Beiträge

Hier finden Datenschutz-PRO-Mitglieder die Aufzeichnung der Office Hours für Profis vom 17.12.2025. Auch Interesse an der Mitgliedschaft? Dann gibt es hier weitere Informationen.

Es ging u.a. um diese Themen:

Datenschutz im KRITIS-Bereich

Tipps und Literatur für Datenschutz im KRITIS-Bereich.

Geltungsbereich von NIS-2

Gilt die Mindest-Mitarbeiter- bzw. Umsatzzahl für das Gesamtunternehmen oder nur für den Geschäftsbereich, der unter NIS-2 fällt?

Gehaltsabrechnungen und Verschwiegenheitserklärung

Ist ein AV-Vertrag nötig, wenn ein ehemaliger Banker Gehaltsabrechnungen erstellt? Muss eine Original-Unterschrift für die Verschwiegenheitserklärung aufbewahrt werden oder reicht ein eingescanntes Exemplar?

Privatnutzung betrieblicher Kommunikationsmittel

Regelung der Weiterleitung von E-Mails bei Abwesenheit der Mitarbeitenden.

Sub-Auftragsverarbeiter in AV-Verträgen

Welche Dienstleister gehören als „Sub-AV“ in einen AV-Vertrag?

Annex zum AV-Vertrag für Berufsgeheimnisträger

Ist der vorgeschlagene Annex zum AV-Vertrag ausreichend?

Videoüberwachung im Kassenbereich

Gibt es spezielle Regelungen für Mitarbeitende im Kassenbereich bezüglich Videoüberwachung?

Werbliche Ansprache an Bestandskunden

Ist eine Einwilligung für das Zusenden eines E-Books nach Eingabe der E-Mail-Adresse nötig?

Zusammenarbeit mit Versicherungsmaklern

Müssen Arztpraxen mit Versicherungsmaklern einen AVV abschließen?

IT-Dienstleister für Telefonanlage

Ist ein AVV nötig, wenn ein IT-Dienstleister die Telefonanlage einer Arztpraxis betreut?

Datenschutzhinweise für MS Transkription

Müssen eigene Datenschutzhinweise für MS Transkription erstellt werden und wie sollten diese bereitgestellt werden?

Verwendung von Bildern auf Webseiten

Was ist zu beachten, wenn man ein Bild von einem Partner/Kunden auf dessen eigener Webseite verwenden möchte?

Gemeinsame Nutzung von Intranet im Konzern

Berechtigtes Interesse bei Konzerngesellschaften mit unterschiedlicher Beteiligung.

Nachfragen beim Kunden zum AVV

Können Nachfragen zusammen mit dem AVV abgelegt werden, um Probleme/Widersprüche im AVV zu heilen?

Wegfall des § 38 (1) BDSG

Auswirkungen des vermutlichen Wegfalls des § 38 (1) BDSG auf Datenschutzbeauftragte.

Veröffentlichung von Personenfotos und -filmen

Reicht eine schriftliche Bestätigung der Nutzungsrechte durch den Auftraggeber aus oder muss die Agentur weitere Punkte klären?

Datenabfluss bei einem Rechtsanwalt

Muss der Mandant die Datenschutzaufsichtsbehörde informieren und die Beschäftigten benachrichtigen?

Links in Datenschutzerklärungen

Müssen die Links in einer Datenschutzerklärung klickbar sein?

Zugriff des Betriebsrats auf Bewerbertools

Darf der Betriebsrat vollständigen Zugriff auf ein Bewerbertool erhalten?

Unterschriften in Auftragsverarbeitungsverträgen

Müssen AV-Verträge immer auch vom Auftraggeber unterschrieben werden?

Auskunftsersuchen einer ehemals beschäftigten Person

Kann die Auskunft verweigert werden, wenn das Auskunftsverlangen nicht konkretisiert wird? Müssen alle E-Mails der letzten 6 Jahre bereitgestellt werden? Ist von einem „exzessiven Antrag“ gem. Art. 12 Abs. 5 auszugehen?

Zusammenarbeit zwischen HNO-Praxis und Schlaflabor

Handelt es sich um zwei unabhängig Verantwortliche oder ist ein AVV oder JC-Vertrag nötig?

Cookies im Intranet einer Behörde

Rechtsgrundlage für die Verwendung nicht zwingend erforderlicher Cookies im Intranet einer Behörde.

