Welche Datenkategorien gibt es nach DSGVO?

Die Grundsätze für die Verarbeitung personenbezogener Daten gemäß Artikel 5 der Datenschutz-Grundverordnung (DSGVO) sind: 1. **Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz**: Die Verarbeitung muss rechtmäßig sein und die betroffenen Personen müssen über die Verarbeitung informiert werden. *Beispiel*: In der Pflegepraxis muss der Pflegebedürftige vor der Erhebung seiner Daten darüber informiert werden, welche Daten gesammelt werden, zu welchem Zweck und wer Zugriff darauf hat. 2. **Zweckbindung**: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden. *Beispiel*: Die Gesundheitsdaten eines Patienten dürfen nur zur Erstellung eines Pflegeplans verwendet werden und nicht für Marketingzwecke. 3. **Datenminimierung**: Es dürfen nur die Daten verarbeitet werden, die für die jeweiligen Zwecke notwendig sind. *Beispiel*: Bei der Erfassung von Informationen für die Pflege sollte nur das erfasst werden, was für die Pflege relevant ist, wie z.B. medizinische Vorgeschichte und aktuelle Bedürfnisse, nicht jedoch persönliche Vorlieben, die nicht für die Pflege entscheidend sind. 4. **Richtigkeit**: Die Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Es sind alle angemessenen Maßnahmen zu treffen, um sicherzustellen, dass unrichtige Daten unverzüglich gelöscht oder berichtigt werden. *Beispiel*: Wenn sich die Medikation eines Patienten ändert, muss dies umgehend in den Pflegeunterlagen aktualisiert werden, um falsche Behandlungen zu vermeiden. 5. **Speicherbegrenzung**: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. *Beispiel*: Nach dem Tod eines Patienten sollten die Daten nur so lange aufbewahrt werden, wie es gesetzlich vorgeschrieben ist, z.B. für die Dokumentation oder zur Abrechnung. 6. **Integrität und Vertraulichkeit**: Die Verarbeitung muss so erfolgen, dass die Sicherheit der personenbezogenen Daten gewährleistet ist, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor Verlust, Zerstörung oder Schädigung. *Beispiel*: In der Pflegepraxis sollten alle elektronischen Patientendaten durch Passwörter und Verschlüsselung geschützt werden, um unbefugten Zugriff zu verhindern. 7. **Rechenschaftspflicht**: Der Verantwortliche ist dafür verantwortlich, dass die Grundsätze eingehalten werden, und muss dies auch nachweisen können. *Beispiel*: Eine Pflegeeinrichtung sollte regelmäßige Schulungen für das Personal zur Datenschutzrichtlinie durchführen und Dokumentationen führen, um die Einhaltung der DSGVO nachweisen zu können. Diese Grundsätze helfen dabei, die Privatsphäre und die Rechte der betroffenen Personen zu schützen und eine verantwortungsvolle Datenverarbeitung sicherzustellen.

Laut der Datenschutz-Grundverordnung (DSGVO) sind mehrere Verfahren und Maßnahmen notwendig, wenn personenbezogene Daten verarbeitet werden. Dazu gehören: 1. **Rechtsgrundlage**: Es muss eine gültige Rechtsgrundlage für die Verarbeitung vorliegen, wie Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe oder berechtigtes Interesse. 2. **Transparenz**: Betroffene Personen müssen über die Verarbeitung ihrer Daten informiert werden, einschließlich der Zwecke der Verarbeitung, der Rechtsgrundlage, der Speicherdauer und der Rechte der Betroffenen. 3. **Datenschutz-Folgenabschätzung (DSFA)**: Bei bestimmten Arten von Datenverarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen, ist eine DSFA erforderlich. 4. **Technische und organisatorische Maßnahmen**: Es müssen geeignete Maßnahmen ergriffen werden, um die Sicherheit der Daten zu gewährleisten, wie z.B. Verschlüsselung, Zugriffskontrollen und regelmäßige Sicherheitsüberprüfungen. 5. **Dokumentation**: Die Verarbeitungstätigkeiten müssen dokumentiert werden, um die Einhaltung der DSGVO nachweisen zu können. 6. **Rechte der Betroffenen**: Die Rechte der betroffenen Personen, wie das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch, müssen gewährleistet und respektiert werden. 7. **Meldung von Datenschutzverletzungen**: Im Falle einer Datenschutzverletzung muss diese innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden, sofern ein Risiko für die Rechte und Freiheiten der Betroffenen besteht. Diese Verfahren sind entscheidend, um den Anforderungen der DSGVO gerecht zu werden und den Schutz personenbezogener Daten sicherzustellen.

