Wer ist die Datenschutz-Aufsichtsbehörde in NRW?

Die Meldung eines Datenschutzbeauftragten an die zuständige Aufsichtsbehörde für Mecklenburg-Vorpommern erfolgt in der Regel online über ein bereitgestelltes Meldeformular. **Vorgehen:** 1. **Online-Meldung:** Die Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI M-V) stellt ein Online-Formular zur Verfügung. Dieses findest du auf der offiziellen Webseite der Behörde: [https://www.datenschutz-mv.de/datenschutzbeauftragte/meldung/](https://www.datenschutz-mv.de/datenschutzbeauftragte/meldung/) 2. **Angaben im Formular:** Im Formular werden folgende Informationen abgefragt: - Angaben zur verantwortlichen Stelle (Unternehmen, Verein, Behörde etc.) - Kontaktdaten des Datenschutzbeauftragten (Name, Anschrift, E-Mail, Telefon) - Angaben zur Erreichbarkeit des Datenschutzbeauftragten 3. **Absenden:** Nach dem Ausfüllen wird das Formular elektronisch an die Aufsichtsbehörde übermittelt. Eine Bestätigung erfolgt in der Regel per E-Mail. **Hinweis:** Die Meldung muss unverzüglich nach der Benennung des Datenschutzbeauftragten erfolgen (§ 37 Abs. 7 DSGVO). **Weitere Informationen:** Alle Details und das Meldeformular findest du direkt auf der Seite der LfDI M-V: [https://www.datenschutz-mv.de/datenschutzbeauftragte/meldung/](https://www.datenschutz-mv.de/datenschutzbeauftragte/meldung/)

In Deutschland ist die zuständige Aufsichtsbehörde für Datenschutzfragen in der Regel die Landesdatenschutzbehörde des jeweiligen Bundeslandes. Für spezifische Anliegen oder Beschwerden zur Datenschutz-Grundverordnung (DSGVO) kannst du dich an die Datenschutzbehörde deines Wohnsitzlandes wenden. Eine Übersicht der Datenschutzbehörden in Deutschland findest du auf der Website der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder.

Die azrecorder App (auch bekannt als AZ Screen Recorder) ist eine beliebte Anwendung zum Aufzeichnen von Bildschirminhalten auf Android-Geräten. Beim Thema Datenschutz gibt es einige wichtige Punkte zu beachten: 1. **Berechtigungen:** Die App benötigt verschiedene Berechtigungen, z. B. Zugriff auf den Speicher, das Mikrofon und ggf. die Kamera. Diese Berechtigungen sind notwendig, um Bildschirmaufnahmen zu speichern und Ton aufzuzeichnen. 2. **Datenspeicherung:** Laut den Angaben des Entwicklers werden die aufgezeichneten Videos lokal auf dem Gerät gespeichert. Es erfolgt keine automatische Übertragung der Aufnahmen an Server des Anbieters. 3. **Datenerhebung:** Die App kann laut Datenschutzerklärung (siehe [Google Play Store – Datenschutz](https://play.google.com/store/apps/details?id=com.hecorat.screenrecorder.free&hl=de&gl=US)) bestimmte Nutzungsdaten und Diagnosedaten erfassen, um die App zu verbessern oder Fehler zu beheben. Dazu können Geräteinformationen, App-Nutzungsstatistiken und Absturzberichte gehören. 4. **Werbung und Drittanbieter:** Die kostenlose Version der App blendet Werbung ein. Dabei können Drittanbieter (z. B. Werbenetzwerke) Daten wie Gerätekennungen oder Standortinformationen erfassen, um personalisierte Werbung anzuzeigen. 5. **Datenschutzbestimmungen:** Die vollständigen Datenschutzrichtlinien findest du auf der [offiziellen Website des Entwicklers](https://az-screen-recorder.com/privacy-policy/) oder im Google Play Store unter dem Abschnitt „Datenschutz“. **Fazit:** Die azrecorder App speichert deine Aufnahmen lokal und erhebt laut eigenen Angaben keine sensiblen personenbezogenen Daten ohne deine Zustimmung. Allerdings werden durch Werbung und Analyse-Tools gewisse Nutzungsdaten erfasst. Es empfiehlt sich, die Datenschutzbestimmungen sorgfältig zu lesen und die Berechtigungen der App regelmäßig zu überprüfen. Weitere Informationen findest du direkt beim [Entwickler](https://az-screen-recorder.com/) und im [Google Play Store](https://play.google.com/store/apps/details?id=com.hecorat.screenrecorder.free&hl=de&gl=US).

