Beiträge

  • Office Hours für Profis – 28.01.2026

    Office Hours

    Hier finden Datenschutz-PRO-Mitglieder die Aufzeichnung der Office Hours für Profis von 28.01.2026.

    Beschäftigt haben wir uns mit diesen Themen:

    • Transkription von Online-Meeting
    • Anbieterkennzeichnung etc. für Partner-Extranet
    • Videoüberwachung Industriegelände (KRITIS)
    • Beginn der Frist zur Auskunft (Art. 15 DSGVO)
    • Schulungsinhalte Datenschutzschulung Arztpraxis
    • Cloud-Software-Nutzung durch zwei Unternehmen
    • Homeoffice für Arzpraxis-Mitarbeitende
    • Änderungen am Auftragsverarbeitungsvertrag bei Leistungsanpassungen
    • Datenschutzhinweise bzgl. Cookies und Local Storage für Apps
    • Verantwortlichkeit bei Durchführung von Gewinnspielen
    • Aufzeichnung von Gesprächen des medizinischen Dienstes
    • Aufgaben des DSB – Vertragsinhalte für Auftragsverarbeiter empfehlen?
    • Vereinsfahrzeug-Kalender – Tracking?
    • Aufenthaltstitel / Arbeitserlaubnis in Kopie bei Einstellung
    • Nutzung von Google Drive für Lehrgangsskripte
    • Kontrolle von Auftragsverarbeitern
    • Google Workspace im Sportverein
    • Google Meet vs. Zoom
    • Mehrere TOM-Dokumente bei mehreren Standorten
    • Zustimmung von Sorgeberechtigten bei Verschwiegenheitsverpflichtung
    • Geburtsurkunde als Nachweis der Elterneigenschaft für die gesetzliche Pflegeversicherung
    • Aufzeichnung von Telefongesprächen durch KI-basierte Cloud-Telefonie-Anlage
    • Zulässigkeit einer Kamera-Attrappe zur Abschreckung
    • Unternehmenskauf und Datenschutz
    • Löschung von Bewerberdaten nach Vergabe der Stelle
    • Datenschutz bei Fotos: Einwilligung vs Model-Release-Vertrag
    • Muss der externe DSB dem Kunden seines Kunden einer Personalausweiskopie zur Verfügung stellen?
    • Datenschutzhinweise bei einer Petition
    • Zulässigkeit einer Facebook-Fanpage – aktueller Stand?
    • Datenschutz bei Datenaustausch mit China
    • Cloudlösungen für Arztpraxen
    • DeepL und AWS
    • Verantwortlicher bei einer Videoüberwachung bei mehreren Firmen in einem Gebäude
    • Einsatz von Microsoft Defender und Verantwortlichkeit
    • Auskunftsersuchen zu Meldedaten durch Pressevertreter
    • Videoüberwachung bei Haus mit Gewerbeeinheiten
    • Weitergabe von IP-Adressen im Kontext mit Strafanzeigen wegen Beleidigungen, Volksverhetzung etc.
    • Direkte Anfrage an DSB durch Betroffenen
    • Veröffentlichung von Antworten eines DSB an Betroffene im Internet
    • Zugang zu Beschäftigtendaten für den Personalrat
    • Verantwortlichkeit bei geteilter Nutzung eines Microsoft Tenants
    • Datenschutzpanne in einer Behörde – Auslagerung von Informationspflichten
    • Inhalt von Löschprotokollen
    • Barrierefreiheit ohne Cookies & Co.
    • Auftragsverarbeitung in der Unternehmensgruppe für mehrere Gesellschaften
    • Herausgabe von Daten des Verkäufers an den Käufer einer Immobilie durch Bauunternehmen
    • Telefonanlagen-Wartung als Auftragsverarbeitung?
    • Richtlinie für mobiles Arbeiten im § 203 StGB-Kontext
    • Software erlaubt keine unterschiedlichen Löschfristen für Bewerberdaten
    • Speicherung von Bewerberdaten im Talentpool
    • Druck- und Versanddienstleister als Auftragsverarbeiter
    • Ist ein externer DSB der „betriebliche“ DSB?
    • Datenschutzhinweise der Post zur Altersverifizierung
    • Rechtsgrundlage bei Sanktionslistenprüfung
    • Zuständigkeit von DSB für die Prüfung der Angemessenheit von TOM in Auftragsverarbeitungsverträgen
    • Datenschutzrechtliche Prüfung von KI-Tools aus den USA
    • Speicherung von Kletterscheinen & Co. von Beschäftigten bei Unterauftragnehmern
    • Mistral AI & Datenschutz (US-Subdienstleister)
    • Google Drive (EU) und Drittlandsverarbeitung

