Checkliste Auftragsdatenverarbeitung

Nein, ein Unternehmen ist nicht verpflichtet, proaktiv Nachname oder Adresse eines Betroffenen zu ändern, wenn es von der Änderung keine Kenntnis hat. Die Pflicht zur Aktualisierung personenbezogener Daten besteht grundsätzlich nur, wenn das Unternehmen von der Änderung erfährt – zum Beispiel durch eine Mitteilung des Betroffenen oder eine offizielle Benachrichtigung. Nach Art. 5 Abs. 1 d) DSGVO („Richtigkeit“) müssen personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Das Unternehmen muss also Maßnahmen treffen, um unrichtige Daten zu berichtigen, sobald es davon Kenntnis erlangt. Eine eigenständige Recherchepflicht besteht jedoch nicht. Betroffene sind in der Regel selbst dafür verantwortlich, Änderungen ihrer Daten dem Unternehmen mitzuteilen. Erst nach einer solchen Mitteilung muss das Unternehmen die Daten aktualisieren.

Ob Verkaufs- und Lieferbedingungen (AGB) für Röntgen- und Ultraschallgeräte Auftragsverarbeitungsbedingungen (AVV) nach Art. 28 DSGVO enthalten müssen, hängt davon ab, ob im Rahmen der Geschäftsbeziehung eine Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) vorliegt. **Definition Auftragsverarbeitung:** Eine Auftragsverarbeitung liegt vor, wenn ein Unternehmen (Auftraggeber) einem anderen Unternehmen (Auftragsverarbeiter) personenbezogene Daten zur Verarbeitung im Auftrag überlässt. Typische Beispiele sind IT-Dienstleister, Cloud-Anbieter oder Lohnbuchhaltungsfirmen. **Im Fall von Röntgen- und Ultraschallgeräten:** Als Lieferant verkauft oder liefert ihr in der Regel Geräte. Dabei verarbeitet ihr keine personenbezogenen Daten im Auftrag eurer Kunden (z. B. Arztpraxen oder Kliniken), sondern verkauft lediglich Hardware (und ggf. Software). Das ist **keine Auftragsverarbeitung** im Sinne der DSGVO. **Ausnahme:** Solltet ihr im Rahmen von Serviceleistungen, Wartung, Fernwartung oder Support Zugriff auf personenbezogene Daten (z. B. Patientendaten auf den Geräten) erhalten, kann eine Auftragsverarbeitung vorliegen. In diesem Fall ist ein separater Auftragsverarbeitungsvertrag (AVV) mit dem Kunden erforderlich. **Fazit:** - **Verkauf und Lieferung:** Keine AVV erforderlich, daher müssen die Verkaufs- und Lieferbedingungen keine Auftragsverarbeitungsbedingungen enthalten. - **Service/Wartung mit Datenzugriff:** AVV erforderlich, aber meist als separates Dokument, nicht als Teil der AGB. **Empfehlung:** Prüft, ob ihr im Rahmen eurer Dienstleistungen tatsächlich Zugriff auf personenbezogene Daten eurer Kunden habt. Falls ja, stellt einen separaten AVV zur Verfügung. In den AGB kann ein Hinweis aufgenommen werden, dass bei bestimmten Dienstleistungen ein AVV abgeschlossen werden muss. Weitere Informationen zur Auftragsverarbeitung findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auftragsverarbeitung.pdf).

Allgemeine Verkaufs- und Lieferbedingungen (AGB) müssen nicht zwingend eigene Datenschutzregelungen enthalten. Datenschutzrechtliche Informationen, insbesondere nach der Datenschutz-Grundverordnung (DSGVO), sind grundsätzlich in einer separaten Datenschutzerklärung bereitzustellen. Allerdings kann es sinnvoll sein, in den AGB auf die Datenschutzerklärung zu verweisen, insbesondere wenn im Rahmen des Vertragsabschlusses personenbezogene Daten verarbeitet werden. Die eigentlichen Datenschutzregelungen (wie Art, Umfang und Zweck der Datenverarbeitung, Rechte der Betroffenen etc.) gehören jedoch nicht in die AGB, sondern in die Datenschutzerklärung, die den Kunden separat und transparent zur Verfügung gestellt werden muss. Zusammengefasst: - AGB müssen keine eigenen Datenschutzregelungen enthalten. - Ein Verweis auf die Datenschutzerklärung in den AGB ist möglich und oft empfehlenswert. - Die eigentlichen Datenschutzinformationen gehören in eine separate Datenschutzerklärung. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).