Telefon-Coaching mit Mithören des Coaches

Liegt ein meldepflichtiger Datenschutz-Verstoß vor, wenn das Mithören des Coaches nicht mitgeteilt wurde?

Rolle des DSB als HinSchG-Beauftragter

Kann ein DSB auch die Rolle des HinSchG-Beauftragten übernehmen?

TOM in AVVs

Gibt es konkrete Urteile zum Detaillierungsgrad von TOM in AVVs?

Zeiterfassungssoftware mit App

Ist eine Einwilligung nötig, wenn Mitarbeiter freiwillig eine App auf ihrem privaten Smartphone für die Zeiterfassung nutzen?

Beratung eines Vereins ohne Benennung als DSB

Darf ein DSB einen Verein betreffend der Datenschutzhinweise für ihre Webseite beraten, ohne für diesen Verein als DSB benannt zu sein?

ChatBot für Transkription und Zusammenfassung von Besprechungen

Datenschutzrechtliche Einschätzung und mögliche Pflichten nach AI Act.

Private E-Mail-Nutzung mit Einwilligung

Regelung der Weiterleitung von E-Mails bei Widerruf der Einwilligung.

Stichproben zur Überprüfung des Verbots der privaten E-Mail-Nutzung

Sind IT-seitige Stichproben erlaubt, wenn die private E-Mail-Nutzung im Unternehmen untersagt ist?

Datenübermittlung an den Personalrat

Darf der Personalrat eine Liste aller freien Mitarbeiter mit persönlichen Daten verlangen?

Einführung eines SIEM

Muss man die Mitarbeitenden über die Verarbeitung ihrer Daten durch ein SIEM informieren?

Datenschutzhinweise für die elektronische Patientenakte (ePA)

Kann man die vorgeschlagenen Datenschutzhinweise für die ePA so in die Datenschutzhinweise der Praxis hinzufügen?

Kontoprüfung durch die Deutsche Bank

Rechtsgrundlage für die Weitergabe von Kontodaten an die Deutsche Bank.

Löschung personenbezogener Daten und Information Dritter

Muss man Dritte informieren, wenn personenbezogene Daten gelöscht werden müssen?

Aufhängen von Dankes-Gruß-Karten im Wartezimmer

Darf ein Arzt im Wartezimmer alle Dankes-Gruß-Karten aufhängen, so dass jeder lesen kann, wer dort Patient ist?

Videoüberwachung im Kassenbereich und Vereinbarungen mit Mitarbeitern

Gibt es spezielle Vereinbarungen mit den Mitarbeitern zu regeln, da sie sich an der Kasse nicht aus dem Sichtfeld nehmen können?

Verschwiegenheits- und Verwertungsverbote nach §§ 203 und 204 StGB

Bewertung des Passus zur Ergänzung des Musters für Reinigungsunternehmen für Arztpraxen.

AV-Verträge in ChatGPT zur Prüfung hochladen

Darf man AV-Verträge in ChatGPT zur Prüfung hochladen, wenn man die Daten schwärzt?

EuGH-Urteil zur mündlichen Übermittlung von personenbezogenen Daten

Interpretation des EuGH-Urteils vom 7.3.2024 C-740/22.

Permanenter Zugriff des Betriebsrats auf Arbeits- und Abwesenheitszeiten

Beurteilung des permanenten Zugriffs des Betriebsrats auf Arbeits- und Abwesenheitszeiten.

DSB als KI-Beauftragter

Kann ein DSB auch als KI-Beauftragter benannt werden?

Beitrittsklausel in AVV

Ist eine Beitrittsklausel anstelle einer Unterauftragnehmerklausel in einem AVV möglich?

