Was muss ein DSGVO-Auftragskataster enthalten?

Eine Auftragsverarbeitung nach der Datenschutz-GrundverordnungDSGVO) liegt vor, wenn ein Verantwortlicher (z.B. ein Unternehmen) einen Auftragsverarbeiter (z.B. einen Dienstleister) damit beauftragt, personenbezogene Daten im Auftrag des Verantwortlichen zu verarbeiten. Der Auftragsverarbeiter handelt dabei nach den Weisungen des Verantwortlichen. Folgende Schritte müssen bezüglich der Auftragsverarbeitung unternommen werden: 1. **Vertrag zur Auftragsverarbeitung (AV-Vertrag)**: Es muss ein schriftlicher Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossen werden. Dieser Vertrag muss bestimmte Mindestinhalte gemäß Art. 28 DSGVO enthalten, wie z.B. den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen. 2. **Sorgfältige Auswahl des Auftragsverarbeiters**: Der Verantwortliche muss sicherstellen, dass der Auftragsverarbeiter ausreichende Garantien bietet, um geeignete technische und organisatorische Maßnahmen zu ergreifen, damit die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt. 3. **Überwachung und Kontrolle**: Der Verantwortliche muss regelmäßig überprüfen, ob der Auftragsverarbeiter die im AV-Vertrag festgelegten Maßnahmen einhält. Dies kann durch Audits oder andere Kontrollmechanismen geschehen. 4. **Dokumentation**: Alle Maßnahmen und Verträge im Zusammenhang mit der Auftragsverarbeitung müssen dokumentiert werden, um im Falle einer Überprüfung durch die Aufsichtsbehörden nachweisen zu können, dass die DSGVO eingehalten wird. Weitere Informationen zur Auftragsverarbeitung nach DSGVO können auf der offiziellen Website der Europäischen Kommission gefunden werden: [Europäische Kommission - Datenschutz](https://ec.europa.eu/info/law/law-topic/data-protection_de).

Ein Auskunftsverlangen nach Art. 15 DSGVO ist grundsätzlich zulässig, wenn es sich um personenbezogene Daten handelt, die das Unternehmen über die betroffene Person verarbeitet. Dazu zählen auch Protokolldaten wie Loginvorgänge mit Zeitstempel, IP-Adressen und ggf. Gerätekennungen, sofern diese Daten einer Person zugeordnet werden können. **Wichtige Punkte:** - **Personenbezug:** Die Daten (Loginzeiten, IP-Adressen, Gerätekennungen) müssen eindeutig der anfragenden Person zugeordnet werden können. Ist das der Fall, handelt es sich um personenbezogene Daten im Sinne der DSGVO. - **Umfang der Auskunft:** Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, Auskunft über die verarbeiteten personenbezogenen Daten zu erhalten, einschließlich der Verarbeitungszwecke, Kategorien, Empfänger, Speicherdauer etc. - **Grenzen:** Die Auskunft darf nicht die Rechte und Freiheiten anderer Personen beeinträchtigen (Art. 15 Abs. 4 DSGVO). Außerdem kann die Auskunft verweigert oder eingeschränkt werden, wenn dies z.B. Geschäftsgeheimnisse oder Rechte Dritter gefährden würde. - **Technische Umsetzbarkeit:** Die Auskunft muss in einer verständlichen Form erfolgen. Es besteht keine Pflicht, Daten zu generieren, die nicht vorliegen. **Fazit:** Fordert ein Kunde nach Art. 15 DSGVO Auskunft über alle seine Loginvorgänge mit Zeitstempel, IP-Adressen und Gerätekennungen, ist dies zulässig, sofern diese Daten tatsächlich gespeichert und der Person zugeordnet sind. Das Unternehmen ist verpflichtet, diese Daten im Rahmen der Auskunft bereitzustellen. Weitere Informationen: - [Art. 15 DSGVO – Auskunftsrecht der betroffenen Person](https://dsgvo-gesetz.de/art-15-dsgvo/) - [Datenschutzkonferenz: Orientierungshilfe Auskunftsrecht](https://www.datenschutzkonferenz-online.de/media/oh/20220126_oh_auskunftsrecht.pdf)

