Autor: Stephan Hansen-Oest

Am 29.10.2025 haben die Office Hours für Profis stattgefunden.

Hier findest du eine Übersicht der Themen:

Anonymisierung & Drittlandübermittlung

Anonymisierung chinesischer Mutterkonzern: Anonymisierung als DSGVO-Datenverarbeitung – Rechtsgrundlage erforderlich, Informationspflichten zu beachten. Transfer anonymisierter Finanzdaten nach China rechtlich kritisch, mildere Mittel verfügbar.

Technische & Organisatorische Maßnahmen (TOMs)

TOM-Prüfung bei AVV: Bedarf an Best Practices und Vorlagen für TOM-Bewertung, Rolle des Informationssicherheitsbeauftragten, technisches Know-how-Defizit.

Überzogene TOM-Anforderungen: DSB stellt exzessive Detailfragen zu Datenträgervernichtung, Remote-Work-Richtlinien trotz fehlender Art. 9-Daten. Stichwort-TOMs werden als unzureichend kritisiert.

Auftragsverarbeitung (AVV)

Rahmen-AVV für Web-Agentur: Übergang von individuellen zu Rahmen-AVV mit Spezifizierungen, Handhabung bei Neu- und Altkunden.

Cloud-Passwort-Manager: AVV-Konstellation bei IT-Dienstleister als Vermittler mit eigenem Zugriff auf Kundenverwaltung.

Ticketsystem als Unterauftrag: Nennung externer Ticketsystems als Unterauftragsverarbeiter im Kunden-AVV erforderlich oder nur internes Tool.

Microsoft/Google als Unterauftragnehmer: Ablehnungsgründe für US-Cloud-Anbieter als Unterauftragsverarbeiter, Begründung gegenüber Auftragsverarbeitern.

AVV-Übertragung bei Umstrukturierung: Übergang von Auftragsverarbeitungsverträgen bei Teilbetriebsübergang von Alpha zu Beta-Gesellschaft.

Freelancer als Unterauftragsverarbeiter: Rechtliche Einordnung und AVV-Nennung von Freelancern, Art. 29 DSGVO-Bewertung.

Datenfreigabe & Sharing

Connect-Plattform Maschinendaten: Freiwillige Datenfreigabe zwischen Nutzern, Einwilligungserfordernis für sendenden Nutzer.

Kanzlei-Netzwerk: Gemeinsamer Datenzugriff verschiedener Gesellschaften durch Einwilligung und Zugriffsrechte.

Büro-Sharing verschiedener Unternehmen: DSFA-Erfordernis bei geteilter Infrastruktur, technische und organisatorische Schutzmaßnahmen.

SaaS & Cloud-Services

SaaS-Pakete für Privatpersonen: Free-Package-Nutzung durch Privatpersonen, AVV/AGB-Problematik, Stellvertretungsrecht-Garantien.

AI Assistant mit Kundendaten: Datenauswertung für Empfehlungen, Anonymisierung, Art. 6 lit. f) DSGVO -Argumentation.

Art. 9-Daten in Freitextfeldern: TOM-Anforderungen für theoretisch mögliche besondere Kategorien trotz fehlender Verwendung.

Lead-Generierung & Marketing

B2B-Lead-Generierung: AVV-Verhältnis, Art. 6 lit. f als Rechtsgrundlage, UWG-konforme Ansprache.

Werbeanzeigenschaltung: Lead-Einsicht als Auftragsverarbeitung.

Akquise-Veranstaltungen: Datenschutzaspekte bei Mandantengewinnung.

Auskunfts- & Informationspflichten

Art. 15-Anfrage ehemalige Mitarbeiterin: Auskunftspflicht über externe Accounts mit Firmen-E-Mail.

Datenschutzhinweise Bewerbermanagement: Einheitliche Formulierung für Mutter- und Tochtergesellschaften.

WhatsApp-Kanal: Personenbezug durch Admin-Einsicht, Informationspflichten.

Spezielle Anwendungsfälle

Fernunterrichtsschutzgesetz: DS-Schulungen via Learndash, BGH-Urteil-Relevanz.

Zeiterfassungs-App BYOD: Private Smartphones, Einwilligung vs. BYOD-Vereinbarung.

Versicherungsmakler-Datenweitergabe: Übermittlung an GKV-Spezialist, Einwilligungserfordernis.

Personalsuche-Beratung: Datenverantwortlichkeit bei Bewerbungsverarbeitung durch Beratungsunternehmen.

Analytics consent-less: TTDSG-konforme Einbindung, Local Storage-Problematik.

Compliance & Kontrolle

Auftragskontrolle: Zweijährige vs. jährliche Prüfung, Vodafone-Bußgeld-Bezug.

DSMS-Tool: Empfehlung für 20+ Mandanten-Management.

Meldepflichtige Vorfälle: DSB vs. externer Anwalt-Zuständigkeit.

§ 25 BDSG: Anwendung auf EU/EWR-Übermittlungen vs. nur deutsche Stellen.