Ein Auskunftsverlangen nach Art. 15 DSGVO ist grundsätzlich zulässig, wenn es sich um personenbezogene Daten handelt, die das Unternehmen über die betroffene Person verarbeitet. Dazu zählen auch Protokolldaten wie Loginvorgänge mit Zeitstempel, IP-Adressen und ggf. Gerätekennungen, sofern diese Daten einer Person zugeordnet werden können. **Wichtige Punkte:** - **Personenbezug:** Die Daten (Loginzeiten, IP-Adressen, Gerätekennungen) müssen eindeutig der anfragenden Person zugeordnet werden können. Ist das der Fall, handelt es sich um personenbezogene Daten im Sinne der DSGVO. - **Umfang der Auskunft:** Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, Auskunft über die verarbeiteten personenbezogenen Daten zu erhalten, einschließlich der Verarbeitungszwecke, Kategorien, Empfänger, Speicherdauer etc. - **Grenzen:** Die Auskunft darf nicht die Rechte und Freiheiten anderer Personen beeinträchtigen (Art. 15 Abs. 4 DSGVO). Außerdem kann die Auskunft verweigert oder eingeschränkt werden, wenn dies z.B. Geschäftsgeheimnisse oder Rechte Dritter gefährden würde. - **Technische Umsetzbarkeit:** Die Auskunft muss in einer verständlichen Form erfolgen. Es besteht keine Pflicht, Daten zu generieren, die nicht vorliegen. **Fazit:** Fordert ein Kunde nach Art. 15 DSGVO Auskunft über alle seine Loginvorgänge mit Zeitstempel, IP-Adressen und Gerätekennungen, ist dies zulässig, sofern diese Daten tatsächlich gespeichert und der Person zugeordnet sind. Das Unternehmen ist verpflichtet, diese Daten im Rahmen der Auskunft bereitzustellen. Weitere Informationen: - [Art. 15 DSGVO – Auskunftsrecht der betroffenen Person](https://dsgvo-gesetz.de/art-15-dsgvo/) - [Datenschutzkonferenz: Orientierungshilfe Auskunftsrecht](https://www.datenschutzkonferenz-online.de/media/oh/20220126_oh_auskunftsrecht.pdf)

Die IT-Leitung ist in Unternehmen häufig für verschiedene Verarbeitungstätigkeiten im Sinne der Datenschutz-Grundverordnung (DSGVO) verantwortlich. Verarbeitungstätigkeiten sind alle Vorgänge im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Speichern, Übermitteln, Löschen oder Auswerten dieser Daten. Typische Verarbeitungstätigkeiten der IT-Leitung nach DSGVO sind: 1. **Benutzer- und Zugriffsverwaltung** Verwaltung von Benutzerkonten, Passwörtern und Zugriffsrechten auf IT-Systeme, um sicherzustellen, dass nur berechtigte Personen Zugriff auf personenbezogene Daten haben. 2. **Betrieb von IT-Systemen und Netzwerken** Betrieb und Wartung von Servern, Datenbanken, E-Mail-Systemen und anderen IT-Infrastrukturen, auf denen personenbezogene Daten verarbeitet werden. 3. **Datensicherung und Backup** Durchführung und Verwaltung von Backups, um Datenverluste zu vermeiden und die Wiederherstellung personenbezogener Daten zu ermöglichen. 4. **IT-Support und Fehlerbehebung** Bearbeitung von Supportanfragen, bei denen personenbezogene Daten eingesehen oder verarbeitet werden können. 5. **Überwachung und Protokollierung** Einsatz von Monitoring- und Logging-Systemen zur Überwachung der IT-Infrastruktur, um Sicherheitsvorfälle zu erkennen und zu dokumentieren. 6. **Software- und Systemaktualisierungen** Durchführung von Updates und Patches, um Sicherheitslücken zu schließen und den Schutz personenbezogener Daten zu gewährleisten. 7. **Löschung und Vernichtung von Daten** Sicherstellung der datenschutzkonformen Löschung oder Vernichtung personenbezogener Daten, z. B. bei Aussonderung von Datenträgern. 8. **Verwaltung mobiler Geräte** Verwaltung und Absicherung von Laptops, Smartphones und anderen mobilen Endgeräten, auf denen personenbezogene Daten verarbeitet werden. 9. **Technische und organisatorische Maßnahmen (TOMs)** Umsetzung und Überwachung von Maßnahmen zum Schutz personenbezogener Daten gemäß Art. 32 DSGVO. **Dokumentationspflicht:** Nach Art. 30 DSGVO muss die IT-Leitung (bzw. das Unternehmen) ein Verzeichnis von Verarbeitungstätigkeiten führen, in dem alle relevanten Prozesse dokumentiert sind. **Beispiel für eine Verarbeitungstätigkeit im Verzeichnis:** - **Zweck:** Verwaltung von Benutzerkonten - **Kategorien betroffener Personen:** Mitarbeiter - **Kategorien personenbezogener Daten:** Name, Benutzername, E-Mail-Adresse, Zugriffsrechte - **Empfänger:** IT-Abteilung, ggf. externe IT-Dienstleister - **Löschfristen:** Nach Ausscheiden des Mitarbeiters, gemäß Löschkonzept - **Technische und organisatorische Maßnahmen:** Zugriffsbeschränkungen, Verschlüsselung, Protokollierung **Weitere Informationen:** - [DSGVO – Art. 30 Verzeichnis von Verarbeitungstätigkeiten](https://dsgvo-gesetz.de/art-30-dsgvo/) - [BfDI: Verarbeitungstätigkeiten](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitungstaetigkeiten/verarbeitungstaetigkeiten-node.html) Die konkrete Ausgestaltung hängt von der jeweiligen Organisation und den eingesetzten IT-Systemen ab.

