Wie hält Miro die europäische Datenschutzgrundverordnung ein?

Eine Verarbeitungstätigkeit nach DSGVO bezeichnet jeden Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, unabhängig davon, ob sie mit oder ohne Hilfe automatisierter Verfahren ausgeführt wird. Dazu zählen insbesondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten. Die DSGVO (Datenschutz-Grundverordnung) definiert den Begriff „Verarbeitung“ in Art. 4 Nr. 2 DSGVO. Eine Verarbeitungstätigkeit ist also jede Aktivität, bei der personenbezogene Daten genutzt werden – zum Beispiel das Führen einer Kundenliste, das Versenden von Newslettern oder die Speicherung von Mitarbeiterdaten. Unternehmen und Organisationen sind verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO), um Transparenz und Nachvollziehbarkeit im Umgang mit personenbezogenen Daten zu gewährleisten.

Hier sind einige einfache Ja/Nein-Fragen zum DSGVO-Datenlebenszyklus: 1. Werden personenbezogene Daten erhoben? 2. Werden die betroffenen Personen über die Datenerhebung informiert? 3. Gibt es eine Einwilligung zur Datenverarbeitung? 4. Werden die Daten sicher gespeichert? 5. Werden die Daten regelmäßig aktualisiert? 6. Haben die betroffenen Personen Zugriff auf ihre Daten? 7. Können die Daten auf Anfrage gelöscht werden? 8. Werden die Daten an Dritte weitergegeben? 9. Gibt es eine Dokumentation der Datenverarbeitung? 10. Werden die Daten nach Ablauf der Aufbewahrungsfrist gelöscht?

Der Hessische Datenschutzbeauftragte hat in der Vergangenheit Bedenken hinsichtlich der Nutzung von Miro geäußert, insbesondere in Bezug auf den Datenschutz und die Verarbeitung personenbezogener Daten. Es wird empfohlen, die Datenschutzrichtlinien von Miro genau zu prüfen und sicherzustellen, dass die Nutzung der Plattform den geltenden Datenschutzbestimmungen entspricht. Insbesondere sollten Unternehmen darauf achten, ob die Datenverarbeitung im Einklang mit der Datenschutz-Grundverordnung (DSGVO) steht und ob geeignete Maßnahmen zum Schutz der Daten getroffen werden. Für detaillierte Informationen ist es ratsam, die offizielle Webseite des Hessischen Datenschutzbeauftragten zu konsultieren.

Ein Kooperationsverfahren im Sinne der Datenschutz-Grundverordnung (DSGVO) bezieht sich auf die Zusammenarbeit zwischen verschiedenen Datenschutzbehörden der EU, insbesondere wenn es um grenzüberschreitende Datenverarbeitungen geht. Dieses Verfahren wird in Artikel 60 der DSGVO beschrieben und dient dazu, eine einheitliche Anwendung der Datenschutzvorschriften in der gesamten EU zu gewährleisten. Wenn ein Unternehmen in mehreren EU-Mitgliedstaaten tätig ist und dort personenbezogene Daten verarbeitet, ist die zuständige Aufsichtsbehörde in dem Land, in dem das Unternehmen seinen Hauptsitz hat, für die Überwachung der Datenverarbeitung verantwortlich. Bei grenzüberschreitenden Fällen müssen die beteiligten Aufsichtsbehörden zusammenarbeiten, um sicherzustellen, dass die Rechte der betroffenen Personen gewahrt bleiben und die Vorschriften der DSGVO eingehalten werden. Das Kooperationsverfahren umfasst unter anderem den Austausch von Informationen, die Konsultation zwischen den Behörden und die Möglichkeit, gemeinsame Entscheidungen zu treffen. Ziel ist es, eine kohärente und konsistente Anwendung des Datenschutzrechts in der gesamten EU zu fördern.

In Deutschland ist die zuständige Aufsichtsbehörde für Datenschutzfragen in der Regel die Landesdatenschutzbehörde des jeweiligen Bundeslandes. Für spezifische Anliegen oder Beschwerden zur Datenschutz-Grundverordnung (DSGVO) kannst du dich an die Datenschutzbehörde deines Wohnsitzlandes wenden. Eine Übersicht der Datenschutzbehörden in Deutschland findest du auf der Website der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder.

