehmer eingesetzt?** (Wenn ja: Wer sind diese und wo sitzen sie?) 8. **Wer trägt die Verantwortung für die Einhaltung der Datenschutzvorschriften bei der Verarbeitung?** (Vendor oder das Unternehmen?) 9. **Findet eine Übermittlung der Daten in Drittländer außerhalb der EU/des EWR statt?** (Wenn ja: Welche Schutzmaßnahmen bestehen?) 10. **Besteht bereits eine Vereinbarung zur Auftragsverarbeitung (AVV) oder ist der Vendor bereit, eine solche abzuschließen?** Mit diesen Fragen kann die Abteilung einschätzen, ob der Vendor als Auftragsverarbeiter im Sinne von Art. 28 DSGVO einzustufen ist und ob entsprechende vertragliche und organisatorische Maßnahmen erforderlich sind.

Ob ein Neutrovendor als Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung (DSGVO) gilt, hängt davon ab, welche Rolle das Unternehmen im konkreten Fall einnimmt. **Definition Aufverarbeiter:** Ein Auftragsverarbeiter ist gemäß Art. 4 Nr. 8 DSGVO eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Das bedeutet, der Auftragsverarbeiter handelt ausschließlich nach Weisung des Verantwortlichen und nutzt die Daten nicht für eigene Zwecke. **Neutrovendor:** Der Begriff „Neutrovendor“ ist kein fest definierter Begriff im Datenschutzrecht. In der Praxis bezeichnet er meist einen neutralen Anbieter oder Vermittler, der Dienstleistungen oder Produkte verschiedener Hersteller anbietet, ohne selbst Partei eines Vertrags zwischen Endkunde und Hersteller zu sein. **Entscheidend ist die Tätigkeit:** - **Verarbeitet der Neutrovendor personenbezogene Daten im Auftrag eines Verantwortlichen (z.B. eines Kunden) und ausschließlich nach dessen Weisung,** dann ist er als Auftragsverarbeiter zu qualifizieren. - **Verarbeitet der Neutrovendor die Daten jedoch zu eigenen Zwecken oder entscheidet selbst über die Mittel und Zwecke der Verarbeitung,** ist er Verantwortlicher im Sinne der DSGVO. **Fazit:** Ob ein Neutrovendor ein Auftragsverarbeiter ist, hängt von der konkreten Ausgestaltung der Zusammenarbeit und der Datenverarbeitung ab. Es kommt darauf an, ob er ausschließlich im Auftrag und nach Weisung handelt oder eigene Zwecke verfolgt. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_24_10_auslegung_hinweise_zur_auftragsverarbeitung.pdf) (DSK) oder direkt in der [DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

Um QR-Codes datenschutzkonform für eine Behörde zu generieren, sollten folgende Punkte beachtet werden: 1. **Keine sensiblen Daten im QR-Code speichern:** Im QR-Code sollten keine personenbezogenen oder sensiblen Daten direkt hinterlegt werden. Stattdessen empfiehlt es sich, nur einen Link (z.B. zu einer sicheren Webseite) zu kodieren, auf der sich die eigentlichen Daten nach Authentifizierung abrufen lassen. 2. **Verwendung von sicheren QR-Code-Generatoren:** Nutze keine kostenlosen Online-Generatoren, bei denen unklar ist, wie mit den eingegebenen Daten umgegangen wird. Besser ist es, Open-Source-Tools (z.B. [qrencode](https://fukuchi.org/works/qrencode/) oder [goqr.me](https://goqr.me/de/qr-code-generator-software/)) lokal auf einem behördlichen Rechner zu verwenden. 3. **Transparenz und Information:** Die betroffenen Personen müssen darüber informiert werden, welche Daten im QR-Code enthalten sind und zu welchem Zweck sie verwendet werden. Dies kann z.B. durch eine Datenschutzerklärung auf der verlinkten Webseite erfolgen. 4. **Zugriffs- und Berechtigungskonzept:** Falls der QR-Code Zugang zu personenbezogenen Daten ermöglicht, sollte der Zugriff durch Authentifizierung und Berechtigungsmanagement geschützt werden. 5. **Speicherung und Protokollierung:** Es sollte dokumentiert werden, wer QR-Codes generiert und wie sie verwendet werden. Die Speicherung der Daten sollte den Vorgaben der DSGVO entsprechen. 6. **Auftragsverarbeitung prüfen:** Falls externe Dienstleister für die Generierung oder Auswertung der QR-Codes eingesetzt werden, muss ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen werden. **Zusammengefasst:** QR-Codes für Behörden sollten möglichst keine personenbezogenen Daten enthalten, mit vertrauenswürdiger Software lokal generiert werden und die Nutzung muss transparent und sicher gestaltet sein. Weitere Informationen bietet z.B. der [Leitfaden der Datenschutzkonferenz zu QR-Codes](https://www.datenschutzkonferenz-online.de/media/oh/20211028_oh_qr_codes.pdf). **Hinweis:** Für spezifische Anwendungsfälle empfiehlt sich die Rücksprache mit dem behördlichen Datenschutzbeauftragten.