Hier finden Datenschutz-PRO-Mitglieder die Aufzeichnung der Office Hours für Beginner vom 02.12.2025. Wir haben uns u.a. mit diesen Themen beschäftigt:

• Nutzung von KI im Unternehmen mit personenbezogenen Daten
• Double Opt-In Abfrage in WordPress
• Rechtsgrundlagen nach § 25 TDDDG im Verhältnis zur DSGVO
• Rahmen AV und Konkretisierung in der Auftragsbestätigung
• Auftragsverarbeitung bei Anzeigenschaltung
• Auftragsverarbeitung bei Wartung von Röntgengeräten
• Berufshaftpflicht für internen Datenschutzbeauftragten
• Datenschutzrechtliche Aspekte von WhatsApp Business
• Veröffentlichung von Geburtstagen im Firmenjournal
• Nutzung von Trustpilot und Double Opt-In
• Technisch notwendige Cookies im Consent Manager
• Datenverarbeitung bei Bewirtungen
• Nutzung der Fundraisingbox und berechtigtes Interesse
• Anbieter Logicc und Eingabe personenbezogener Daten
• Unterschiede zwischen Cookies und Einbettungen im Consent Manager
• Auftragsverarbeitungsvertrag mit ChatGPT
• Sicherheitsgründe für Atlassian Produkte on premise
• Abmahnungen von Werbemails reduzieren
• Vorausfüllen von Kontaktdaten in Kontakt-Formular
• Fernmeldegeheimnis und private E-Mail- und Internetnutzung am Arbeitsplatz
• Testsysteme und personenbezogene Daten
• Local Storage im Consent Manager
• Datenschutzhinweise bei Einbindung von Dritten
• Bereitstellung von Fotos der Weihnachtsfeier
• Cookies und spezifische Tools in Datenschutzhinweisen
• Haftung als stellvertretender Datenschutzbeauftragter
• Rücksendung von USB-Stick mit personenbezogenen Daten
• Einwilligung für Fotos in Willkommensmail
• Desksharing und Auftragsverarbeitung
• Schutz von Mitarbeiterdaten in Google-Bewertungen
• Zero Retention Policy bei KI-Modellanbietern
• Nutzung von Ollama und Auftragsverarbeitung
• Nutzung von KI-Systemen im Unternehmen
• Privatnutzung von E-Mail-Accounts
• Bereitstellung von Datenschutzhinweisen für neue Mitarbeiter
• Echte Kundendaten auf Testsystemen
• Datenverarbeitung bei Rücksetzung von Laptops
• Google “Erweiterte Conversions” und Datenschutz
• Datenschutzhinweise im Mitarbeiter-Portal

Am 26.11 haben die Office Hours für Profis stattgefunden. Datenschutz-PRO-Mitglieder finden die Aufzeichnung hier.

Hier ist eine Übersicht der Themen, mit denen wir uns unter anderem beschäftigt haben:

1. Cloud-Dienste und US-Tools

Google Workspace für Vereine, Microsoft 365-Migration, Google Analytics vs. Matomo, Google Tag Manager, Zoom – Fragen zu Drittlandübermittlung, AVV-Abschluss, EU-Hosting bei US-Anbietern und Cloud Act-Problematik

2. Auftragsverarbeitung und Verantwortlichkeiten

Abgrenzung Auftragsverarbeiter vs. gemeinsame Verantwortliche (insb. bei Google-Diensten), Subunternehmer nach Art. 28 vs. Art. 29, AVV-Gestaltung, Rolle des DSB bei Vertragsanpassungen

3. Betroffenenrechte (Auskunft, Löschung, Widerruf)

Umfang der Auskunftspflicht bei Bewerbern und Mitarbeitern (interne Notizen, Protokolle, Log-Daten), Löschfristen vs. Aufbewahrungspflichten, rechtsmissbräuchliche Anfragen, Widerruf von Einwilligungen

4. Mitarbeiterdatenschutz und Arbeitgeber-Befugnisse

Zugriff auf E-Mails und Dateien bei privater Nutzung, Überwachung von Browser und Internet, GPS-Tracking von Außendienstmitarbeitern, 2FA-Apps auf Privatgeräten, Kontaktdatenaufbewahrung

5. Marketing, Newsletter und Einwilligungen

Double Opt-In-Verfahren, Abmeldemöglichkeiten, Transaktionslogs, WhatsApp Business vs. API, Gewinnspiele, Kaltakquise in den USA, Visitenkarten-Verarbeitung

6. Datenschutz-Folgenabschätzung (DSFA)

DSFA-Pflicht bei Kundensegmentierung, Bilddatenbanken mit Gesichtserkennung, Videoaufnahmen therapeutischer Gespräche mit Minderjährigen, GPS-Tracking

7. Besondere Kategorien personenbezogener Daten (Art. 9)

Gesundheitsdaten in Vereinen und Gastronomie/Hotellerie, Gesichtserkennung in Bilddatenbanken, therapeutische Videoaufnahmen, Rechtsgrundlagen nach Art. 9 Abs. 2