  • Muster zur Verpflichtung von Beschäftigen („berufsmäßig tätige Gehilfen“) auf die Schweigepflicht (§ 203 StGB)

    Muster

    Zusammenfassung Berufsgeheimnisträger i.S.d. § 203 StGB müssen ihre „berufsmäßig tätigen Gehilfen“ – also ihre Angestellten – zur Verschwiegenheit verpflichten, um die gesetzlichen Vorgaben zur Schweigepflicht einzuhalten. Diese Verpflichtung ergibt sich aus dem ärztlichen Berufsrecht (stellvertretend: § 9 Abs. 3 MBO-Ä) Nachfolgend findest du ein Muster, mit dem z.B. eine Arztpraxis, Anwaltskanzlei, Patentanwaltskanzlei, Steuerberatungs- oder Wirtschaftsprüfungskanzlei etc. ihre…

  • Muster zur Vereinbarung zur Schweigepflicht von mitwirkenden Personen nach § 203 StGB

    Muster

    Zusammenfassung Berufsgeheimisträger i.S.d. § 203 StGB wie z.B. Ärzte, Steuerberater, Rechtsanwälte, Wirtschaftsprüfer etc. sind in der heutigen Zeit in aller Regel auf die Einbindung von Dienstleistern angewiesen, die sie bei der Erbringung ihrer Leistungen unterstützen. Das können IT-Dienstleister für die Wartung und Pflege von IT-Systemen sein, Anbieter von Software-as-a-Service (SaaS) oder sonstige Hilfspersonen, die an der…

  • |

    Muster eines Tätigkeitsberichts des betrieblichen Datenschutzbeauftragten

    Muster, Datenschutz-PRO

    Zusammenfassung Dieses Muster soll eine Unterstützung für betriebliche Datenschutzbeauftragte sein, um Inspiration für die Anfertigung eines eigenen Tätigkeitsberichts zu haben. Wichtig: Sofern deine arbeitsvertraglichen Pflichten als interne:r DSB dies nicht vorsehen oder dein Vertrag als externe:r DSB dies nicht als vertragliche Leistung deklariert, gibt es keine rechtliche Pflicht zur Erstellung eines Tätigkeitsberichts. Version Version 1.0…

  • |

    Office Hours für Beginner – 13.01.2026

    Office Hours, Datenschutz-PRO

    Hier finden Datenschutz-PRO-Mitglieder die Aufzeichnung der Office Hours für Beginner.

    Wir haben uns u.a. mit diesen Themen beschäftigt:

    • Umgang mit Mitarbeiterdaten: Zugriff auf Postfächer von (ehemaligen) Mitarbeitenden
    • Auskunftsrecht nach DSGVO: Umfang der Auskunftspflicht bei E-Mails
    • Auftragsverarbeitung (AV): Verantwortlichkeiten zwischen Auftraggeber und Dienstleister.
    • Dienstleister & Verträge: Verträge bei Freelancern und geänderten Leistungen
    • KI-Nutzung (z.B. OpenAI): Datenschutzkonforme Nutzung von KI-Diensten
    • Websites & Cookies: Einwilligung für Cookies und externe Dienste
    • Datenübermittlung in Drittländer: Datentransfers in die USA oder andere Staaten
    • Aufbewahrung & Löschung: Löschfristen für E-Mails und Kundendaten festlegen
    • Datensicherheit & TOMs: Besondere Schutzmaßnahmen für sensible Daten
    • Datenschutzschulungen: Regelmäßige Schulungen für Mitarbeiter (wie oft)
    • Verantwortlichkeiten & Rollen: Rolle als Verantwortlicher, Auftragsverarbeiter oder gemeinsam Verantwortlicher.
    • Datenpannen: Korrektes Vorgehen bei Meldung von Datenpannen definieren.
    • Rolle des DSB: Aufgaben und Befugnisse des Datenschutzbeauftragten (DSB) verstehen.
    • Einwilligung & Rechtsgrundlagen: Rechtliche Grundlagen für die Datenverarbeitung sicherstellen.
    • Datenschutzerklärung: Alle Verarbeitungstätigkeiten transparent in Datenschutzhinweisen aufführen.