Die IT-Leitung ist in Unternehmen häufig für verschiedene Verarbeitungstätigkeiten im Sinne der Datenschutz-Grundverordnung (DSGVO) verantwortlich. Verarbeitungstätigkeiten sind alle Vorgänge im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Speichern, Übermitteln, Löschen oder Auswerten dieser Daten. Typische Verarbeitungstätigkeiten der IT-Leitung nach DSGVO sind: 1. **Benutzer- und Zugriffsverwaltung** Verwaltung von Benutzerkonten, Passwörtern und Zugriffsrechten auf IT-Systeme, um sicherzustellen, dass nur berechtigte Personen Zugriff auf personenbezogene Daten haben. 2. **Betrieb von IT-Systemen und Netzwerken** Betrieb und Wartung von Servern, Datenbanken, E-Mail-Systemen und anderen IT-Infrastrukturen, auf denen personenbezogene Daten verarbeitet werden. 3. **Datensicherung und Backup** Durchführung und Verwaltung von Backups, um Datenverluste zu vermeiden und die Wiederherstellung personenbezogener Daten zu ermöglichen. 4. **IT-Support und Fehlerbehebung** Bearbeitung von Supportanfragen, bei denen personenbezogene Daten eingesehen oder verarbeitet werden können. 5. **Überwachung und Protokollierung** Einsatz von Monitoring- und Logging-Systemen zur Überwachung der IT-Infrastruktur, um Sicherheitsvorfälle zu erkennen und zu dokumentieren. 6. **Software- und Systemaktualisierungen** Durchführung von Updates und Patches, um Sicherheitslücken zu schließen und den Schutz personenbezogener Daten zu gewährleisten. 7. **Löschung und Vernichtung von Daten** Sicherstellung der datenschutzkonformen Löschung oder Vernichtung personenbezogener Daten, z. B. bei Aussonderung von Datenträgern. 8. **Verwaltung mobiler Geräte** Verwaltung und Absicherung von Laptops, Smartphones und anderen mobilen Endgeräten, auf denen personenbezogene Daten verarbeitet werden. 9. **Technische und organisatorische Maßnahmen (TOMs)** Umsetzung und Überwachung von Maßnahmen zum Schutz personenbezogener Daten gemäß Art. 32 DSGVO. **Dokumentationspflicht:** Nach Art. 30 DSGVO muss die IT-Leitung (bzw. das Unternehmen) ein Verzeichnis von Verarbeitungstätigkeiten führen, in dem alle relevanten Prozesse dokumentiert sind. **Beispiel für eine Verarbeitungstätigkeit im Verzeichnis:** - **Zweck:** Verwaltung von Benutzerkonten - **Kategorien betroffener Personen:** Mitarbeiter - **Kategorien personenbezogener Daten:** Name, Benutzername, E-Mail-Adresse, Zugriffsrechte - **Empfänger:** IT-Abteilung, ggf. externe IT-Dienstleister - **Löschfristen:** Nach Ausscheiden des Mitarbeiters, gemäß Löschkonzept - **Technische und organisatorische Maßnahmen:** Zugriffsbeschränkungen, Verschlüsselung, Protokollierung **Weitere Informationen:** - [DSGVO – Art. 30 Verzeichnis von Verarbeitungstätigkeiten](https://dsgvo-gesetz.de/art-30-dsgvo/) - [BfDI: Verarbeitungstätigkeiten](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitungstaetigkeiten/verarbeitungstaetigkeiten-node.html) Die konkrete Ausgestaltung hängt von der jeweiligen Organisation und den eingesetzten IT-Systemen ab.