8. Datenweitergabe und Geschäftsübergänge

Kundendatenübertragung bei Geschäftsaufgabe (E-Mobility), Provisionsstatistiken mit Personenbezug, Datenübermittlung an US-Tochtergesellschaft, Paygate-Systeme und Kreditkartenabwicklung

Am 04.11.2025 haben die Office Hours für Beginner stattgefunden. Und hier ist eine Übersicht der Themen, die besprochen wurden:

1. Drohnen und Datenschutz

Die Nutzung von Drohnen zur Überprüfung von Leitungen wird hinsichtlich des Datenschutzes betrachtet. Unklar ist, wie mit Überflügen in Wohngebieten und der Information der Haushalte umgegangen werden sollte.

2. Datenschutz in der Hotellerie

Schulungsinhalte für die Hotellerie zu CRM-Systemen und zur Speicherung persönlicher Daten (z. B. Passkopien gemäß Bundesmeldegesetz) sollen vertieft sowie praxisnahe Beispiele angeboten werden.

3. Datenschutz bei B2B-Telefonberatung

Fragen zur Beachtung von Datenminimierung, Speicherung personenbezogener Daten (pbD) und zur korrekten Handhabung von Informationen, die Beratende während Gesprächen preisgeben.

4. Bewerber-Datenschutz

Praxisfragen zu Datenschutzhinweisen für Bewerber und wie diese rechtzeitig vor Datenverarbeitung bereitgestellt werden sollten.

5. Widerruf von Einwilligungen zu Foto- und Videomaterial

Klärung, ob bei einem Widerruf der Einwilligung auch bereits veröffentlichtes Videomaterial angepasst werden muss.

6. Externer DSB: Schulungen und Pflichten

Ob ein externer Datenschutzbeauftragter Schulungen (z. B. via E-Learning) anbieten und im Vertrag darauf hinweisen darf. Weiterhin: Informationen, die zur Nennung von DSBs auf Webseiten erforderlich sind.

7. Datenübertragungen im medizinischen Umfeld

Technische und datenschutzrechtliche Bewertung von Übertragungen sensibler Patientendaten über URLs.

8. Website-Hosting und Datenschutzerklärung

Fraglich ist, ob der direkte Hoster oder dessen Subunternehmer in der Datenschutzerklärung erwähnt werden muss.

9. KI-Plattformen ohne Auftragsverarbeitungsvertrag

Ist ein AV-Vertrag notwendig, wenn ein Anbieter von KI-Plattformen Daten verschlüsselt und eigenen Zugriff ausschließt, diese aber durch Dritte verarbeitet werden?

10. Consent Manager und Transparenz

Ob invasive Tools wie Google Analytics in einem Consent Manager auf der ersten Ebene genannt werden sollten, um eine informierte Einwilligung zu gewährleisten.

11. Einsatz von Glean AI

Bewertung neuer Technologien wie Glean AI hinsichtlich möglicher Zweckänderungen in der Datenverarbeitung, ihrer Nutzung als Pflichtsoftware und rechtlicher Konsequenzen bei Agenten-Erstellung.

12. Datenschutz und ChatGPT

Rechtliche Fragen zur Verwendung von ChatGPT für AV-Verträge, inkl. Abschluss eines AV-Vertrags und Hochladen sensibler Informationen zur Analyse.

13. Beratungsakten bei B2B-Dienstleistungen

Rechtsgrundlage zur Führung von Beratungsakten und Klärung der Verantwortlichkeit bei teilnehmenden Honorarkräften in B2B-Beratungsprojekten.

14. Kameraüberwachung in gefährdeten Arbeitsbereichen

Abwägung der Verhältnismäßigkeit von Videoüberwachung in sicherheitskritischen Bereichen (z. B. wegen Brandrisiko) und mögliche Alternativen wie Kameraattrappen.

15. Datenschutz bei der Einbindung von Maklern

Fraglich ist, ob bei der Einbindung von Maklern bei betrieblicher Altersvorsorge Einwilligungen nötig sind oder andere Rechtsgrundlagen denkbar wären.

16. Identitätsprüfung bei Auskunftsersuchen

Empfehlungen zum Umgang mit unklaren Identitäten bei Auskunftsanfragen, insbesondere bei abweichenden Personalien.