Ob das IT-Ressourcen-Management eine Verarbeitungstätigkeit nach DSGVO ist, hängt davon ab, ob dabei personenbezogene Daten verarbeitet werden. **Definition Verarbeitungstätigkeit nach DSGVO:** Eine Verarbeitungstätigkeit im Sinne der Datenschutz-Grundverordnung (DSGVO) liegt immer dann vor, wenn personenbezogene Daten automatisiert oder nicht automatisiert verarbeitet werden (Art. 4 Nr. 2 DSGVO). Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). **IT-Ressourcen-Management:** Darunter versteht man die Verwaltung und Organisation von IT-Ressourcen wie Hardware, Software, Netzwerken und IT-Dienstleistungen. Wenn im Rahmen des IT-Ressourcen-Managements personenbezogene Daten verarbeitet werden (z. B. Nutzerkonten, Zugriffsprotokolle, Lizenzmanagement mit personenbezogenen Angaben), handelt es sich um eine Verarbeitungstätigkeit nach DSGVO. **Fazit:** - Werden im IT-Ressourcen-Management **keine** personenbezogenen Daten verarbeitet (z. B. rein technische Inventarisierung von Geräten ohne Personenbezug), liegt **keine** Verarbeitungstätigkeit nach DSGVO vor. - Werden **personenbezogene Daten** verarbeitet (z. B. Verwaltung von Nutzerzugängen, Protokollierung von Zugriffen), ist das IT-Ressourcen-Management **eine Verarbeitungstätigkeit nach DSGVO** und muss entsprechend dokumentiert werden. **Weiterführende Informationen:** - [DSGVO Art. 4 Begriffsbestimmungen](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) - [Verzeichnis von Verarbeitungstätigkeiten (BayLDA)](https://www.lda.bayern.de/de/verarbeitungstaetigkeiten.html) **Zusammengefasst:** IT-Ressourcen-Management ist dann eine Verarbeitungstätigkeit nach DSGVO, wenn dabei personenbezogene Daten verarbeitet werden.