Ob das IT-Ressourcen-Management eine Verarbeitungstätigkeit nach DSGVO ist, hängt davon ab, ob dabei personenbezogene Daten verarbeitet werden. **Definition Verarbeitungstätigkeit nach DSGVO:** Eine Verarbeitungstätigkeit im Sinne der Datenschutz-Grundverordnung (DSGVO) liegt immer dann vor, wenn personenbezogene Daten automatisiert oder nicht automatisiert verarbeitet werden (Art. 4 Nr. 2 DSGVO). Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). **IT-Ressourcen-Management:** Darunter versteht man die Verwaltung und Organisation von IT-Ressourcen wie Hardware, Software, Netzwerken und IT-Dienstleistungen. Wenn im Rahmen des IT-Ressourcen-Managements personenbezogene Daten verarbeitet werden (z. B. Nutzerkonten, Zugriffsprotokolle, Lizenzmanagement mit personenbezogenen Angaben), handelt es sich um eine Verarbeitungstätigkeit nach DSGVO. **Fazit:** - Werden im IT-Ressourcen-Management **keine** personenbezogenen Daten verarbeitet (z. B. rein technische Inventarisierung von Geräten ohne Personenbezug), liegt **keine** Verarbeitungstätigkeit nach DSGVO vor. - Werden **personenbezogene Daten** verarbeitet (z. B. Verwaltung von Nutzerzugängen, Protokollierung von Zugriffen), ist das IT-Ressourcen-Management **eine Verarbeitungstätigkeit nach DSGVO** und muss entsprechend dokumentiert werden. **Weiterführende Informationen:** - [DSGVO Art. 4 Begriffsbestimmungen](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) - [Verzeichnis von Verarbeitungstätigkeiten (BayLDA)](https://www.lda.bayern.de/de/verarbeitungstaetigkeiten.html) **Zusammengefasst:** IT-Ressourcen-Management ist dann eine Verarbeitungstätigkeit nach DSGVO, wenn dabei personenbezogene Daten verarbeitet werden.

Die Datenschutz-Grundverordnung (DSGVO) unterscheidet verschiedene Kategorien von Daten. Die wichtigsten Datenkategorien nach DSGVO sind: 1. **Personenbezogene Daten** Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Beispiele: Name, Adresse, E-Mail-Adresse, Telefonnummer, Geburtsdatum, IP-Adresse. 2. **Besondere Kategorien personenbezogener Daten** Diese werden auch als „sensible Daten“ bezeichnet und sind besonders schützenswert (Art. 9 DSGVO). Dazu gehören: - Daten über rassische und ethnische Herkunft - Politische Meinungen - Religiöse oder weltanschauliche Überzeugungen - Gewerkschaftszugehörigkeit - Genetische Daten - Biometrische Daten (zur eindeutigen Identifizierung) - Gesundheitsdaten - Daten zum Sexualleben oder zur sexuellen Orientierung 3. **Daten über strafrechtliche Verurteilungen und Straftaten** Diese Daten werden in Art. 10 DSGVO gesondert behandelt. Zusätzlich gibt es noch weitere Unterscheidungen, die im Kontext der DSGVO relevant sein können, wie z. B. **anonymisierte Daten** (nicht mehr personenbezogen) und **pseudonymisierte Daten** (personenbezogen, aber ohne direkten Bezug zur Person ohne Zusatzinformationen). Weitere Informationen findest du direkt im Gesetzestext der [DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

Beispiele für Verarbeitungstätigkeiten nach DSGVO sind: 1. **Personalverwaltung**: Erfassung und Verwaltung von Mitarbeiterdaten (z.B. Lohnabrechnung, Urlaubsverwaltung). 2. **Kundenverwaltung**: Speicherung und Nutzung von Kundendaten für Bestellungen, Rechnungsstellung oder Kundenservice. 3. **Newsletter-Versand**: Erhebung und Nutzung von E-Mail-Adressen für den Versand von Newslettern. 4. **Videoüberwachung**: Aufzeichnung und Speicherung von Bilddaten zur Sicherung von Gebäuden. 5. **Bewerbermanagement**: Verarbeitung von Bewerberdaten im Rahmen von Bewerbungsverfahren. 6. **Zutrittskontrolle**: Erfassung von Daten zur Kontrolle des Zugangs zu Gebäuden oder IT-Systemen. 7. **Veranstaltungsmanagement**: Erhebung und Verwaltung von Teilnehmerdaten bei Veranstaltungen. 8. **Lieferantenverwaltung**: Speicherung und Nutzung von Daten von Lieferanten und Dienstleistern. 9. **Nutzerverwaltung von IT-Systemen**: Verwaltung von Benutzerkonten und Zugriffsrechten. 10. **Kundenbefragungen**: Erhebung und Auswertung von Daten im Rahmen von Umfragen. Jede dieser Tätigkeiten erfordert gemäß Art. 30 DSGVO ein Verzeichnis der Verarbeitungstätigkeiten. Weitere Informationen findest du direkt bei der [Europäischen Kommission](https://ec.europa.eu/info/law/law-topic/data-protection_de).