Hier finden Datenschutz-PRO-Mitglieder eine Aufzeichnung der Office Hours für Beginner vom 07.10.2025.

Hier eine Zusammenstellung der Themen:

Technologie & Digitalisierung

• BYOD-Problematik: Outlook-Kontakte und iCloud/Google-Synchronisation
• Digitalisierung des Offboarding-Prozesses (E-Mail vs. postalische Zustellung)
• KI-Tools in Verarbeitungsverzeichnissen und DSFA-Pflicht
• Microsoft Copilot Muster und KI-Richtlinien
• Telefon-KI: Aufzeichnung, Löschung und DSFA-Anforderungen
• KI für Berufsgeheimnisträger
• Übersetzungstools (Deepl Voice) und biometrische Daten
• KI-generierter Code: Eigentum und Haftung
• NDAs und KI-Tool-Nutzung

Auftragsverarbeitung & Verantwortlichkeiten

• Marktforschungsinstitut: gemeinsame Verantwortung vs. Auftragsverarbeitung
• Sprachschule als Auftragsverarbeiter im Learning-System
• Forschungsinstitut und externes Umfrageinstitut
• IT-Support und Datenschutzverletzung-Meldungen
• Payroll Provider mit länderübergreifenden Zugriffsmöglichkeiten
• Bürogemeinschaft: AVV vs. gemeinsame Verantwortung
• Auftragsverarbeiter: eigenständige Löschpflichten
• AVV mit US-Support-Regelungen

Pseudonymisierung & Anonymisierung

• KI-Einsatz mit Pseudonymisierungsdienstleister
• Testsystem mit pseudonymisierten Echtdaten
• EuGH-Urteil zur Pseudonymisierung und US-Tools
• Heilpraktiker: pseudonymisierte Gesundheitsdaten an US-Tools

Medizin & Gesundheitswesen

• Krankenakte: Aufbewahrungsfristen nach § 630f BGB
• Patientenakte als Art. 15 DSGVO-Auskunft
• Elektronische Patientenakte: Datenschutzhinweise und Pflegeeinrichtungen
• Agentur für Arztwebseite: Log-Daten als potenzielle Gesundheitsdaten
• Ende der Behandlung bei wiederholten Besuchen

Arbeitsrecht & HR

• Mitarbeiterbeteiligungen: Rechtsgrundlagen für Angebote und Erinnerungen
• Private IT-Nutzung bei Beschäftigungsende
• Gehaltsdaten-Weitergabe durch Abteilungsleiter
• Gruppenfotos auf Firmenwebseite
• Personalausweiskopien bei Wohnungsgenossenschaften

Videoüberwachung

• Hinweisschilder: berechtigte Interessen detailliert vs. allgemein
• Speicherdauer: 48/72 Stunden vs. 14 Tage
• Betriebsrat-/Personalrat-Mitbestimmung
• Tonaufzeichnungen bei Videoüberwachung

Internationale Aspekte

• Indien als unsicheres Drittland: Permanent Establishment
• Türkei KVKK: Verbis-Registrierungspflicht
• Art. 6 Abs. 1 lit. f DSGVO: BGH vs. andere EU-Mitgliedstaaten

Organisatorisches & Prozesse

• DSB-Meetings: Organisation mit erweiterten Teilnehmerkreis
• DSMS-Umsetzung in KMU
• ISO 27001 Rechtskataster
• LMS-Betrieb und BGH-Urteil-Risiko

Webseiten & Online-Auftritte

• Datenschutz/Impressum: Ein-Klick-Erreichbarkeit
• Anmeldeschirm: "Benutzer existiert/existiert nicht"-Meldungen
• Private Internetnutzung: Browserverlauf-Problematik

Auskunftsrechte & Beschwerden

• Querulant mit wiederholten Auskunftsanfragen
• Vollständige vs. unvollständige Auskunftserteilung
• Akteneinsicht und Fristverlängerungen

Sonstiges

• Speicherdauer für nicht angenommene Angebote
• Externer DSB: Newsletter/Warnmails ohne Einwilligung
• Verbrauchsdatenerfassung: Informationspflichten
• Spediteur: falsche Zustelldaten und Haftung
• Digitale vs. postalische Arbeitszeugnisse

Hier finden Datenschutz-PRO-Mitglieder eine Aufzeichnung der Office Hours. Hier ist eine Übersicht der Themen, die wir besprochen haben:

Datenschutzbeauftragte & Beratung

• DSB-Wechsel bei laufenden Verträgen und Beratung ohne offizielles Mandat
• Rechtliche Beratung durch DSB zu AI Act, Data Act, NIS2, DORA
• Schulungsplattformen und BGH-Rechtsprechung zum Fernunterricht

Auskunftsrechte & Betroffenenrechte

• Art. 15 DSGVO bei Tageszeitungen und Online-Archiven
• Auslassen spezifischer Identifier in Betroffenenauskunft
• Arbeitszeugnis an falsche Person – Meldepflichten

Elektronische Patientenakte (ePA)

• Einwilligungspflicht für Arztpraxen
• Integration in bestehende Einwilligungen
• Anpassung der Datenschutzhinweise