  • EU-Kommission verlängert Angemessenheitsbeschlüsse für UK

    Datenschutz

    Die EU-Kommission hat am 19.12.2025 die beiden Angemessenheitsbeschlüsse aus dem Jahr 2021 für den freien Verkehr personenbezogener Daten mit dem Vereinigten Königreich erneuert. Eine entsprechende Pressemitteilung der EU-Kommission ist hier zu finden. Auf Grundlage dieser Beschlüsse von 2021 konnte im Falle einer Übermittlung von personenbezogenen Daten in das Vereinigte Königreich (United Kingdom – UK) von…

  • |

    Office Hours für Profis – 17.12.2025

    Datenschutz-PRO, Office Hours

    Hier finden Datenschutz-PRO-Mitglieder die Aufzeichnung der Office Hours für Profis vom 17.12.2025. Auch Interesse an der Mitgliedschaft? Dann gibt es hier weitere Informationen.

    Es ging u.a. um diese Themen:

    Datenschutz im KRITIS-Bereich

    Tipps und Literatur für Datenschutz im KRITIS-Bereich.

    Geltungsbereich von NIS-2

    Gilt die Mindest-Mitarbeiter- bzw. Umsatzzahl für das Gesamtunternehmen oder nur für den Geschäftsbereich, der unter NIS-2 fällt?

    Gehaltsabrechnungen und Verschwiegenheitserklärung

    Ist ein AV-Vertrag nötig, wenn ein ehemaliger Banker Gehaltsabrechnungen erstellt? Muss eine Original-Unterschrift für die Verschwiegenheitserklärung aufbewahrt werden oder reicht ein eingescanntes Exemplar?

    Privatnutzung betrieblicher Kommunikationsmittel

    Regelung der Weiterleitung von E-Mails bei Abwesenheit der Mitarbeitenden.

    Sub-Auftragsverarbeiter in AV-Verträgen

    Welche Dienstleister gehören als „Sub-AV“ in einen AV-Vertrag?

    Annex zum AV-Vertrag für Berufsgeheimnisträger

    Ist der vorgeschlagene Annex zum AV-Vertrag ausreichend?

    Videoüberwachung im Kassenbereich

    Gibt es spezielle Regelungen für Mitarbeitende im Kassenbereich bezüglich Videoüberwachung?

    Werbliche Ansprache an Bestandskunden

    Ist eine Einwilligung für das Zusenden eines E-Books nach Eingabe der E-Mail-Adresse nötig?

    Zusammenarbeit mit Versicherungsmaklern

    Müssen Arztpraxen mit Versicherungsmaklern einen AVV abschließen?

    IT-Dienstleister für Telefonanlage

    Ist ein AVV nötig, wenn ein IT-Dienstleister die Telefonanlage einer Arztpraxis betreut?

    Datenschutzhinweise für MS Transkription

    Müssen eigene Datenschutzhinweise für MS Transkription erstellt werden und wie sollten diese bereitgestellt werden?

    Verwendung von Bildern auf Webseiten

    Was ist zu beachten, wenn man ein Bild von einem Partner/Kunden auf dessen eigener Webseite verwenden möchte?

    Gemeinsame Nutzung von Intranet im Konzern

    Berechtigtes Interesse bei Konzerngesellschaften mit unterschiedlicher Beteiligung.

    Nachfragen beim Kunden zum AVV

    Können Nachfragen zusammen mit dem AVV abgelegt werden, um Probleme/Widersprüche im AVV zu heilen?

    Wegfall des § 38 (1) BDSG

    Auswirkungen des vermutlichen Wegfalls des § 38 (1) BDSG auf Datenschutzbeauftragte.

    Veröffentlichung von Personenfotos und -filmen

    Reicht eine schriftliche Bestätigung der Nutzungsrechte durch den Auftraggeber aus oder muss die Agentur weitere Punkte klären?

    Datenabfluss bei einem Rechtsanwalt

    Muss der Mandant die Datenschutzaufsichtsbehörde informieren und die Beschäftigten benachrichtigen?

    Links in Datenschutzerklärungen

    Müssen die Links in einer Datenschutzerklärung klickbar sein?

    Zugriff des Betriebsrats auf Bewerbertools

    Darf der Betriebsrat vollständigen Zugriff auf ein Bewerbertool erhalten?

    Unterschriften in Auftragsverarbeitungsverträgen

    Müssen AV-Verträge immer auch vom Auftraggeber unterschrieben werden?