17. GPS-Tracking von LKW im Konzern

Bewertung der Zulässigkeit von konzernweiten Zugriffsrechten auf Standortdaten von LKW-Fahrern.

18. Datenübertragung vor Umfirmierung

Fraglich ist, ob Beschäftigtendaten vorab aus berechtigtem Interesse bereitgestellt werden können, um beim Übergang auf ein Käuferunternehmen genutzt zu werden.

19. KI in der Arztpraxis

Bewertung der Datenschutzanforderungen eines KI-Dokumentationsassistenten, der Arztgespräche transkribiert und analysiert. Berücksichtigte Aspekte: Einwilligung, DSFA, Informationen und rechtliche Grundlagen.

20. Videoüberwachung: Hinweisschilder und Betroffenenrechte

Klärung, ob bei Videoüberwachungs-Hinweisblättern die Betroffenenrechte im Detail aufgeführt sein müssen oder ein Verweis darauf genügt.

21. AVV bei Domain-Registratoren

Frage nach der Notwendigkeit eines Auftragsverarbeitungsvertrags mit einem Domain-Registrator.

22. Einschränkungen für KI-Nutzung durch Mitarbeitende

Darf ein Arbeitgeber Mitarbeitende daran hindern, KI-Tools wie ChatGPT auf Firmenlaptops selbst für rein private Zwecke zu nutzen?

23. Datenschutzaudits: Zuständigkeiten

Wer darf Datenschutzaudits anordnen, durchführen und welche Zuständigkeiten hat ein DSB dabei?

24. Drohnenflüge und Speicherung von Aufnahmen

Praktische Fragen zu Drohnenüberflügen, insbesondere zur Speicherung von Aufnahmen und möglichen datenschutzkonformen Maßnahmen wie der Unkenntlichmachung von Personen.

25. Zurückgezogene DIN 66399

Diskrepanz zwischen Angaben zur Rücknahme der DIN-Norm und der aktuellen Praxis bei Datenschutzbehörden.

26. DSB-Vertretung bei Abwesenheit

Praktische Aspekte der Urlaubsvertretung für DSBs, z. B. bezüglich des Zugriffs auf das datenschutzbezogene Postfach und die Wahrung der Vertraulichkeit.

27. AVV und Softwareanbieter

Eignung eines Auftragsverarbeitungsvertrags für Software, die personenbezogene Daten verarbeiten könnte, und die Anforderungen an den Anbieter.

28. DSB-Beratung: Zulässigkeit

Abgrenzung zwischen rechtsberatender Tätigkeit und datenschutzrechtlicher Beratung durch Datenschutzbeauftragte.

29. Verifizierung von Kunden durch Drittanbieter

Rechtsfragen zur Verantwortlichkeit bei der Zusammenarbeit mit externen Verifizierungsdienstleistern.

30. Aufbewahrung von Auskunftskopien

Diskussion über die rechtliche Zulässigkeit der Speicherung vollständiger Auskunftskopien und alternativer Methoden wie pseudonymisierte Protokollierung.

31. SCHUFA-Auskunft für Berater

Ist die Anfrage nach einer SCHUFA-Auskunft für Berater durch Banken im Rahmen eines Kundenprojekts datenschutzrechtlich zulässig?

32. Versäumnis von DSFA nach DSGVO

Wie sollte ein neuer DSB vorgehen, wenn festgestellt wird, dass datenschutzrechtlich erforderliche DSFAs nicht durchgeführt wurden?

33. Elektronische Patientenakten und Datenschutzhinweise

Warum sollen Verantwortliche Informationen zur elektronischen Patientenakte in ihre Datenschutzhinweise aufnehmen, obwohl sie dafür nicht direkt zuständig sind?

34. Schulungsvideos: Umgang mit Audioaufzeichnungen

Klärung, ob Audioaufnahmen für Schulungsvideos unter die Regelungen für Gesundheitsdaten (Art. 9 DSGVO) fallen.

35. KI-Tools mit Mitarbeiter-Login: Datenverantwortung und Rechte

Rechtsgrundlage und datenschutzrechtliche Verantwortlichkeiten bei der Verwendung personalisierter KI-Tools durch Mitarbeitende.