Allgemeine Technische und Organisatorische Maßnahmen (TOM) geben Auskunft darüber, wie ein Unternehmen den Schutz personenbezogener Daten sicherstellt. Sie sind ein zentraler Bestandteil der Datenschutz-Grundverordnung (DSGVO) und zeigen, welche Vorkehrungen ein Unternehmen trifft, um die Sicherheit und Vertraulichkeit von Daten zu gewährleisten. Konkret sagen die allgemeinen TOM über ein Unternehmen aus: 1. **Sicherheitsbewusstsein:** Das Unternehmen ist sich seiner Verantwortung im Umgang mit personenbezogenen Daten bewusst und setzt Maßnahmen zum Schutz dieser Daten um. 2. **Rechtstreue:** Das Unternehmen hält sich an gesetzliche Vorgaben, insbesondere an die DSGVO. 3. **Struktur und Organisation:** Es gibt klare Prozesse und Zuständigkeiten für den Datenschutz im Unternehmen. 4. **Technische Ausstattung:** Das Unternehmen nutzt technische Lösungen (z. B. Verschlüsselung, Firewalls, Zugriffskontrollen), um Daten zu schützen. 5. **Organisatorische Abläufe:** Es bestehen interne Regelungen, Schulungen und Kontrollen, um Datenschutzrisiken zu minimieren. 6. **Transparenz:** Das Unternehmen kann gegenüber Kunden, Partnern und Behörden nachweisen, wie es den Datenschutz umsetzt. Zusammengefasst spiegeln die allgemeinen TOM wider, wie ernst ein Unternehmen den Datenschutz nimmt und wie professionell es mit sensiblen Informationen umgeht.

Ja, die Staatsangehörigkeit gilt als ein besonderes personenbezogenes Datum im Sinne der Datenschutz-Grundverordnung (DSGVO). Nach Art. 9 Abs. 1 DSGVO sind besondere Kategorien personenbezogener Daten solche, aus denen beispielsweise die rassische und ethnische Herkunft hervorgehen. Die Staatsangehörigkeit wird zwar nicht ausdrücklich genannt, sie kann aber Rückschlüsse auf die ethnische Herkunft zulassen. In der Praxis und nach Ansicht vieler Datenschutzbehörden wird die Staatsangehörigkeit daher als besonders schützenswertes Datum behandelt. Zusätzlich wird im deutschen Recht (§ 46 Abs. 1 Bundesdatenschutzgesetz – BDSG) die Staatsangehörigkeit ausdrücklich als besonders schützenswertes Datum genannt. **Fazit:** Die Staatsangehörigkeit ist ein besonderes personenbezogenes Datum und unterliegt daher einem erhöhten Schutz nach DSGVO und BDSG. Weitere Informationen: - [Art. 9 DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) - [§ 46 BDSG](https://www.gesetze-im-internet.de/bdsg_2018/__46.html)