    Auskunftsersuchen einer ehemals beschäftigten Person

    Kann die Auskunft verweigert werden, wenn das Auskunftsverlangen nicht konkretisiert wird? Müssen alle E-Mails der letzten 6 Jahre bereitgestellt werden? Ist von einem „exzessiven Antrag“ gem. Art. 12 Abs. 5 auszugehen?

    Zusammenarbeit zwischen HNO-Praxis und Schlaflabor

    Handelt es sich um zwei unabhängig Verantwortliche oder ist ein AVV oder JC-Vertrag nötig?

    Cookies im Intranet einer Behörde

    Rechtsgrundlage für die Verwendung nicht zwingend erforderlicher Cookies im Intranet einer Behörde.

    Telefon-Coaching mit Mithören des Coaches

    Liegt ein meldepflichtiger Datenschutz-Verstoß vor, wenn das Mithören des Coaches nicht mitgeteilt wurde?

    Rolle des DSB als HinSchG-Beauftragter

    Kann ein DSB auch die Rolle des HinSchG-Beauftragten übernehmen?

    TOM in AVVs

    Gibt es konkrete Urteile zum Detaillierungsgrad von TOM in AVVs?

    Zeiterfassungssoftware mit App

    Ist eine Einwilligung nötig, wenn Mitarbeiter freiwillig eine App auf ihrem privaten Smartphone für die Zeiterfassung nutzen?

    Beratung eines Vereins ohne Benennung als DSB

    Darf ein DSB einen Verein betreffend der Datenschutzhinweise für ihre Webseite beraten, ohne für diesen Verein als DSB benannt zu sein?

    ChatBot für Transkription und Zusammenfassung von Besprechungen

    Datenschutzrechtliche Einschätzung und mögliche Pflichten nach AI Act.

    Private E-Mail-Nutzung mit Einwilligung

    Regelung der Weiterleitung von E-Mails bei Widerruf der Einwilligung.

    Stichproben zur Überprüfung des Verbots der privaten E-Mail-Nutzung

    Sind IT-seitige Stichproben erlaubt, wenn die private E-Mail-Nutzung im Unternehmen untersagt ist?

    Datenübermittlung an den Personalrat

    Darf der Personalrat eine Liste aller freien Mitarbeiter mit persönlichen Daten verlangen?

    Einführung eines SIEM

    Muss man die Mitarbeitenden über die Verarbeitung ihrer Daten durch ein SIEM informieren?

    Datenschutzhinweise für die elektronische Patientenakte (ePA)

    Kann man die vorgeschlagenen Datenschutzhinweise für die ePA so in die Datenschutzhinweise der Praxis hinzufügen?

    Kontoprüfung durch die Deutsche Bank

    Rechtsgrundlage für die Weitergabe von Kontodaten an die Deutsche Bank.

    Löschung personenbezogener Daten und Information Dritter

    Muss man Dritte informieren, wenn personenbezogene Daten gelöscht werden müssen?

    Aufhängen von Dankes-Gruß-Karten im Wartezimmer

    Darf ein Arzt im Wartezimmer alle Dankes-Gruß-Karten aufhängen, so dass jeder lesen kann, wer dort Patient ist?

    Videoüberwachung im Kassenbereich und Vereinbarungen mit Mitarbeitern

    Gibt es spezielle Vereinbarungen mit den Mitarbeitern zu regeln, da sie sich an der Kasse nicht aus dem Sichtfeld nehmen können?

    Verschwiegenheits- und Verwertungsverbote nach §§ 203 und 204 StGB

    Bewertung des Passus zur Ergänzung des Musters für Reinigungsunternehmen für Arztpraxen.

    AV-Verträge in ChatGPT zur Prüfung hochladen

    Darf man AV-Verträge in ChatGPT zur Prüfung hochladen, wenn man die Daten schwärzt?

    EuGH-Urteil zur mündlichen Übermittlung von personenbezogenen Daten

    Interpretation des EuGH-Urteils vom 7.3.2024 C-740/22.

    Permanenter Zugriff des Betriebsrats auf Arbeits- und Abwesenheitszeiten

    Beurteilung des permanenten Zugriffs des Betriebsrats auf Arbeits- und Abwesenheitszeiten.

    DSB als KI-Beauftragter

    Kann ein DSB auch als KI-Beauftragter benannt werden?

    Beitrittsklausel in AVV

    Ist eine Beitrittsklausel anstelle einer Unterauftragnehmerklausel in einem AVV möglich?