Haben Sie wirklich alle Auftragsverarbeitungsverträge zusammen? 

Schnell schließt man mit anderen Unternehmen Verträge. Dann ist oft nicht ausgeschlossen, dass diese Unternehmen in Ihrem Auftrag personenbezogene Daten verarbeiten und als „Auftragsverarbeiter“ tätig werden. Zum Beispiel, wenn Sie eine Software zur Arbeitszeiterfassung der Mitarbeiter*Innen oder eine Buchhaltungs-Software einsetzen, den eigenen Newsletter über einen Anbieter versenden oder die Website über ein Baukasten-System laufen lassen etc.

In diesen Fällen benötigen Sie neben dem Hauptvertrag auch einen Auftragsverarbeitungsvertrag (kurz AVV), oder Data Processing Agreement (DPA) auf Englisch. Größere Unternehmen, die für ihre Kunden als Auftragsverarbeiter tätig werden, bieten in der Regel einen Standard-AVV an. Dieser ist häufig online abrufbar – entweder direkt als PDF oder durch Anfordern im Online-Konto des Dienstleisters.

Doch haben Sie auch wirklich alle AVV‘s zusammen? Und wenn nein, wo können Sie den richtigen AVV finden?

Tipp: Eine Hilfe ist die Liste mit AV-Verträgen von Blogmojo. In einer aktuellen Übersicht von 200 (!) gängigen Dienstleistern (z.B. 1&1 Ionos, Google Analytics, Hetzner, Lexoffice, Mittwald, zoom etc.) erfahren Sie, wo Sie den entsprechenden AVV finden können und erhalten Hinweise zum Abschluss des AVVs. Die Übersicht wird fortlaufend aktualisiert, erhebt aber keinen Anspruch auf Vollständigkeit oder Richtigkeit.

Kein Verantwortlicher ermittelbar

Die Aufsichtsbehörde muss einen Sachverhalt ermitteln und alle zur Ermittlung und Überprüfung des Verstoßes erforderlichen Umstände aufklären. Dazu gehört auch die Klärung, wer den möglichen Datenschutzverstoß begangen hat. Aber: Lässt sich ein Verantwortlicher für den Datenschutzverstoß nicht feststellen, ist die Ergreifung von Abhilfemaßnahmen durch die Aufsichtsbehörde ausgeschlossen. Zu diesem Ergebnis kommt das Verwaltungsgericht (VG) Düsseldorf.

Aufbewahrungsfristen 2024

Die Tabelle mit über 200 Dokumentenarten

Welche Unterlagen dürfen im Jahr 2024 datenschutzkonform vernichtet werden? Welche müssen weiterhin aufbewahrt werden? Jedes Jahr die gleichen Fragen. Die Tabelle verschafft den Überblick für das Jahr 2024.

Videoüberwachung in Fitness-Studios

Das sagt die Rechtsprechung: Die Videoüberwachung im Bereich einer Umkleide, der Trainingsfläche und der Aufenthaltsbereiche in einem Fitnessstudio ist eine Datenschutzverletzung.

Ist die Fahrzeug-Identifizierungsnummer (FIN) ein „personenbezogenes Datum“ nach der DSGVO?

Fahrzeughersteller müssen unabhängigen Wirtschaftsakteuren Fahrzeug- Identifizierungsnummern bereitstellen. Ermöglicht diese Nummer, den Halter eines Fahrzeugs zu identifizieren, und stellt sie daher ein personenbezogenes Datum dar, ist diese Verpflichtung mit der Datenschutz-Grundverordnung (DSGVO) vereinbar.

Livestream-Unterricht in der Schule

Für Livestream-Unterricht während der Corona-Pandemie wurden Lehrer und Lehrerinnen im Land Hessen, im Gegensatz zu den Schülern, aufgrund einer nationalen Vorschrift, nicht nach ihrer Einwilligung in die Verarbeitung der personenbezogenen Daten gefragt. Hiergegen ging der Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium vor dem Verwaltungsgericht vor.