Eine Verarbeitungstätigkeit nach DSGVO bezeichnet jeden Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, unabhängig davon, ob sie mit oder ohne Hilfe automatisierter Verfahren ausgeführt wird. Dazu zählen insbesondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten. Die DSGVO (Datenschutz-Grundverordnung) definiert den Begriff „Verarbeitung“ in Art. 4 Nr. 2 DSGVO. Eine Verarbeitungstätigkeit ist also jede Aktivität, bei der personenbezogene Daten genutzt werden – zum Beispiel das Führen einer Kundenliste, das Versenden von Newslettern oder die Speicherung von Mitarbeiterdaten. Unternehmen und Organisationen sind verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO), um Transparenz und Nachvollziehbarkeit im Umgang mit personenbezogenen Daten zu gewährleisten.

Ein Auftragskataster (auch: Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO) ist für IT-Dienstleister verpflichtend, wenn sie personenbezogene Daten im Auftrag ihrer Kunden verarbeiten. Es dokumentiert, welche Datenverarbeitungen stattfinden, zu welchem Zweck, auf welcher Rechtsgrundlage und mit welchen Schutzmaßnahmen. Hier ein Muster für ein solches Verzeichnis, angepasst auf einen IT-Dienstleister: --- **Muster: Auftragskataster / Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO** **1. Name und Kontaktdaten des Verantwortlichen** IT-Dienstleister GmbH Musterstraße 1 12345 Musterstadt E-Mail: info@it-dienstleister.de Telefon: 01234 567890 **2. Name und Kontaktdaten des Datenschutzbeauftragten** Max Mustermann E-Mail: datenschutz@it-dienstleister.de Telefon: 01234 567891 **3. Zwecke der Verarbeitung** - IT-Support und Wartung - Hosting von Kundendaten - Entwicklung und Pflege von Softwarelösungen - Durchführung von Backups - Fernwartung und Fehleranalyse **4. Beschreibung der Kategorien betroffener Personen** - Kunden und deren Mitarbeiter - Endnutzer der Kundensysteme **5. Beschreibung der Kategorien personenbezogener Daten** - Kontaktdaten (Name, E-Mail, Telefonnummer) - Zugangsdaten (Benutzername, Passwort) - Protokolldaten (z.B. Logfiles) - Vertragsdaten - ggf. besondere Kategorien (z.B. Gesundheitsdaten, falls relevant) **6. Kategorien von Empfängern** - Interne IT-Mitarbeiter - Subunternehmer (z.B. Rechenzentren, Cloud-Anbieter) - Behörden (nur im Rahmen gesetzlicher Verpflichtungen) **7. Übermittlungen in Drittländer** - Keine / oder: Ja, an [z.B. Microsoft Azure, USA] auf Basis von Standardvertragsklauseln **8. Fristen für die Löschung der Daten** - Nach Beendigung des Auftrags und Ablauf gesetzlicher Aufbewahrungsfristen - Regelmäßige Überprüfung und Löschung nicht mehr benötigter Daten **9. Technische und organisatorische Maßnahmen (TOMs)** - Verschlüsselung von Daten - Zugriffsbeschränkungen - Regelmäßige Schulungen der Mitarbeiter - Protokollierung von Zugriffen - Datensicherung und Wiederherstellungskonzepte --- **Hinweis:** Dieses Muster muss individuell an die tatsächlichen Verarbeitungstätigkeiten und die Unternehmensstruktur angepasst werden. Weitere Informationen und Vorlagen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder bei [Bitkom](https://www.bitkom.org/). **Rechtlicher Hinweis:** Dies ist keine Rechtsberatung, sondern ein Beispiel zur Orientierung. Für eine rechtssichere Ausgestaltung sollte ein Datenschutzexperte hinzugezogen werden.