36. Automatisierung bei Auskunftsanfragen

Einsatz von Tools zur datenschutzkonformen Anonymisierung und Bereitstellung großer Datenmengen im Rahmen von Art.-15-DSGVO-Anfragen.

37. Erfüllung von Mitarbeiterauskünften

Klärung, wie weit Unternehmen bei jährlichen Mitarbeiterauskünften zu Vergütungen und Datenkategorien gehen müssen.

38. Patientendaten: Einwilligung vs. gesetzliche Grundlagen

Wann reicht ein Patientenvertrag als datenschutzrechtliche Grundlage für die Verarbeitung von Daten anstelle einer Einwilligung?

39. DSB-Vertretung und Zugriff auf vertrauliche DSB-Pflichten

Müssen Unternehmen für Urlaubsvertretung des Datenschutzbeauftragten besondere Regelungen treffen?

40. Datenschutz und Website-Migration

Datenschutzmaßnahmen, die bei der Überführung eines Onlineshops auf eine neue Plattform beachtet werden müssen.

41. Umgang mit fehlenden AV-Verträgen

Wie sollte ein Datenschutzvorfall aufgrund unterlassener AVV-Abschlüsse gehandhabt und nachträglich gelöst werden?

42. Webseiten-Barrierefreiheit-Tools

Einsatz von Tools wie Eye-Able zur Ermöglichung von Barrierefreiheit und deren datenschutzrechtliche sowie gestalterische Aspekte.

43. Microsoft CoPilot: Berechtigtes Interesse

Kann die Transkriptionsfunktion bei Microsoft CoPilot mit „berechtigtem Interesse“ als Rechtsgrundlage verwendet werden?

44. Nennung von Servern und Subauftragsverarbeitern

Klarstellung zur Nennung von direkten und indirekten Hosting-Anbietern auf Webseiten.

45. Quellen und Beispiele zu Profiling gemäß DSGVO

Wo finden sich verständliche Informationen und Beispiele zu Profiling nach Artikel 22 der DSGVO?

46. Juristische Beratung: Grenzen der Zuständigkeit

Wer darf rechtliche Beratung nach deutschem Recht durchführen, insbesondere bei ausländischen Unternehmensjuristen?

47. Zusatzfragen zu Glean AI

Nachtrag zur Frage der Nutzung sensibler Daten (Mitarbeitendaten) und ungeregelter Privatnutzung bei Unternehmenssystemen.

48. DS-Pflichten bei anonymen Befragungen

Notwendige Informationen und rechtliche Verantwortlichkeiten bei der Durchführung anonymer Befragungen organisiert durch externe Agenturen.

49. Identitätsprüfung bei Auskunftsersuchen

Wie soll mit Informationsanfragen umgegangen werden, bei denen möglicherweise eine Stellvertretung oder Identitätstäuschung vorliegt?

50. Tracking für Dienstleister: Zulässigkeit

Einsatz von Trackern an Schlüsselbünden von Vertragsdienstleistern, mit Blick auf datenschutzrechtliche Implikationen.

51. Angabe zur Schwerbehinderung im Bewerbungsformular

Datenschutz- und arbeitsrechtliche Bewertung einer freiwilligen Frage zur Schwerbehinderung in Bewerbungsunterlagen.

52. Verträge bei Datenschutzvorfällen vorlegen?

Richtige Handhabe beim Umgang mit Datenschutzbehörden, insbesondere ob bestimmte Verträge proaktiv oder nach Aufforderung bereitgestellt werden sollten.

53. Verschwiegenheit bei DSB im Vertretungsfall

Wie kann die Verschwiegenheitspflicht gewährleistet werden, wenn ein Datenschutzbeauftragter (DSB) im Urlaub vertreten wird?

Am 29.10.2025 haben die Office Hours für Profis stattgefunden.

Hier findest du eine Übersicht der Themen:

Anonymisierung & Drittlandübermittlung

Anonymisierung chinesischer Mutterkonzern: Anonymisierung als DSGVO-Datenverarbeitung – Rechtsgrundlage erforderlich, Informationspflichten zu beachten. Transfer anonymisierter Finanzdaten nach China rechtlich kritisch, mildere Mittel verfügbar.

Technische & Organisatorische Maßnahmen (TOMs)

TOM-Prüfung bei AVV: Bedarf an Best Practices und Vorlagen für TOM-Bewertung, Rolle des Informationssicherheitsbeauftragten, technisches Know-how-Defizit.