Beispiele für Verarbeitungstätigkeiten nach DSGVO sind: 1. **Personalverwaltung**: Erfassung und Verwaltung von Mitarbeiterdaten (z.B. Lohnabrechnung, Urlaubsverwaltung). 2. **Kundenverwaltung**: Speicherung und Nutzung von Kundendaten für Bestellungen, Rechnungsstellung oder Kundenservice. 3. **Newsletter-Versand**: Erhebung und Nutzung von E-Mail-Adressen für den Versand von Newslettern. 4. **Videoüberwachung**: Aufzeichnung und Speicherung von Bilddaten zur Sicherung von Gebäuden. 5. **Bewerbermanagement**: Verarbeitung von Bewerberdaten im Rahmen von Bewerbungsverfahren. 6. **Zutrittskontrolle**: Erfassung von Daten zur Kontrolle des Zugangs zu Gebäuden oder IT-Systemen. 7. **Veranstaltungsmanagement**: Erhebung und Verwaltung von Teilnehmerdaten bei Veranstaltungen. 8. **Lieferantenverwaltung**: Speicherung und Nutzung von Daten von Lieferanten und Dienstleistern. 9. **Nutzerverwaltung von IT-Systemen**: Verwaltung von Benutzerkonten und Zugriffsrechten. 10. **Kundenbefragungen**: Erhebung und Auswertung von Daten im Rahmen von Umfragen. Jede dieser Tätigkeiten erfordert gemäß Art. 30 DSGVO ein Verzeichnis der Verarbeitungstätigkeiten. Weitere Informationen findest du direkt bei der [Europäischen Kommission](https://ec.europa.eu/info/law/law-topic/data-protection_de).

Eine Verarbeitungstätigkeit nach DSGVO bezeichnet jeden Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, unabhängig davon, ob sie mit oder ohne Hilfe automatisierter Verfahren ausgeführt wird. Dazu zählen insbesondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten. Die DSGVO (Datenschutz-Grundverordnung) definiert den Begriff „Verarbeitung“ in Art. 4 Nr. 2 DSGVO. Eine Verarbeitungstätigkeit ist also jede Aktivität, bei der personenbezogene Daten genutzt werden – zum Beispiel das Führen einer Kundenliste, das Versenden von Newslettern oder die Speicherung von Mitarbeiterdaten. Unternehmen und Organisationen sind verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO), um Transparenz und Nachvollziehbarkeit im Umgang mit personenbezogenen Daten zu gewährleisten.

Ein Auftragskataster (auch: Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO) ist für IT-Dienstleister verpflichtend, wenn sie personenbezogene Daten im Auftrag ihrer Kunden verarbeiten. Es dokumentiert, welche Datenverarbeitungen stattfinden, zu welchem Zweck, auf welcher Rechtsgrundlage und mit welchen Schutzmaßnahmen. Hier ein Muster für ein solches Verzeichnis, angepasst auf einen IT-Dienstleister: --- **Muster: Auftragskataster / Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO** **1. Name und Kontaktdaten des Verantwortlichen** IT-Dienstleister GmbH Musterstraße 1 12345 Musterstadt E-Mail: info@it-dienstleister.de Telefon: 01234 567890 **2. Name und Kontaktdaten des Datenschutzbeauftragten** Max Mustermann E-Mail: datenschutz@it-dienstleister.de Telefon: 01234 567891 **3. Zwecke der Verarbeitung** - IT-Support und Wartung - Hosting von Kundendaten - Entwicklung und Pflege von Softwarelösungen - Durchführung von Backups - Fernwartung und Fehleranalyse **4. Beschreibung der Kategorien betroffener Personen** - Kunden und deren Mitarbeiter - Endnutzer der Kundensysteme **5. Beschreibung der Kategorien personenbezogener Daten** - Kontaktdaten (Name, E-Mail, Telefonnummer) - Zugangsdaten (Benutzername, Passwort) - Protokolldaten (z.B. Logfiles) - Vertragsdaten - ggf. besondere Kategorien (z.B. Gesundheitsdaten, falls relevant) **6. Kategorien von Empfängern** - Interne IT-Mitarbeiter - Subunternehmer (z.B. Rechenzentren, Cloud-Anbieter) - Behörden (nur im Rahmen gesetzlicher Verpflichtungen) **7. Übermittlungen in Drittländer** - Keine / oder: Ja, an [z.B. Microsoft Azure, USA] auf Basis von Standardvertragsklauseln **8. Fristen für die Löschung der Daten** - Nach Beendigung des Auftrags und Ablauf gesetzlicher Aufbewahrungsfristen - Regelmäßige Überprüfung und Löschung nicht mehr benötigter Daten **9. Technische und organisatorische Maßnahmen (TOMs)** - Verschlüsselung von Daten - Zugriffsbeschränkungen - Regelmäßige Schulungen der Mitarbeiter - Protokollierung von Zugriffen - Datensicherung und Wiederherstellungskonzepte --- **Hinweis:** Dieses Muster muss individuell an die tatsächlichen Verarbeitungstätigkeiten und die Unternehmensstruktur angepasst werden. Weitere Informationen und Vorlagen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder bei [Bitkom](https://www.bitkom.org/). **Rechtlicher Hinweis:** Dies ist keine Rechtsberatung, sondern ein Beispiel zur Orientierung. Für eine rechtssichere Ausgestaltung sollte ein Datenschutzexperte hinzugezogen werden.