Ob die Inanspruchnahme von Leistungen, bei denen ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, eine Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) darstellt, hängt von den Umständen ab. Nach Art. 4 Nr. 8 DSGVO ist Auftragsverarbeiter eine Person oder Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Entscheidend ist, ob der Dienstleister tatsächlich im Auftrag und nach Weisung des Verantwortlichen mit personenbezogenen Daten umgeht. **Wichtige Kriterien:** - **Tatsächlicher Zugriff:** Es reicht aus, dass der Dienstleister theoretisch Zugriff auf personenbezogene Daten haben könnte (z.B. bei Wartung, Hosting, IT-Support). Ein tatsächlicher Zugriff ist nicht zwingend erforderlich. - **Weisungsgebundenheit:** Der Dienstleister handelt nicht eigenverantwortlich, sondern ausschließlich nach Weisung des Verantwortlichen. - **Zweck der Datenverarbeitung:** Die Verarbeitung erfolgt ausschließlich zur Erbringung der beauftragten Leistung. **Beispiel:** Ein IT-Dienstleister, der Wartungsarbeiten an einem System durchführt, in dem personenbezogene Daten gespeichert sind, gilt als Auftragsverarbeiter, auch wenn er im Regelfall nicht auf die Daten zugreift, dies aber technisch möglich wäre. **Fazit:** Ja, wenn ein Zugriff auf personenbezogene Daten durch den Dienstleister nicht ausgeschlossen werden kann und dieser im Auftrag und nach Weisung des Verantwortlichen handelt, liegt in der Regel eine Auftragsverarbeitung vor. In diesem Fall ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO erforderlich. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auslegung_auftragsverarbeitung.pdf) (DSK) oder beim [BfDI](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitung-und-Weitergabe/Auftragsverarbeitung/auftragsverarbeitung-node.html).

Die Teilnahme eines Interimmanagers an einem Bewerbungsgespräch ist aus datenschutzrechtlicher Sicht grundsätzlich zulässig, wenn bestimmte Voraussetzungen erfüllt sind. Nach der Datenschutz-Grundverordnung (DSGVO) dürfen personenbezogene Daten – dazu zählen auch die im Bewerbungsgespräch erhobenen Informationen – nur verarbeitet werden, wenn dafür eine Rechtsgrundlage besteht. Wichtige Punkte: 1. **Erforderlichkeit**: Die Teilnahme des Interimmanagers muss für den Auswahlprozess erforderlich sein, z.B. weil er eine leitende Funktion innehat oder fachlich relevante Entscheidungen trifft. 2. **Vertraulichkeit**: Der Interimmanager muss zur Vertraulichkeit verpflichtet werden, idealerweise durch eine entsprechende Vereinbarung oder durch Aufnahme in den Arbeits- bzw. Dienstvertrag. 3. **Information der Bewerber**: Die Bewerber müssen darüber informiert werden, wer am Gespräch teilnimmt und zu welchem Zweck ihre Daten verarbeitet werden (Art. 13 DSGVO). 4. **Zweckbindung**: Die im Gespräch erhobenen Daten dürfen nur für den Auswahlprozess verwendet werden. Fazit: Die Teilnahme ist zulässig, wenn der Interimmanager in den Auswahlprozess eingebunden ist, zur Vertraulichkeit verpflichtet wurde und die Bewerber entsprechend informiert werden. Weitere Informationen bietet z.B. die [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder die [Bundesbeauftragte für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).

