Checkliste Auftragsdatenverarbeitung

Ja, in Deutschland bist du verpflichtet, ein Hinweisschild anzubringen, wenn du eine Überwachungskamera an deinem Haus montierst und diese öffentlichen Raum (. B. die Straße, den Gehweg oder Nachbargrundstücke) erfasst oder erfassen könnte. Das ergibt sich aus der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG). Das Hinweisschild muss gut sichtbar angebracht sein und darüber informieren, dass eine Videoüberwachung stattfindet. Es sollte außerdem den Verantwortlichen (also dich oder ggf. die Hausverwaltung) und eine Kontaktmöglichkeit nennen sowie auf die Rechte der Betroffenen hinweisen. Erfasst die Kamera ausschließlich dein eigenes Grundstück und keine öffentlichen Bereiche oder Nachbargrundstücke, ist ein Hinweisschild zwar nicht zwingend vorgeschrieben, wird aber dennoch empfohlen, um Transparenz zu schaffen. Weitere Informationen findest du z. B. bei der [Landesbeauftragten für Datenschutz Niedersachsen](https://lfd.niedersachsen.de/startseite/themen/videouberwachung/videoueberwachung-privater-haushalte-154409.html).

In Deutschland ist es in der Regel **nicht rechtlich möglich**, von einer Gemeinde ein vollständiges Verzeichnis der Eigentümer von Häusern einer Straße oder eines ganzen Ortes für kommerzielle Zwecke zu erhalten. **Begründung:** 1. **Datenschutz:** Die Namen und Adressen von Grundstückseigentümern sind personenbezogene Daten und unterliegen dem Datenschutz nach der Datenschutz-Grundverordnung (DSGVO) sowie dem Bundesdatenschutzgesetz (BDSG). 2. **Grundbuch:** Informationen über Eigentümer sind im Grundbuch eingetragen. Einsicht ins Grundbuch ist nach § 12 der Grundbuchordnung (GBO) nur möglich, wenn ein berechtigtes Interesse nachgewiesen wird. Ein kommerzielles Interesse (z.B. für Werbung oder Adresshandel) wird in der Regel **nicht** als berechtigtes Interesse anerkannt. 3. **Melderegister:** Auch über das Melderegister (§ 44 Bundesmeldegesetz) können keine Listen von Eigentümern für kommerzielle Zwecke angefordert werden. Die Auskunft ist auf Einzelfälle beschränkt und für Werbezwecke nur unter sehr engen Voraussetzungen möglich. 4. **Gemeinde:** Gemeinden dürfen solche Daten nicht ohne weiteres herausgeben. Sie sind an die gesetzlichen Vorgaben gebunden und dürfen personenbezogene Daten nur weitergeben, wenn eine gesetzliche Grundlage oder eine Einwilligung der Betroffenen vorliegt. **Fazit:** Ein Verzeichnis der Hauseigentümer einer Straße oder eines Ortes darf von der Gemeinde **nicht** für kommerzielle Zwecke herausgegeben werden. Wer solche Daten dennoch erhält oder verwendet, riskiert rechtliche Konsequenzen, insbesondere Bußgelder nach der DSGVO. Weitere Informationen findest du z.B. beim [Bundesministerium des Innern und für Heimat](https://www.bmi.bund.de/DE/themen/moderne-verwaltung/datenschutz/datenschutz-node.html) oder bei der [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).

Werden gesetzliche Vorgaben zum Schutzniveau, wie sie beispielsweise in der Datenschutz-Grundverordnung (DSGVO) festgelegt sind, ignoriert, können verschiedene Konsequenzen drohen: 1. **Bußgelder:** Die DSGVO sieht empfindliche Geldbußen vor. Diese können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen – je nachdem, welcher Betrag höher ist. 2. **Schadensersatzansprüche:** Betroffene Personen können Schadensersatz verlangen, wenn ihnen durch die Missachtung der Datenschutzvorgaben ein materieller oder immaterieller Schaden entstanden ist. 3. **Behördliche Maßnahmen:** Aufsichtsbehörden können Anordnungen erlassen, z.B. die Verarbeitung personenbezogener Daten einschränken oder untersagen. 4. **Reputationsschäden:** Öffentlich gewordene Datenschutzverstöße können das Vertrauen von Kunden, Geschäftspartnern und der Öffentlichkeit nachhaltig schädigen. 5. **Strafrechtliche Konsequenzen:** In einigen Fällen können Datenschutzverstöße auch strafrechtlich verfolgt werden, etwa bei vorsätzlichem Missbrauch von Daten. Weitere Informationen zur DSGVO findest du z.B. auf der offiziellen Seite der Europäischen Kommission: https://commission.europa.eu/law/law-topic/data-protection_de