Ob Newsletter-Leads aus dem Jahr 2023 weiterhin regelmäßig angeschrieben werden dürfen, hängt maßgeblich von der ursprünglichen Einwilligung und den geltenden Datenschutzbestimmungen ab, insbesondere der Datenschutz-Grundverordnung (DSGVO) und dem Gesetz gegen den unlaut Wettbewerb (UWG) in Deutschland. **Wichtige Punkte:** 1. **Einwilligung:** Die Empfänger müssen dem Erhalt von Newslettern ausdrücklich zugestimmt haben (Opt-in). Die Einwilligung muss dokumentiert und jederzeit nachweisbar sein. 2. **Zweckbindung:** Die Nutzung der E-Mail-Adressen darf nur zu dem Zweck erfolgen, dem die Empfänger zugestimmt haben. Wurde die Einwilligung für einen regelmäßigen Newsletter erteilt, ist ein Versand 2x jährlich in der Regel zulässig. 3. **Widerrufsmöglichkeit:** In jedem Newsletter muss eine einfache Möglichkeit zum Abbestellen (Opt-out) angeboten werden. Der Widerruf muss jederzeit möglich sein. 4. **Keine zeitliche Begrenzung, aber Aktualität:** Solange die Einwilligung nicht widerrufen wurde und der Zweck (z.B. regelmäßige Informationen per Newsletter) weiterhin besteht, gibt es keine feste zeitliche Begrenzung. Allerdings kann eine sehr lange Inaktivität der Empfänger problematisch sein, da die Einwilligung nach langer Zeit als „veraltet“ angesehen werden könnte. Die Datenschutzbehörden empfehlen, die Einwilligung nach längerer Inaktivität (z.B. mehrere Jahre ohne Interaktion) zu überprüfen oder zu erneuern. 5. **Dokumentationspflicht:** Es muss nachgewiesen werden können, wann und wie die Einwilligung erteilt wurde. **Fazit:** Wenn die Leads aus 2023 eine gültige Einwilligung für den Erhalt von Newslettern gegeben haben, dürfen sie grundsätzlich weiterhin 2x im Jahr angeschrieben werden – solange sie nicht widersprechen und der Zweck der Einwilligung eingehalten wird. Es empfiehlt sich jedoch, die Listen regelmäßig zu pflegen und inaktive Empfänger ggf. nach einer gewissen Zeit erneut um Bestätigung zu bitten. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).

Bei einem Löschungswunsch nach DSGVO (Art. 17 DSGVO – „Recht auf Vergessenwerden“) sind folgende Punkte zu beachten: 1. **Prüfung der Berechtigung:** Zunächst muss geprüft werden, ob der Löschungswunsch berechtigt ist. Die DSGVO sieht das Recht auf Löschung vor, wenn z.B. - die Daten für den ursprünglichen Zweck nicht mehr benötigt werden, - die Einwilligung widerrufen wurde und keine andere Rechtsgrundlage besteht, - die Daten unrechtmäßig verarbeitet wurden, - der Betroffene Widerspruch eingelegt hat und keine vorrangigen berechtigten Gründe vorliegen. 2. **Ausnahmen beachten:** Es gibt Ausnahmen, bei denen eine Löschung nicht erfolgen muss, z.B. - zur Erfüllung einer rechtlichen Verpflichtung (z.B. Aufbewahrungspflichten nach Handels- oder Steuerrecht), - zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. 3. **Umfang der Löschung:** Die Löschung muss alle personenbezogenen Daten umfassen, die vom Verantwortlichen verarbeitet werden. Auch an Dritte weitergegebene Daten müssen, soweit möglich, ebenfalls gelöscht werden (Informationspflicht gegenüber Empfängern). 4. **Technische Umsetzung:** Die Daten müssen so gelöscht werden, dass eine Wiederherstellung nicht möglich ist (z.B. durch Überschreiben oder physische Vernichtung). 5. **Dokumentation:** Der Löschungsprozess und die Entscheidung müssen dokumentiert werden, um die Einhaltung der DSGVO nachweisen zu können. 6. **Fristen:** Die Löschung muss unverzüglich, spätestens aber innerhalb eines Monats nach Eingang des Antrags erfolgen. In Ausnahmefällen kann die Frist um zwei weitere Monate verlängert werden (mit Begründung). 7. **Information an den Kunden:** Der Kunde muss über die erfolgte Löschung oder – falls nicht möglich – über die Gründe für die Nicht-Löschung informiert werden. Weitere Informationen findest du direkt im Gesetzestext: [Art. 17 DSGVO – Recht auf Löschung („Recht auf Vergessenwerden“)](https://dsgvo-gesetz.de/art-17-dsgvo/).