Auftragsverarbeitung (AVV)

• Berufsgeheimnisträger und § 203 StGB-Klauseln
• Kritische Vertragsklauseln und Interessenkonflikte
• TÜV-Wartung: Auftragsverarbeitung vs. Nebentätigkeit
• Personalrat IT-Infrastruktur und Adminrechte

KI & Technologie

• Microsoft Copilot Recherche-Agent und pbD-Eingabe
• ChatGPT mit AVV-Vertrag
• Business GPT der Telekom
• Pseudonymisierung mit Tobit Sidekick
• Telefon-KI mit Echtzeitverarbeitung
• Interner Chatbot mit Feedback-System

Videoüberwachung & DSFA

• Betriebsrat vs. Arbeitgeber bei Videoüberwachung
• DSFA-Pflicht bei SAP SuccessFactors
• Teams-Aufzeichnungen von Betriebsversammlungen

Microsoft 365 & Cloud-Services

• DSGVO-konforme Tenant-Settings
• Business Premium im Kinderschutz-Kontext
• Office 365 für Versicherungsmakler mit BaFin/DORA

Marketing & Tracking

• Newsletter-Tracking und Einwilligung
• Google Tag Manager mit/ohne Matomo
• PV-Anlagen Werbung und Abmeldeprobleme
• TikTok-Nutzung im Unternehmen

Spezielle Branchen & Bereiche

• Jugendhilfe: Berufsgeheimnisschutz und Teams
• Hotel-Datenschutzschulungen
• Forschungsprojekte und Anonymisierung
• Versicherungsmakler und DORA-Compliance
• Mandantenportale mit Dritten ohne Einwilligung

Rechtliche Updates & Urteile

• EuGH-Urteil zum relativen Personenbezug (C-413/23 P)
• EU Data Act Pflichtinformationen
• Social Media Fotos nach DPF-Zertifizierung
• Berechtigtes Interesse und Mitteilungspflichten

Praktische Compliance-Fragen

• Einwilligungen: Original vs. PDF-Aufbewahrung
• Kontaktformulare ohne Einwilligung
• E-Mail Footer Vertraulichkeitsklauseln
• Personalakten: Löschung vs. Archivierung
• Externe Hardware als "Verarbeitung"
• Foto-Bearbeitung bei Mitarbeiterbildern

Besondere Situationen

• Nachruf verstorbener Mitarbeiter
• Partei-Mitgliedschaften und Auskunftspflichten
• Geheimschutz- und Datenschutzvorfälle
• Terminkalender von Behördenleitungen
• Interne Untersuchungen und Interviews
• Pocketbooks für handschriftliche Protokolle

In den Office Hours für Beginner haben wir uns u.a. mit diesen Themen beschäftigt:

• Hosting & Drittlandtransfers: Webseiten bei US-Anbietern (z. B. Webflow), SaaS-Dienste in den USA, DPF-Problematik.
• Auftragsverarbeitung (AVV): Notwendigkeit bei Reinigungskräften, Fernwartung, Wartungssystemen, Schwerpunkttheorie, AVV in AGB, DSB-Tätigkeit für Tochtergesellschaften, Subdienstleister in Drittstaaten, Installateur mit Zugriff auf Videoüberwachung.
• KI & neue Technologien: Einsatz von KI-Lösungen (Integration, Empfehlungen, DSFA), interne KI-Systeme, Personio/Arbeitskleidung-Portale, Telefon-KI, Plaud.ai.
• Beschäftigtendatenschutz: Führungszeugnisse (Kopien vs. Vorzeigen), Persönlichkeitsanalysen, Informationspflichten für Beschäftigte, digitale Personalakte, peopleDoc/Gehaltsabrechnungen, IT-Dokumente in Personalakte, private Mailnutzung.
• Medizin & Gesundheitswesen: Arzt/Labor/Wartungssysteme, belegärztliche Tätigkeit im Krankenhaus, Patientenakte (PVS-Wechsel, ePA).
• Einwilligung & Transparenz: Talentpool Universitäten, WhatsApp-Erinnerungen, Videoüberwachung (Hinweisschilder, berechtigtes Interesse), Schwerpunkttheorie-Quellen.
• Spezialfälle & Praxisfragen: Xing/LinkedIn-Recruiting, Theater-Ticketshop, Hotel-Buchungsmaschine, Löschersuchen (z. B. via MINE), Auskunftsersuchen (Art. 15, auch zu einzelnen Mitarbeitern), Beschwerdebriefe Nachbarn/Verein, WEG-Datenweitergabe.
• Praktische Umsetzung: Datenschutzhandbuch im Unternehmen anpassen, Kontrollpläne für DSB, Umgang mit AV-Verträgen in Word, Dokumentation bei Datenpannen, Umgang mit Schadensersatzforderungen.
• Rechtsgrundlagen-Fragen: Beschäftigtenüberwachung (Detektei), Gutachter, DSFA bei SharePoint, Videoüberwachung (Tonaufnahme), Rechtsgrundlagen für Datenübermittlung/Archivierung.