Für das Jahr 2026 sollten Datenschutzstrategien einer Datenschutzabteilung sowohl aktuelle als auch absehbare technologische, rechtliche und gesellschaftliche Entwicklungen berücksichtigen. Hier sind zentrale Strategien: 1. **Proaktive Datenschutz-Folgenabschätzung (DSFA):** Frühzeitige und regelmäßige Durchführung von DSFAs bei neuen Projekten, insbesondere bei KI-Anwendungen, IoT und Cloud-Diensten. 2. **Datensparsamkeit und Privacy by Design:** Implementierung von Datenschutzprinzipien bereits in der Entwicklungsphase neuer Produkte und Prozesse. Datenminimierung und -pseudonymisierung sollten Standard sein. 3. **Automatisierte Compliance-Tools:** Einsatz von KI-gestützten Tools zur Überwachung, Dokumentation und Einhaltung von Datenschutzvorgaben, um Effizienz und Genauigkeit zu steigern. 4. **Schulungen und Awareness-Programme:** Kontinuierliche Sensibilisierung aller Mitarbeitenden für Datenschutzthemen, angepasst an neue Bedrohungen und gesetzliche Anforderungen. 5. **Transparente Datenverarbeitung:** Klare, verständliche und jederzeit zugängliche Informationen für Betroffene über die Verarbeitung ihrer Daten, inklusive Self-Service-Portale für Auskunfts- und Löschanfragen. 6. **Starke Verschlüsselung und Zero-Trust-Architektur:** Einsatz moderner Verschlüsselungstechnologien und Zero-Trust-Prinzipien, um Daten auch bei dezentralen Arbeitsmodellen und Cloud-Nutzung zu schützen. 7. **Regelmäßige Audits und Penetrationstests:** Durchführung interner und externer Audits sowie technischer Tests, um Schwachstellen frühzeitig zu erkennen und zu beheben. 8. **Notfallmanagement und Incident Response:** Entwicklung und regelmäßige Aktualisierung von Notfallplänen für Datenschutzverletzungen, inklusive klarer Kommunikationswege und Meldeprozesse. 9. **Internationale Compliance:** Beobachtung und Umsetzung globaler Datenschutzanforderungen (z.B. EU, USA, China), insbesondere bei internationaler Geschäftstätigkeit. 10. **Kooperation mit IT und Fachabteilungen:** Enge Zusammenarbeit mit IT, HR, Marketing und anderen Abteilungen, um Datenschutz als Querschnittsthema im Unternehmen zu verankern. Diese Strategien helfen, den Datenschutz auch in einer zunehmend digitalisierten und vernetzten Welt zukunftssicher zu gestalten.

Ob eine Auftragsverarbeitung im Sinne der DSGVO (§ 28 DSGVO) vorliegt, hängt davon ab, in welcher Rolle die externe Vertriebsagentur die personenbezogenen Daten verarbeitet: **Auftragsverarbeitung liegt vor, wenn:** Die Vertriebsagentur die Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers (z.B. des Kundenunternehmens) verarbeitet und keine eigenen Zwecke verfolgt. Die Agentur ist dann „Auftragsverarbeiter“ und es muss ein Vertrag zur Auftragsverarbeitung abgeschlossen werden. **Keine Auftragsverarbeitung liegt vor, wenn:** Die Vertriebsagentur die Daten für eigene Zwecke nutzt, z.B. um eigene Produkte oder Dienstleistungen anzubieten, oder eigenverantwortlich über die Zwecke und Mittel der Verarbeitung entscheidet. In diesem Fall ist die Agentur „gemeinsam Verantwortlicher“ oder „eigener Verantwortlicher“ nach Art. 4 Nr. 7 DSGVO. **Fazit:** Erhält die externe Vertriebsagentur die personenbezogenen Daten der Ansprechpartner ausschließlich, um im Auftrag des Kundenunternehmens Vertriebsdienstleistungen zu erbringen (z.B. Kontaktaufnahme, Terminvereinbarung), und handelt sie dabei nur nach Weisung, liegt in der Regel eine Auftragsverarbeitung vor. Handelt die Agentur jedoch eigenverantwortlich oder zu eigenen Zwecken, ist dies keine Auftragsverarbeitung. **Weitere Informationen:** - [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/) - [Auftragsverarbeitung vs. gemeinsame Verantwortlichkeit (BfDI)](https://www.bfdi.bund.de/DE/Infothek/Schlagworte/A/Auftragsverarbeitung/auftragsverarbeitung.html) Eine genaue Einordnung hängt immer vom konkreten Vertrag und der tatsächlichen Ausgestaltung der Zusammenarbeit ab.