Ob die Desinfektion, der Transport und die Datenlöschung von medizintechnischen Geräten nach einer Entleihe als Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) gilt, hängt davon ab, ob und wie personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden. **1. Desinfektion und Transport:** Diese Tätigkeiten betreffen in der Regel keine Verarbeitung personenbezogener Daten, sondern sind rein physische Dienstleistungen. Solange bei Desinfektion und Transport keine personenbezogenen Daten verarbeitet werden (z.B. keine Einsichtnahme in Patientendaten auf dem Gerät erfolgt), handelt es sich **nicht** um eine Auftragsverarbeitung nach Art. 28 DSGVO. **2. Datenlöschung:** Die Datenlöschung kann eine Auftragsverarbeitung darstellen, wenn dabei personenbezogene Daten im Auftrag des Verantwortlichen gelöscht werden. Das ist insbesondere dann der Fall, wenn auf den Geräten noch Patientendaten oder andere personenbezogene Informationen gespeichert sind und der Dienstleister diese im Auftrag des Verantwortlichen löscht. In diesem Fall ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO erforderlich. **Fazit:** - **Desinfektion und Transport:** In der Regel keine Auftragsverarbeitung. - **Datenlöschung:** In der Regel Auftragsverarbeitung, wenn personenbezogene Daten betroffen sind. **Quellen und weitere Informationen:** - [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/) - [BfDI: Auftragsverarbeitung](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitung-und-Weitergabe/Auftragsverarbeitung/auftragsverarbeitung-node.html) Im Zweifel sollte eine datenschutzrechtliche Prüfung im Einzelfall erfolgen.

Ob die Desinfektion und der Transport von medizintechnischen Geräten nach einer Entleihe als Auftragsverarbeitung im Sinne der DSGVO gilt, hängt davon ab, ob und in welchem Umfang personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden. **Grundlagen:** - **Auftragsverarbeitung** nach Art. 4 Nr. 8 und Art. 28 DSGVO liegt vor, wenn ein Dienstleister (Auftragsverarbeiter) personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet. - **Personenbezogene Daten** sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. **Konkret zu deiner Frage:** 1. **Desinfektion und Transport als reine Sachleistungen:** Werden die Geräte lediglich gereinigt, desinfiziert und transportiert, ohne dass dabei auf gespeicherte personenbezogene Daten zugegriffen wird (z.B. weil die Geräte keine Daten enthalten oder diese vorab gelöscht wurden), liegt in der Regel **keine Auftragsverarbeitung** vor. Es handelt sich dann um eine Dienstleistung ohne Datenverarbeitung. 2. **Geräte enthalten personenbezogene Daten:** Befinden sich auf den Geräten noch personenbezogene Daten (z.B. Patientendaten auf Speichermedien, Protokollen, Bilddaten), und besteht die Möglichkeit, dass der Dienstleister im Rahmen der Desinfektion oder des Transports auf diese Daten zugreifen kann oder sie verarbeitet (z.B. durch Auslesen, Kopieren, Löschen), dann handelt es sich **sehr wahrscheinlich um eine Auftragsverarbeitung**. In diesem Fall muss ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO abgeschlossen werden. 3. **Praktische Empfehlung:** In der Praxis wird empfohlen, vor der Übergabe an externe Dienstleister sicherzustellen, dass keine personenbezogenen Daten mehr auf den Geräten vorhanden sind (z.B. durch Löschung oder Rücksetzung auf Werkseinstellungen). So kann eine Auftragsverarbeitung vermieden werden. **Fazit:** Ob eine Auftragsverarbeitung vorliegt, hängt davon ab, ob der Dienstleister im Rahmen der Desinfektion und des Transports tatsächlich mit personenbezogenen Daten in Berührung kommt oder diese verarbeitet. Ist das der Fall, ist ein Vertrag zur Auftragsverarbeitung erforderlich. Andernfalls handelt es sich um eine reine Sachleistung ohne Bezug zur DSGVO. **Weitere Informationen zur Auftragsverarbeitung findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auftragsverarbeitung.pdf).**