Überzogene TOM-Anforderungen: DSB stellt exzessive Detailfragen zu Datenträgervernichtung, Remote-Work-Richtlinien trotz fehlender Art. 9-Daten. Stichwort-TOMs werden als unzureichend kritisiert.

Auftragsverarbeitung (AVV)

Rahmen-AVV für Web-Agentur: Übergang von individuellen zu Rahmen-AVV mit Spezifizierungen, Handhabung bei Neu- und Altkunden.

Cloud-Passwort-Manager: AVV-Konstellation bei IT-Dienstleister als Vermittler mit eigenem Zugriff auf Kundenverwaltung.

Ticketsystem als Unterauftrag: Nennung externer Ticketsystems als Unterauftragsverarbeiter im Kunden-AVV erforderlich oder nur internes Tool.

Microsoft/Google als Unterauftragnehmer: Ablehnungsgründe für US-Cloud-Anbieter als Unterauftragsverarbeiter, Begründung gegenüber Auftragsverarbeitern.

AVV-Übertragung bei Umstrukturierung: Übergang von Auftragsverarbeitungsverträgen bei Teilbetriebsübergang von Alpha zu Beta-Gesellschaft.

Freelancer als Unterauftragsverarbeiter: Rechtliche Einordnung und AVV-Nennung von Freelancern, Art. 29 DSGVO-Bewertung.

Datenfreigabe & Sharing

Connect-Plattform Maschinendaten: Freiwillige Datenfreigabe zwischen Nutzern, Einwilligungserfordernis für sendenden Nutzer.

Kanzlei-Netzwerk: Gemeinsamer Datenzugriff verschiedener Gesellschaften durch Einwilligung und Zugriffsrechte.

Büro-Sharing verschiedener Unternehmen: DSFA-Erfordernis bei geteilter Infrastruktur, technische und organisatorische Schutzmaßnahmen.

SaaS & Cloud-Services

SaaS-Pakete für Privatpersonen: Free-Package-Nutzung durch Privatpersonen, AVV/AGB-Problematik, Stellvertretungsrecht-Garantien.

AI Assistant mit Kundendaten: Datenauswertung für Empfehlungen, Anonymisierung, Art. 6 lit. f) DSGVO -Argumentation.

Art. 9-Daten in Freitextfeldern: TOM-Anforderungen für theoretisch mögliche besondere Kategorien trotz fehlender Verwendung.

Lead-Generierung & Marketing

B2B-Lead-Generierung: AVV-Verhältnis, Art. 6 lit. f als Rechtsgrundlage, UWG-konforme Ansprache.

Werbeanzeigenschaltung: Lead-Einsicht als Auftragsverarbeitung.

Akquise-Veranstaltungen: Datenschutzaspekte bei Mandantengewinnung.

Auskunfts- & Informationspflichten

Art. 15-Anfrage ehemalige Mitarbeiterin: Auskunftspflicht über externe Accounts mit Firmen-E-Mail.

Datenschutzhinweise Bewerbermanagement: Einheitliche Formulierung für Mutter- und Tochtergesellschaften.

WhatsApp-Kanal: Personenbezug durch Admin-Einsicht, Informationspflichten.

Spezielle Anwendungsfälle

Fernunterrichtsschutzgesetz: DS-Schulungen via Learndash, BGH-Urteil-Relevanz.

Zeiterfassungs-App BYOD: Private Smartphones, Einwilligung vs. BYOD-Vereinbarung.

Versicherungsmakler-Datenweitergabe: Übermittlung an GKV-Spezialist, Einwilligungserfordernis.

Personalsuche-Beratung: Datenverantwortlichkeit bei Bewerbungsverarbeitung durch Beratungsunternehmen.

Analytics consent-less: TTDSG-konforme Einbindung, Local Storage-Problematik.

Compliance & Kontrolle

Auftragskontrolle: Zweijährige vs. jährliche Prüfung, Vodafone-Bußgeld-Bezug.

DSMS-Tool: Empfehlung für 20+ Mandanten-Management.

Meldepflichtige Vorfälle: DSB vs. externer Anwalt-Zuständigkeit.

§ 25 BDSG: Anwendung auf EU/EWR-Übermittlungen vs. nur deutsche Stellen.