Für den Abschluss eines Auftragsverarbeitungsvertrags (AVV) nach Art. 28 DSGVO ist grundsätzlich der Verantwortliche zuständig, also die Stelle, die die Datenverarbeitung in Auftrag gibt. In Unternehmen bedeutet das meist, der jeweilige Fachbereich, der Dienstleister beauftragt (z B. für IT-Services Cloud-Dienste oder andere Datenarbeitungen), den Bedarf erkennt undet. Die Rechtsabteilung oder der Datenschutzbeauftragte sind in der Regel dafür zuständig, den AVV rechtlich zu prüfen, zu erstellen oder zu genehmigen. Die Initiative und Verantwortung, dass ein AVV abgeschlossen wird, liegt aber beim Fachbereich, da dieser den Dienstleister auswählt und die Datenverarbeitung beauftragt. Zusammengefasst: - **Fachbereich:** Erkennt den Bedarf und initiiert den Prozess, indem er die Rechtsabteilung informiert. - **Rechtsabteilung/Datenschutz:** Prüft, erstellt und schließt den Vertrag rechtlich ab. Die finale Verantwortung, dass ein AVV vorliegt, trägt das Unternehmen als Verantwortlicher. In der Praxis ist es daher ein Zusammenspiel beider Bereiche, wobei der Fachbereich den Anstoß gibt und die Rechtsabteilung die rechtliche Umsetzung übernimmt. Weitere Informationen: [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/)

In einem solchen Fall, in dem persönliche Bilder von Instagram ohne deine Zustimmung von einer fremden Person auf Hinge hochgeladen wurden, sind folgende Fragen wichtig: 1. **Hast du Beweise für die unrechtmäßige Nutzung deiner Bilder?** (Screenshots, Links zu den Profilen, Zeitpunkte etc.) 2. **Sind die Instagram-Bilder öffentlich oder privat?** (Öffentliche Profile erleichtern den Zugriff auf deine Fotos.) 3. **Kennst du die Person, die deine Bilder verwendet hat?** (Handelt es sich um Identitätsdiebstahl oder einen Scherz?) 4. **Hast du bereits Hinge und/oder Instagram über den Missbrauch informiert?** (Welche Schritte wurden unternommen, z. B. Meldung des Profils?) 5. **Wurden deine Bilder noch auf anderen Plattformen verwendet?** (Umfang des Missbrauchs einschätzen.) 6. **Gab es Kontaktaufnahmen oder Nachrichten von der Person, die deine Bilder verwendet?** (Versucht die Person, sich als dich auszugeben?) 7. **Hast du rechtliche Schritte in Erwägung gezogen oder bereits eingeleitet?** (Anzeige bei der Polizei, Kontakt zu einem Anwalt.) 8. **Wie gehst du mit der Situation emotional um?** (Unterstützung durch Freunde, Familie oder professionelle Hilfe.) Diese Fragen helfen, die Situation zu klären und die nächsten Schritte zu planen, um deine Rechte zu schützen.

Ob bei einem Unternehmensaudit die Notebooks (NotePCs) von Mitarbeitenden gescreent werden dürfen, hängt von mehreren Faktoren ab, insbesondere vom Zweck des Audits, den geltenden Datenschutzgesetzen (z. B. DSGVO in der EU), internen Unternehmensrichtlinien und eventuell bestehenden Betriebsvereinbarungen. **Grundsätzliches:** - **Berechtigtes Interesse:** Ein Audit (z. B. IT-Sicherheitsaudit, Compliance-Audit) kann ein berechtigtes Interesse des Unternehmens darstellen, um die Einhaltung von Richtlinien, gesetzlichen Vorgaben oder Sicherheitsstandards zu überprüfen. - **Datenschutz:** Mitarbeitende haben ein Recht auf Datenschutz und informationelle Selbstbestimmung. Private Daten auf dienstlichen Geräten sind besonders sensibel. - **Transparenz und Verhältnismäßigkeit:** Die Mitarbeitenden müssen über den Umfang und Zweck des Screenings informiert werden. Das Vorgehen muss verhältnismäßig sein und darf nicht in die Privatsphäre eingreifen, sofern private Nutzung erlaubt ist. - **Betriebsrat:** In Unternehmen mit Betriebsrat ist dieser bei Maßnahmen, die das Verhalten oder die Leistung der Mitarbeitenden überwachen können, mitbestimmungspflichtig (§ 87 Abs. 1 Nr. 6 BetrVG). **Praktische Umsetzung:** - Dienstliche Daten und Systeme dürfen in der Regel überprüft werden, wenn dies für das Audit erforderlich ist. - Private Daten sollten – sofern private Nutzung erlaubt ist – ausgespart oder besonders geschützt werden. - Es empfiehlt sich, die Mitarbeitenden vorab zu informieren und ggf. Einwilligungen einzuholen. **Fazit:** Ein Screening von Mitarbeiter-Notebooks im Rahmen eines Audits ist grundsätzlich möglich, muss aber datenschutzkonform, transparent und verhältnismäßig erfolgen. Die Einbindung des Betriebsrats und die Beachtung interner Regelungen sind zwingend erforderlich. **Weitere Informationen:** - [Datenschutzkonferenz: Hinweise zur Kontrolle von IT-Systemen](https://www.datenschutzkonferenz-online.de/media/dskb/2018_24_10_hinweise_kontrolle_it_systeme.pdf) - [Betriebsverfassungsgesetz (BetrVG)](https://www.gesetze-im-internet.de/betrvg/__87.html) Im Zweifel sollte eine rechtliche Beratung eingeholt werden, um die konkrete Situation im Unternehmen korrekt zu bewerten.