Nein, das ist in der Regel nicht zulässig. Nach der Datenschutz-Grundverordnung (DSGVO) und dem Gesetz gegen den unlauteren Wettbewerb (UWG) in Deutschland muss die Abmeldung von Newslettern für Empfänger einfach und ohne unnötige Hürden möglich sein. Ein Opt-out-Link, der auf eine Seite verweist, auf der man sich erst einloggen muss, um den Newsletter abzubestellen, stellt eine unzumutbare Erschwernis dar. Die Abmeldung muss mit wenigen Klicks und ohne vorherige Anmeldung möglich sein. Das bestätigt auch die Rechtsprechung, z.B. das OLG Frankfurt am Main (Urteil vom 19.05.2022, Az. 6 U 232/21). Empfohlen wird ein direkter Abmeldelink, der ohne Login funktioniert. Weitere Informationen findest du z.B. bei der [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/) oder bei [IHK München: Newsletter rechtssicher versenden](https://www.ihk-muenchen.de/de/Service/Recht-und-Steuern/Internetrecht/Newsletter-rechtssicher-versenden/).

Das Persönlichkeitsrecht schützt die Persönlichkeit eines Menschen, insbesondere seine Privatsphäre, Ehre und das Recht am eigenen Bild und Wort. Dieses Recht gilt grundsätzlich überall – also auch auf Privatgrundstücken, unabhängig davon, wem das Grundstück gehört. Wenn du dich auf dem Privatgrundstück einer anderen Person befindest, hast du weiterhin Anspruch auf den Schutz deiner Persönlichkeitsrechte. Das bedeutet zum Beispiel: - Du darfst ohne deine Einwilligung nicht heimlich gefilmt oder fotografiert werden (§ 22 KunstUrhG, Recht am eigenen Bild). - Deine Gespräche dürfen nicht ohne Erlaubnis aufgezeichnet werden (§ 201 StGB, Verletzung der Vertraulichkeit des Wortes). - Deine persönlichen Daten dürfen nicht ohne rechtliche Grundlage erhoben oder weitergegeben werden (Datenschutzrecht, DSGVO). Allerdings gibt es auch Rechte des Grundstückseigentümers, zum Beispiel das Hausrecht. Dieses erlaubt es ihm, Regeln für sein Grundstück aufzustellen und Personen den Zutritt zu verweigern oder sie des Grundstücks zu verweisen. Das Hausrecht darf aber nicht dazu genutzt werden, das Persönlichkeitsrecht anderer zu verletzen. Zusammengefasst: Das Persönlichkeitsrecht gilt auch auf fremdem Privatgrund. Es kann jedoch im Einzelfall mit den Rechten des Eigentümers abgewogen werden. Bei Konflikten kommt es auf die Umstände des Einzelfalls an.

Ja, Teilnahmebedingungen sollten unbedingt Hinweise zum Datenschutz beinhalten. Sobald im Rahmen eines Gewinnspiels, einer Umfrage oder einer anderen Aktion personenbezogene Daten erhoben, verarbeitet oder genutzt werden, bist du nach der Datenschutz-Grundverordnung (DSGVO) verpflichtet, die Teilnehmenden darüber zu informieren. Die Hinweise sollten unter anderem folgende Informationen enthalten: - Welche Daten werden erhoben? - Zu welchem Zweck werden die Daten verwendet? - Wer ist Verantwortlicher für die Datenverarbeitung? - Wie lange werden die Daten gespeichert? - Welche Rechte haben die Teilnehmenden (z. B. Auskunft, Löschung, Widerspruch)? - An wen können sich Teilnehmende bei Fragen wenden (z. B. Kontaktdaten des Datenschutzbeauftragten)? Diese Informationen können direkt in die Teilnahmebedingungen integriert oder in einer separaten Datenschutzerklärung verlinkt werden. Ein Verstoß gegen die Informationspflichten kann zu Abmahnungen oder Bußgeldern führen. Weitere Informationen findest du beispielsweise bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).

Wenn die Stadt Mainz personenbezogene Daten missbraucht hat, ist in der Regel der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) zuständig. Diese Aufsichtsbehörde überwacht die Einhaltung der Datenschutzgesetze durch öffentliche Stellen in Rheinland-Pfalz, zu denen auch die Stadt Mainz gehört. Du kannst dich mit Beschwerden oder Hinweisen auf Datenschutzverstöße direkt an den LfDI RLP wenden. Weitere Informationen und Kontaktmöglichkeiten findest du auf der offiziellen Website: [https://www.datenschutz.rlp.de/](https://www.datenschutz.rlp.de/) Zusätzlich kannst du dich auch an den Datenschutzbeauftragten der Stadt Mainz wenden, um den Vorfall zu melden oder weitere Informationen zu erhalten.