Im Sinne der Datenschutz-Grundverordnung (DSGVO) bezieht sich der Begriff "Verarbeitung" auf jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Dies umfasst eine Vielzahl von Tätigkeiten, darunter das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder eine andere Form der Bereitstellung, Abgleichen oder Verknüpfen, Einschränken, Löschen oder Vernichten von Daten. Die vollständige Definition findest du in Artikel 4 Absatz 2 der DSGVO. Hier ist der Link zur DSGVO für weitere Details: [DSGVO Text](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

Nein, die Bundesdatenschutzgesetz (BDSG) wurde nicht durch die Datenschutz-Grundverordnung (DSGVO) abgelöst, sondern ergänzt. Die DSGVO ist eine Verordnung der Europäischen Union, die seit dem 25. Mai 2018 gilt und den Datenschutz in der gesamten EU harmonisiert. Das BDSG wurde in diesem Zusammenhang neu gefasst und enthält ergänzende Regelungen zur DSGVO, die spezifisch für Deutschland gelten. Weitere Informationen findest du hier: [Bundesdatenschutzgesetz (BDSG)](https://www.gesetze-im-internet.de/bdsg_2018/) und [Datenschutz-Grundverordnung (DSGVO)](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

Ja, das ist grundsätzlich möglich. Die Datenschutz-Grundverordnung (DSGVO) gilt für Unternehmen in der EU unabhängig davon, wo die betroffene Person lebt oder ihren gewöhnlichen Aufenthalt hat. Das bedeutet: Jeder, dessen personenbezogene Daten von einem Unternehmen mit Sitz in der EU verarbeitet werden, kann sich auf die Rechte der DSGVO berufen – also auch Personen aus den USA. Relevant ist dabei, dass das Unternehmen tatsächlich personenbezogene Daten der betroffenen Person verarbeitet und seinen Sitz in der EU hat oder die Verarbeitung im Zusammenhang mit der Tätigkeit einer Niederlassung in der EU steht. In diesem Fall hat die betroffene Person das Recht auf Auskunft nach Art. 15 DSGVO, unabhängig von ihrer Staatsangehörigkeit oder ihrem Wohnsitz. Weitere Informationen zur DSGVO findest du z.B. auf der offiziellen Seite der Europäischen Kommission: https://commission.europa.eu/law/law-topic/data-protection_de

In einem Unternehmen ist in der Regel der Verantwortliche für den Datenschutz, also der Datenschutzbeauftragte (DSB), für die Festlegung und Überwachung von Löschfristen zuständig. Die eigentliche Verantwortung liegt jedoch bei der Geschäftsführung bzw. der verantwortlichen Stelle gemäß Datenschutz-Grundverordnung (DSGVO). Sie muss sicherstellen, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist, und entsprechende Löschkonzepte implementieren. Der Datenschutzbeauftragte berät und unterstützt dabei, die gesetzlichen und betrieblichen Anforderungen umzusetzen, aber die letztendliche Verantwortung trägt die Unternehmensleitung. Oft arbeiten Datenschutzbeauftragte, IT-Abteilung, Fachabteilungen und ggf. die Rechtsabteilung gemeinsam an der Festlegung und Umsetzung von Löschfristen.

Ob eine Dienstleistung mit Telefonnummernvalidierung eine Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist, hängt davon ab, wie die Dienstleistung ausgestaltet ist und welche Rolle der Dienstleister einnimmt. **Auftragsverarbeitung** liegt gemäß Art. 4 Nr. 8 und Art. 28 DSGVO immer dann vor, wenn ein Dienstleister personenbezogene Daten im Auftrag und nach Weisung eines Verantwortlichen verarbeitet. **Konkret:** - Wenn du als Unternehmen einen externen Dienstleister beauftragst, Telefonnummern deiner Kunden zu validieren (z.B. auf Gültigkeit oder Format), und der Dienstleister diese Daten ausschließlich nach deinen Vorgaben verarbeitet, handelt es sich in der Regel um eine Auftragsverarbeitung. In diesem Fall muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden. - Wenn der Dienstleister die Telefonnummern jedoch für eigene Zwecke verarbeitet oder die Daten mit anderen Datenquellen abgleicht, um eigene Produkte oder Services zu verbessern, ist er selbst Verantwortlicher oder ggf. gemeinsam Verantwortlicher. Dann liegt keine Auftragsverarbeitung vor. **Beispiel:** - Ein Dienstleister prüft im Auftrag deines Unternehmens, ob eine Telefonnummer existiert oder korrekt formatiert ist, und nutzt die Daten nicht für eigene Zwecke → Auftragsverarbeitung. - Ein Dienstleister sammelt Telefonnummern, wertet sie aus und nutzt sie für eigene Marketingzwecke → keine Auftragsverarbeitung. **Fazit:** In den meisten Fällen ist eine Dienstleistung zur Telefonnummernvalidierung eine Auftragsverarbeitung, sofern der Dienstleister die Daten ausschließlich im Auftrag und nach Weisung verarbeitet. Es sollte aber immer im Einzelfall geprüft werden, wie die Datenverarbeitung konkret erfolgt. Weitere Informationen findest du z.B. beim [BayLDA](https://www.lda.bayern.de/de/thema-auftragsverarbeitung.html) oder [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_24_10_auftragsverarbeitung.pdf).