Autor: Stephan Hansen-Oest

Am 24.03.2026 haben die Office Hours für Profis für Datenschutz-PRO-Mitglied (auch Interesse an einer Mitgliedschaft? Mehr Infos hier) stattgefunden. Mit diesen Themen haben wir uns beschäftigt:

Hier sind die Überschriften als unnummerierte Liste:

• B2C-App und Bonitätsprüfung
• E-Mailer Deutsche Post
• Bonitätsprüfung Tierarztpraxis
• Rahmen-Auftragsverarbeitungsvertrag
• Einsatz von Bliro
• Hinweisegebersystem in der Unternehmensgruppe
• Verzicht auf Betroffenenrechte durch Vergleich
• Verantwortlichkeit des API-Anbieters
• Kundenzufriedenheitsumfragen
• Einsatz von Transkriptionstools im öffentlichen Bereich
• Auskunftsrecht an Schulen
• KI-Unterstützung bei Risikobewertungen
• Unternehmen geht mit Kanzleien gegen eigenen DSB vor
• Bestehen für Beschäftigte keine Datenschutzrisiken, wenn ein Betriebsrat existiert?
• Dienstleistungen in der Unternehmensgruppe – Auftragsverarbeitung?
• Scannen von ausgehenden Bilder- und Videos auf strafbare Inhalte in E-Mails
• Einordnung des Konzern-DSB in seiner Stellung bei Benennung für Unternehmen der Gruppe
• Datenschutz in der Mitarbeitervertretung – vergleichbar zum Betriebsrat?
• Kennzeichenerfassung bei Supermarktplatz zur Durchsetzung von Hausverboten
• Meldepflicht bei E-Mail-Fehlversand
• Nachträglich erkannt, dass Unternehmen KRITIS-pflichtig ist – was nun?
• Unzureichend gesicherter Briefkasten einer Arztpraxis
• Ausstieg eines Arztes aus der Gemeinschaftspraxis
• Unterlassungsansprüche gegen Blogger wegen verletzender Inhalte
• Vertragliche Regelungen mit Reinigungsunternehmen
• Externe Dienstleister einer Arztpraxis und § 203 StGB
• Cookies & WooCommerce
• Datenschutzschulungen und FernUSG
• Datenschutzschulungen und Verständnisfragen
• Einwilligung von Patienten erforderlich, wenn Weiterbehandler Befund-/Befundberichte an Hausarzt übermitteln möchte?
• Anzeige von Rufnummer des Auftraggebers durch Callcenter
• Datenschutz im Konzern mit BCRs für Beschäftigtendaten
• Berufung auf BCR und SCC in Unternehmensgruppe
• Freelancer als Unterauftragnehmer?
• Auswirkungen des geplanten, neuen § 30 Abs. 6 BDSG
• Kündigung des externen DSB – wie verhalten in Restlaufzeit?
• Verantwortlichkeit bei Mitarbeiterexzess
• Videoüberwachung im Sportverein
• Kündigungsschutz bei internen DSB
• Videoüberwachung in der Innenstadt – Datenschutzhinweise / Aufnahme des Fußwegs
• Schulungsplattform als Auftragsverarbeitung
• Backup-Lösungen in der Cloud mit US-Bezug
• Verschwiegenheitspflicht des DSB und Datenschutzberichte
• Rangordnung von rechtlichen Regelungen
• iFrames und Datenschutz
• Website für Datenschutz im HR-Bereich
• Auftragsverarbeitung bei Softwareentwicklung und -wartung
• Altersverifikation
• Verantwortlichkeit in bestimmten Situation
• Geschlechtsinformationen von neuen Beschäftigten auswerten

Hier finden Datenschutz-PRO-Mitglieder die Aufzeichnung der Office Hours für Beginner vom 10.03.2026.