Datenschutzmissbrauch durch eine Stadt kann erhebliche Auswirkungen auf ein Verfahren haben, insbesondere wenn personenbezogene Daten unrechtmäßig erhoben, verarbeitet oder weitergegeben wurden. Die wichtigsten möglichen Auswirkungen sind: 1. **Beweisverwertungsverbot:** Wenn im Verfahren Beweise verwendet werden, die unter Verstoß gegen Datenschutzgesetze (z. B. DSGVO, BDSG) erlangt wurden, kann ein Gericht entscheiden, dass diese Beweise nicht verwertet werden dürfen. Das kann die Beweislage erheblich schwächen. 2. **Verfahrensverzögerungen:** Datenschutzverstöße können zu zusätzlichen Prüfungen, Nachbesserungen oder sogar zur Wiederholung von Verfahrensschritten führen, was das Verfahren verzögert. 3. **Rechtsfolgen für die Stadt:** Die Stadt kann mit Bußgeldern oder anderen aufsichtsrechtlichen Maßnahmen durch Datenschutzbehörden belegt werden. Dies kann auch das Verfahren beeinflussen, etwa durch interne Untersuchungen oder personelle Konsequenzen. 4. **Verletzung von Persönlichkeitsrechten:** Betroffene Personen können Schadensersatzansprüche geltend machen, was das Verfahren zusätzlich beeinflussen kann. 5. **Vertrauensverlust:** Datenschutzmissbrauch kann das Vertrauen in die Verwaltung und das Verfahren beeinträchtigen, was sich indirekt auf die Akzeptanz und den Ablauf des Verfahrens auswirken kann. Die genaue Auswirkung hängt vom Einzelfall, der Art des Verstoßes und der Bedeutung der betroffenen Daten für das Verfahren ab. In jedem Fall ist die Einhaltung des Datenschutzes für die Rechtmäßigkeit und Fairness eines Verfahrens essenziell.

Ob ein Verfahren wegen Zweckentfremdung (z. B. von Wohnraum) weitergeführt werden darf, obwohl du der Meinung bist, dass die Stadt deine Daten missbraucht hat, hängt von mehreren Faktoren ab: **1. Rechtmäßigkeit der Datenerhebung:** Behörden dürfen personenbezogene Daten grundsätzlich nur im Rahmen der geltenden Gesetze (z. B. Datenschutz-Grundverordnung [DSGVO], Bundesdatenschutzgesetz [BDSG], jeweilige Landesgesetze) erheben und verwenden. Für Ermittlungen wegen Zweckentfremdung gibt es meist eine gesetzliche Grundlage, die die Datenerhebung erlaubt. **2. Folgen eines Datenschutzverstoßes:** Selbst wenn die Stadt bei der Datenerhebung einen Fehler gemacht oder gegen Datenschutzrecht verstoßen hat, bedeutet das nicht automatisch, dass das Verfahren eingestellt werden muss. Es kann aber sein, dass bestimmte Beweise nicht verwertet werden dürfen („Beweisverwertungsverbot“). Ob das in deinem Fall zutrifft, hängt von der Schwere des Datenschutzverstoßes und der Bedeutung der Daten für das Verfahren ab. **3. Rechtsschutzmöglichkeiten:** Du hast das Recht, dich gegen einen möglichen Datenmissbrauch zu wehren. Du kannst dich an die zuständige Datenschutzbehörde wenden und ggf. Beschwerde einlegen. Außerdem kannst du im laufenden Verfahren (z. B. im Rahmen einer Anhörung oder eines Widerspruchs) auf den möglichen Datenmissbrauch hinweisen. **Fazit:** Das Verfahren kann grundsätzlich weitergeführt werden, auch wenn du einen Datenmissbrauch vermutest. Ein Datenschutzverstoß kann aber Auswirkungen auf die Verwertbarkeit von Beweisen und den Ausgang des Verfahrens haben. Es empfiehlt sich, rechtlichen Rat einzuholen, um deine Rechte effektiv wahrzunehmen. **Weiterführende Links:** - [Datenschutz-Grundverordnung (DSGVO)](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32016R0679) - [Bundesbeauftragter für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/) Bei konkreten rechtlichen Schritten empfiehlt sich die Beratung durch eine Fachanwältin oder einen Fachanwalt für Verwaltungsrecht oder Datenschutzrecht.

Ja, das ist richtig. Seit der Umsetzung der EU-Richtlinie über digitale Inhalte und Dienstleistungen (Richtlinie (EU) 2019/770) in deutsches Recht durch die BGB-Reform zum 1. Januar 2022 ist das Prinzip „Zahlen mit Daten“ im Bürgerlichen Gesetzbuch (BGB) ausdrücklich anerkannt. Nach § 327 Abs. 3 BGB gilt: Ein Vertrag über digitale Produkte liegt nicht nur dann vor, wenn der Verbraucher einen Preis zahlt, sondern auch dann, wenn er dem Unternehmer personenbezogene Daten bereitstellt, es sei denn, die Daten werden ausschließlich zur Vertragserfüllung oder zur Erfüllung gesetzlicher Pflichten verwendet. Das bedeutet: Auch wenn Verbraucher für digitale Produkte (z. B. Apps, Streamingdienste, Software) nicht mit Geld, sondern mit ihren personenbezogenen Daten „bezahlen“, gelten die verbraucherschützenden Vorschriften für Verträge über digitale Produkte. Weitere Informationen findest du z. B. beim [Bundesministerium der Justiz](https://www.bmj.de/DE/themen/fokus_themen/verbraucherschutz/digitale_inhalte_node.html).