Um QR-Codes datenschutzkonform für eine Behörde zu generieren, sollten folgende Punkte beachtet werden: 1. **Keine sensiblen Daten im QR-Code speichern:** Im QR-Code sollten keine personenbezogenen oder sensiblen Daten direkt hinterlegt werden. Stattdessen empfiehlt es sich, nur einen Link (z.B. zu einer sicheren Webseite) zu kodieren, auf der sich die eigentlichen Daten nach Authentifizierung abrufen lassen. 2. **Verwendung von sicheren QR-Code-Generatoren:** Nutze keine kostenlosen Online-Generatoren, bei denen unklar ist, wie mit den eingegebenen Daten umgegangen wird. Besser ist es, Open-Source-Tools (z.B. [qrencode](https://fukuchi.org/works/qrencode/) oder [goqr.me](https://goqr.me/de/qr-code-generator-software/)) lokal auf einem behördlichen Rechner zu verwenden. 3. **Transparenz und Information:** Die betroffenen Personen müssen darüber informiert werden, welche Daten im QR-Code enthalten sind und zu welchem Zweck sie verwendet werden. Dies kann z.B. durch eine Datenschutzerklärung auf der verlinkten Webseite erfolgen. 4. **Zugriffs- und Berechtigungskonzept:** Falls der QR-Code Zugang zu personenbezogenen Daten ermöglicht, sollte der Zugriff durch Authentifizierung und Berechtigungsmanagement geschützt werden. 5. **Speicherung und Protokollierung:** Es sollte dokumentiert werden, wer QR-Codes generiert und wie sie verwendet werden. Die Speicherung der Daten sollte den Vorgaben der DSGVO entsprechen. 6. **Auftragsverarbeitung prüfen:** Falls externe Dienstleister für die Generierung oder Auswertung der QR-Codes eingesetzt werden, muss ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen werden. **Zusammengefasst:** QR-Codes für Behörden sollten möglichst keine personenbezogenen Daten enthalten, mit vertrauenswürdiger Software lokal generiert werden und die Nutzung muss transparent und sicher gestaltet sein. Weitere Informationen bietet z.B. der [Leitfaden der Datenschutzkonferenz zu QR-Codes](https://www.datenschutzkonferenz-online.de/media/oh/20211028_oh_qr_codes.pdf). **Hinweis:** Für spezifische Anwendungsfälle empfiehlt sich die Rücksprache mit dem behördlichen Datenschutzbeauftragten.

Allgemeine Technische und Organisatorische Maßnahmen (TOM) geben Auskunft darüber, wie ein Unternehmen den Schutz personenbezogener Daten sicherstellt. Sie sind ein zentraler Bestandteil der Datenschutz-Grundverordnung (DSGVO) und zeigen, welche Vorkehrungen ein Unternehmen trifft, um die Sicherheit und Vertraulichkeit von Daten zu gewährleisten. Konkret sagen die allgemeinen TOM über ein Unternehmen aus: 1. **Sicherheitsbewusstsein:** Das Unternehmen ist sich seiner Verantwortung im Umgang mit personenbezogenen Daten bewusst und setzt Maßnahmen zum Schutz dieser Daten um. 2. **Rechtstreue:** Das Unternehmen hält sich an gesetzliche Vorgaben, insbesondere an die DSGVO. 3. **Struktur und Organisation:** Es gibt klare Prozesse und Zuständigkeiten für den Datenschutz im Unternehmen. 4. **Technische Ausstattung:** Das Unternehmen nutzt technische Lösungen (z. B. Verschlüsselung, Firewalls, Zugriffskontrollen), um Daten zu schützen. 5. **Organisatorische Abläufe:** Es bestehen interne Regelungen, Schulungen und Kontrollen, um Datenschutzrisiken zu minimieren. 6. **Transparenz:** Das Unternehmen kann gegenüber Kunden, Partnern und Behörden nachweisen, wie es den Datenschutz umsetzt. Zusammengefasst spiegeln die allgemeinen TOM wider, wie ernst ein Unternehmen den Datenschutz nimmt und wie professionell es mit sensiblen Informationen umgeht.

Ja, die Staatsangehörigkeit gilt als ein besonderes personenbezogenes Datum im Sinne der Datenschutz-Grundverordnung (DSGVO). Nach Art. 9 Abs. 1 DSGVO sind besondere Kategorien personenbezogener Daten solche, aus denen beispielsweise die rassische und ethnische Herkunft hervorgehen. Die Staatsangehörigkeit wird zwar nicht ausdrücklich genannt, sie kann aber Rückschlüsse auf die ethnische Herkunft zulassen. In der Praxis und nach Ansicht vieler Datenschutzbehörden wird die Staatsangehörigkeit daher als besonders schützenswertes Datum behandelt. Zusätzlich wird im deutschen Recht (§ 46 Abs. 1 Bundesdatenschutzgesetz – BDSG) die Staatsangehörigkeit ausdrücklich als besonders schützenswertes Datum genannt. **Fazit:** Die Staatsangehörigkeit ist ein besonderes personenbezogenes Datum und unterliegt daher einem erhöhten Schutz nach DSGVO und BDSG. Weitere Informationen: - [Art. 9 DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) - [§ 46 BDSG](https://www.gesetze-im-internet.de/bdsg_2018/__46.html)