Wir haben uns mit diesen Fragen beschäftigt:

• Meldepflicht bei verschollener Post
• WhatsApp-Nutzung im beruflichen Kontext
• Statik-Ingenieurbüro als Auftragsverarbeiter oder gemeinsam Verantwortlicher?
• Liste von Beschäftigten des Dienstleisters, die Datenzugriff haben, an Auftraggeber?
• Bildgebung im Krankenhaus für Belegarzt als eigene Verantwortlichkeit
• Reinigungsunternehmen in Arztpraxis – was ist zu regeln?
• Pflicht zur Datenschutz-Folgenabschätzung bei KI-gestützten Verarbeitungen?
• Meldepflicht (Art. 33 DSGVO) bei „bcc:"-Fällen
• Kontrolle von Auftragsverarbeiter für Anfänger:innen
• Nennung des DSB bei Veranstaltung
• Wie lange müssen Backups aufbewahrt werden?
• 3D-Druck bei Messe mit Daten von Jugendlichen
• Auskunftsanspruch eines Wohnungseigentümers: Hausverwaltung oder Messdienstleister?
• Personenbezug von IP-Adressen
• Muss bei Nutzung von KI-Anwendungen immer ein Auftragsverarbeitungsvertrag abgeschlossen werden?
• Auskunftsanspruch mit notarieller Vorsorgevollmacht?
• Geschäftsführung verweigert DSB Zugang zu Informationen
• Gemeinsame Verantwortlichkeit bei Englischunterricht durch Dienstleister
• Zwei DSB in einem Konzern?
• Nutzung von Login-Daten durch Software-Dienstleister für eigene Zwecke?
• Verantwortlichkeit bei Flurbereinigungsbehörde
• Speicherdauer von Schulungsnachweisen
• Auskunft über Unterauftragnehmer bei Auskunftsersuchen
• Speicherung von Browserverläufen
• Auskunftsersuchen durch Anwalt mit Fristsetzung im Kündigungsschutzverfahren
• Hinweisgeberschutzsystem durch Konzernmutter in den USA
• Interessenkonflikt: DSB und Personalrat
• Instagram-Fotos von Beschäftigen – Rechtsgrundlage
• Einwilligung in unverschlüsselte E-Mails?
• Regelung von Datenflüssen in größeren Unternehmensgruppen
• Webanalyse-Tools ohne Cookie-Banner
• Zugriff auf Videoüberwachungsdaten für externen Sicherheitsdienst
• Probleme eines Beschäftigten mit privater Kreditkarte
• Abfrage von privaten E-Mail-Adressen von Beschäftigten im Personalfragebogen
• Videoproduktion und Nutzungsrechte/Daten in öffentlichen Schulen
• YouTube-Account in Kita
• KI-Nutzung an Schulen
• Auskunftsanspruch einer gekündigten Person
• Personalverarbeitung im VVT – Rechtsgrundlage
• Audits durch interne DSB – wie vorgehen?
• Aufbewahrungsdauer schriftlicher Personalakten
• Namensangaben auf Zimmerübersicht im Pflegeheim
• Reichweite der Ausnahme bei VVT (Art. 30 Abs. 5 DSGVO)

Am 24.02.2026 haben die Office Hours für Profis stattgefunden. Wir haben uns mit diesen Themen beschäftig:

• Auftragsverarbeitungsvertrag bei Nutzung von Claude ohne personenbezogene Daten
• Google Workspace im Sportverein – keine Datenregion wählbar
• Auskunftsersuchen eines Beschäftigten bzgl. Beschwerde einer Kollegin
• Änderung des LDSG BW
• Datenschutzrechtliche Rollenverteilung bei medizinischen Dienstleistungen auf Website
• Speicherung des Personalausweises eines Beschäftigten eines privaten Bauunternehmens, der für eine öffentliche Stelle arbeiten soll
• Ernährungsberater:innen als mitwirkende Personen von Ärztinnen und Ärzten
• Reise- und Spesenplattform eines Konzerns im Drittland
• Freelancer aus Drittland als Auftragsverarbeiter oder Fall des Art. 29 DSGVO?
• Einsatz von SalesViewer
• Betroffene:r ruft seine Auskunftsdaten nicht ab
• Videoüberwachung Serverraum
• Öffentliche Stelle verlangt Einhaltung des LDSG von privatem Vertragspartner
• Auftragsverarbeiter als Verantwortlicher
• Rechtsanwaltkanzleien als Empfänger in der Auskunft nach Art. 15 DSGVO
• KI-Nutzung und personenbezogene Daten
• Rechtsgrundlage für Verarbeitung von Daten von Bewerber:innen
• Ansprache von Endkunden durch Auftragsverarbeiter
• DSFA bei KI-Einsatz zu Datenseparierung von Buchhaltungsdaten
• Einsatz von KI in Steuer- und Anwaltskanzlei
• Trennung von Cookie-Informationen und Datenschutzhinweisen
• Aushang von Datenschutzhinweisen
• Betroffenenrechte bei Videoaufzeichnungen von Meetings
• Verarbeitung von Daten mittels KI-System auf Grundlage einer Interessenabwägung
• Zweckänderung bei Datenübermittlung zwischen Behörden
• Newsletterversand per „stillschweigender Einwilligung“
• Datenübermittlung einer Fahrschule – Rechtsgrundlage Einwilligung?
• Mustervorlage für Risikobewertung bei einer Datenpanne?
• Verwertung von Informationen aus Endgeräten von Beschäftigten in Gerichtsverfahren
• E-Mail-Marketing im B2B-Umfeld mit berechtigtem Interesse?
• Meldung einer Datenpanne durch Auftragsverarbeiter
• Umgang mit TOMs in Auftragsverarbeitungsverträgen
• Datenpanne bei Steuerberater
• Aufzeichnung von Bewerbergesprächen
• Einträge in Personalakten
• Datenverarbeitung in Mexico auf Grundlage von Art. 49 Abs. 1 lit. b) DSGVO
• Weitergabe von Gutachten eines Bausachverständigen
• Sichere Übermittlung von Informationen an Aufsichtsbehörden
• Konkludente Einwilligung in Transkription –Ausschluss der Strafbarkeit?
• Verschwiegenheitspflichten in der Jugendhilfe
• Einsatz von Dashcams
• Zentraler E-Mail-Posteingang in Anwaltskanzleien
• Einsatz von „plaud“
• Löschen von Bewerbungsdaten
• Änderungen bei Google reCAPTCHA
• Verwertung von Videoüberwachungsmaßnahmen zum Nachweis von Pflichtverletzungen einer Reinigungsfirma
• Untersuchung von Audit-Logs bzgl. Abfluss von Daten

Datenschutz-PRO-Mitglieder (Auch Interesse? Hier gibt es mehr Infos) finden hier die Aufzeichnung der Office Hours für Beginner vom 10.02.2026.

Wir haben uns mit diesen Themen beschäftigt:

• Call-Tracking-Software
• Datenschutzhinweise für diverse Websites, Apps und Help-Center
• Reaktion auf Schreiben der Aufsichtsbehörde
• Verarbeitung von E-Mail-Adressen von Beschäftigten für Mitarbeiterbeteiligungen am Unternehmen
• Muss der DSB Fristen im Löschkonzept festlegen oder die Fachabteilung?
• Vorabprüfung von Auftragsverarbeitern vor Abschluss eines Auftragsverarbeitungsvertrages
• Lesezugriff von Krankenhauspersonal auf Arztpraxis-Informationssystem
• Neuerungen bei Google reCAPTCHA
• AI-Assistanz im Acrobat Reader
• Dienstleister nach abgeschlossenen Auftragsverarbeitungsverträgen fragen
• Meta-Ads: Übernahme von Daten ins CRM
• Auftragsverarbeitungsvertrag: Gegenstand der Verarbeitung für Social Media Agenturen
• Einsatz von Trustpilot in verbundenen Unternehmen
• Löschung von CV-Daten (u.a.) von ausgeschiedenen Beschäftigten
• Einbau einer Verschwiegenheitsverpflichtungsklausel in einen Auftragsverarbeitungsvertrag
• Zugriff auf E-Mail-Postfächer von ausgeschiedenen Beschäftigten
• Beantwortung von Auskunftsersuchen etc. durch Insolvenzverwalter
• Leistungsänderung im Auftragsverarbeitungsvertrag – wie zu regeln?
• Fotoveröffentlichtung: Einwilligung vs. Model-Release-Vertrag
• Druck von Namensschildern als Auftragsverarbeitung?
• Factorial HR-Software
• Verarbeitung von Art. 9-Daten durch Auftragsverarbeiter
• Konflikt mit Rechtsberatung durch DSB bei Anfragen
• Hubspot – Datenschutzkonformer Einsatz
• Verarbeitung von Notfallkontakten etc. und Art. 14 DSGVO
• Transkription im Beschäftigtenkontext
• Nutzung von Googler Workspace und Drittlandsverarbeitung
• Hinweis auf Verstoß gegen Lizenzbedingungen durch Beschäftigte
• Private E-Mail-Adresse für Schulungsplattform
• Kauf von E-Mail-Adressen – worauf ist zu achten?
• Datenschutzschulung: Verständnisfragen erforderlich?
• Intercom als Unterauftragnehmer
• Wir konkret müssen technische und organisatorische Maßnahmen in einem Auftragsverarbeitungsvertrag geregelt sein?
• Nutzung von Analytics-Tools bei Auftragsverarbeitern für eigene Zwecke
• Eigenes TOM-Dokument für jeden Standort?
• Nutzung von KI-Tools – besser über API?
• Drittlandsverarbeitung bei OpenAI Ireland
• Rechtskonformes Trainieren von KI-Tools möglich?
• Probleme beim Forenzugang
• Wie oft können Betroffene Auskunft pro Jahr verlangen?
• Übermittlung von Gesundheitsdaten per E-Mail bei Einwilligung der Patienten
• DSFA für Copilot durch Kanzlei – Stellungnahme des DSB erforderlich?
• Löschung von Bewerberdaten bei Initiativbewerbung
• Auftraggeber unterzeichnet den Auftragsverarbeitungsvertrag nicht bzw. reagiert nicht
• Bilddatenbank im Unternehmen mit Gesichtserkennung
• Anzeigepflicht bei Datenpanne, für die keine Verantwortlichkeit besteht
• Sozialarbeit und Schweigepflicht nach § 203 StGB – aber keine Zeugnisverweigerungspflicht
• AWS als Unterauftragnehmer bei DeepL
• Prüfung Auftragsverarbeitungsvertrag durch DSB – Zugriff auf den Hauptvertrag
• Agentur mit Zugriff auf Webserver – Berücksichtigung im Auftragsverarbeitungsvertrag
• Transparenz bei Zugriff auf E-Mail-Postfächer nach Ausscheiden von Beschäftigten
• Auskunfts- und Löschersuchen bzgl. Internetseite
• Rechtsgrundlage für Zugriff auf E-Mail-Postfach von ausgeschiedenen Beschäftigten
• Aktualisierung einer Vielzahl von (veralteten) Auftragsverarbeitungsverträgen
• Rechtsprechung des BGH zu Recht auf Erhalt einer Kopie bei E-Mails
• Zeitpunkt des Vertragsschluss bei einem Auftragsverarbeitungsvertrag
• Instragram-DMs bei Betreuung eines Arztprofils durch Agentur
• Facebook-Button und Datenschutzhinweise
• Einsatz des Meta-Pixels
• Ausmaß der Informationen von Betroffenen nach Art. 14 DSGVO