Ein DSGVO-Auftragskataster (auch Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO genannt) muss bestimmte Angaben enthalten, um den Anforderungen der-Grundver (DSGVO zu entsprechen. Folgende Inhalte sindend: 1 **Name und Konttdaten des Verantwort** und ggf. des gemeinsamen Verantwortlichen, des Vertreters des Verantwortlichen sowie des Datenschutzbeauftragten). 2. **Zwecke der Verarbeitung** Beschreibung, zu welchen Zwecken die personenbezogenen Daten verarbeitet werden. 3. **Beschreibung der Kategorien betroffener Personen** Zum Beispiel: Kunden, Mitarbeiter, Lieferanten. 4. **Beschreibung der Kategorien personenbezogener Daten** Zum Beispiel: Name, Adresse, Kontaktdaten, Bankdaten. 5. **Kategorien von Empfängern** An wen werden die Daten weitergegeben? (z.B. IT-Dienstleister, Steuerberater). 6. **Übermittlungen in Drittländer** Falls Daten außerhalb der EU/des EWR übermittelt werden: Angabe des Landes und ggf. der Garantien nach Art. 46 DSGVO. 7. **Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien** Wie lange werden die Daten gespeichert? 8. **Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen** Maßnahmen zum Schutz der Daten (z.B. Verschlüsselung, Zugangskontrollen). **Hinweis:** Auftragsverarbeiter müssen ein ähnliches Verzeichnis führen, das sich auf die im Auftrag durchgeführten Verarbeitungstätigkeiten bezieht. Weitere Informationen findest du direkt im Gesetzestext: [Art. 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten](https://dsgvo-gesetz.de/art-30-dsgvo/) Das Auftragskataster ist ein zentrales Element für die Rechenschaftspflicht nach DSGVO und sollte regelmäßig aktualisiert werden.

Ob Newsletter-Leads aus dem Jahr 2023 weiterhin regelmäßig angeschrieben werden dürfen, hängt maßgeblich von der ursprünglichen Einwilligung und den geltenden Datenschutzbestimmungen ab, insbesondere der Datenschutz-Grundverordnung (DSGVO) und dem Gesetz gegen den unlaut Wettbewerb (UWG) in Deutschland. **Wichtige Punkte:** 1. **Einwilligung:** Die Empfänger müssen dem Erhalt von Newslettern ausdrücklich zugestimmt haben (Opt-in). Die Einwilligung muss dokumentiert und jederzeit nachweisbar sein. 2. **Zweckbindung:** Die Nutzung der E-Mail-Adressen darf nur zu dem Zweck erfolgen, dem die Empfänger zugestimmt haben. Wurde die Einwilligung für einen regelmäßigen Newsletter erteilt, ist ein Versand 2x jährlich in der Regel zulässig. 3. **Widerrufsmöglichkeit:** In jedem Newsletter muss eine einfache Möglichkeit zum Abbestellen (Opt-out) angeboten werden. Der Widerruf muss jederzeit möglich sein. 4. **Keine zeitliche Begrenzung, aber Aktualität:** Solange die Einwilligung nicht widerrufen wurde und der Zweck (z.B. regelmäßige Informationen per Newsletter) weiterhin besteht, gibt es keine feste zeitliche Begrenzung. Allerdings kann eine sehr lange Inaktivität der Empfänger problematisch sein, da die Einwilligung nach langer Zeit als „veraltet“ angesehen werden könnte. Die Datenschutzbehörden empfehlen, die Einwilligung nach längerer Inaktivität (z.B. mehrere Jahre ohne Interaktion) zu überprüfen oder zu erneuern. 5. **Dokumentationspflicht:** Es muss nachgewiesen werden können, wann und wie die Einwilligung erteilt wurde. **Fazit:** Wenn die Leads aus 2023 eine gültige Einwilligung für den Erhalt von Newslettern gegeben haben, dürfen sie grundsätzlich weiterhin 2x im Jahr angeschrieben werden – solange sie nicht widersprechen und der Zweck der Einwilligung eingehalten wird. Es empfiehlt sich jedoch, die Listen regelmäßig zu pflegen und inaktive Empfänger ggf. nach einer gewissen Zeit erneut um Bestätigung zu bitten. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).