Artikel 25 der Datenschutz-Grundverordnung (DSGVO) regelt das Prinzip „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ („Privacy by Design“ und „Privacy by Default“). Kernpunkte von Artikel 25 DSGVO: 1. **Datenschutz durch Technikgestaltung**: Verantwortliche müssen bereits bei der Entwicklung und Auswahl von Technologien und Prozessen geeignete technische und organisatorische Maßnahmen treffen, um die Datenschutzgrundsätze (z. B. Datenminimierung, Integrität, Vertraulichkeit) wirksam umzusetzen. 2. **Datenschutzfreundliche Voreinstellungen**: Es muss sichergestellt werden, dass standardmäßig nur die personenbezogenen Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind. Das betrifft insbesondere die Menge der erhobenen Daten, den Umfang ihrer Verarbeitung, die Speicherfrist und ihre Zugänglichkeit. 3. **Berücksichtigung von Stand der Technik und Kosten**: Bei der Auswahl der Maßnahmen sind der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Ziel von Artikel 25 ist es, Datenschutz von Anfang an in Systeme und Prozesse zu integrieren und nicht erst nachträglich zu berücksichtigen. Den vollständigen Wortlaut findest du hier: [Artikel 25 DSGVO (eur-lex.europa.eu)](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679#d1e2202-1-1)

Ob ein Unternehmen im Chatfenster die Nachricht eines Nutzers bereits während der Eingabe sehen darf, hängt maßgeblich von datenschutzrechtlichen Vorgaben ab, insbesondere der Datenschutz-Grundverordnung (DSGVO). **Grundsätzliches:** - Die Eingabe einer Nachricht im Chatfenster ist bereits eine Verarbeitung personenbezogener Daten, wenn Rückschlüsse auf die Person möglich sind. - Das Mitlesen während der Eingabe (sog. "Live-Typing" oder "Pre-Chat-Preview") ist eine weitergehende Verarbeitung als das Übermitteln nach dem Absenden. **Erlaubnis und Hinweis:** - Eine solche Funktion ist grundsätzlich nur zulässig, wenn der Nutzer darüber **klar und verständlich informiert** wird, bevor die Eingabe erfolgt. - Idealerweise sollte der Nutzer der Funktion **aktiv zustimmen** (z. B. durch eine Checkbox), da es sich um eine Verarbeitung handelt, die über das übliche Maß hinausgeht. - Ein bloßer Hinweis ("Ihre Eingaben werden bereits während der Eingabe übertragen") kann ausreichend sein, wenn die Verarbeitung zur Vertragserfüllung notwendig ist oder ein berechtigtes Interesse besteht und die Interessen des Nutzers nicht überwiegen. Dennoch ist eine **Einwilligung** aus Transparenz- und Rechtssicherheitsgründen zu empfehlen. **Fazit:** Ja, es ist erlaubt, wenn der Nutzer **vor der Eingabe** klar und verständlich darauf hingewiesen wurde und idealerweise eingewilligt hat. Ohne Hinweis oder Einwilligung wäre dies ein Verstoß gegen die DSGVO. **Weitere Informationen:** - [Datenschutzkonferenz: Orientierungshilfe Telemedien](https://www.datenschutzkonferenz-online.de/media/oh/20210924_oh_telemedien.pdf) - [DSGVO Art. 6 – Rechtmäßigkeit der Verarbeitung](https://dsgvo-gesetz.de/art-6-dsgvo/) Eine rechtliche Beratung im Einzelfall kann sinnvoll sein, da die konkrete Ausgestaltung entscheidend ist.

Nein, der Datenschutz allein verpflichtet nicht dazu, intime Beobachtungen wie das Sehen des Penis im Arbeitsrahmen zu verschweigen. Datenschutzgesetze, wie die DSGVO, regeln in erster Linie den Umgang mit personenbezogenen Daten, insbesondere deren Erhebung, Verarbeitung und Weitergabe. Eine Beobachtung oder Wahrnehmung einer intimen Situation fällt nicht automatisch unter den Datenschutz, es sei denn, diese Information wird dokumentiert oder in einer Weise verarbeitet, die als personenbezogenes Datum gilt. Allerdings können andere rechtliche oder arbeitsrechtliche Vorschriften, wie das Allgemeine Persönlichkeitsrecht, die Schweigepflicht oder arbeitsvertragliche Nebenpflichten, eine Verschwiegenheit über intime Beobachtungen gebieten. Auch der respektvolle und professionelle Umgang am Arbeitsplatz spricht dafür, solche Beobachtungen vertraulich zu behandeln. Weitere Informationen zum Datenschutz findest du z.B. bei der [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).