Dürfen Newsletter-Leads aus 2023 dauerhaft zweimal jährlich kontaktiert werden?

Ein Auskunftsverlangen nach Art. 15 DSGVO ist grundsätzlich zulässig, wenn es sich um personenbezogene Daten handelt, die das Unternehmen über die betroffene Person verarbeitet. Dazu zählen auch Protokolldaten wie Loginvorgänge mit Zeitstempel, IP-Adressen und ggf. Gerätekennungen, sofern diese Daten einer Person zugeordnet werden können. **Wichtige Punkte:** - **Personenbezug:** Die Daten (Loginzeiten, IP-Adressen, Gerätekennungen) müssen eindeutig der anfragenden Person zugeordnet werden können. Ist das der Fall, handelt es sich um personenbezogene Daten im Sinne der DSGVO. - **Umfang der Auskunft:** Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, Auskunft über die verarbeiteten personenbezogenen Daten zu erhalten, einschließlich der Verarbeitungszwecke, Kategorien, Empfänger, Speicherdauer etc. - **Grenzen:** Die Auskunft darf nicht die Rechte und Freiheiten anderer Personen beeinträchtigen (Art. 15 Abs. 4 DSGVO). Außerdem kann die Auskunft verweigert oder eingeschränkt werden, wenn dies z.B. Geschäftsgeheimnisse oder Rechte Dritter gefährden würde. - **Technische Umsetzbarkeit:** Die Auskunft muss in einer verständlichen Form erfolgen. Es besteht keine Pflicht, Daten zu generieren, die nicht vorliegen. **Fazit:** Fordert ein Kunde nach Art. 15 DSGVO Auskunft über alle seine Loginvorgänge mit Zeitstempel, IP-Adressen und Gerätekennungen, ist dies zulässig, sofern diese Daten tatsächlich gespeichert und der Person zugeordnet sind. Das Unternehmen ist verpflichtet, diese Daten im Rahmen der Auskunft bereitzustellen. Weitere Informationen: - [Art. 15 DSGVO – Auskunftsrecht der betroffenen Person](https://dsgvo-gesetz.de/art-15-dsgvo/) - [Datenschutzkonferenz: Orientierungshilfe Auskunftsrecht](https://www.datenschutzkonferenz-online.de/media/oh/20220126_oh_auskunftsrecht.pdf)

Ja, bei der Durchführung eines Gewinnspiels unter neuen Newsletter-Abonnenten gibt es datenschutzrechtliche Aspekte zu beachten. Grundsätzlich ist es zulässig, ein Gewinnspiel mit der Anmeldung zu einem Newsletter zu verknüpfen, solange die Vorgaben der Datenschutz-Grundverordnung (DSGVO) eingehalten werden. Die wichtigsten Punkte sind: 1. **Transparenz und Information**: Die Teilnehmer müssen klar und verständlich darüber informiert werden, welche Daten zu welchem Zweck erhoben und verarbeitet werden. Dies sollte in einer Datenschutzerklärung geschehen. 2. **Einwilligung**: Für den Versand des Newsletters ist eine ausdrückliche, informierte Einwilligung der Teilnehmer erforderlich (z. B. durch ein Double-Opt-In-Verfahren). 3. **Keine Kopplung von Einwilligungen**: Die Teilnahme am Gewinnspiel darf nicht an die Einwilligung zu weiteren, nicht erforderlichen Datenverarbeitungen gekoppelt werden. Die Einwilligung zum Newsletter muss freiwillig erfolgen und darf nicht Bedingung für die Teilnahme am Gewinnspiel sein, wenn der Newsletter nicht zwingend für die Teilnahme erforderlich ist. 4. **Zweckbindung**: Die erhobenen Daten dürfen nur für die angegebenen Zwecke (z. B. Versand des Newsletters, Durchführung des Gewinnspiels) verwendet werden. 5. **Löschung der Daten**: Nach Abschluss des Gewinnspiels und ggf. nach Abmeldung vom Newsletter müssen die Daten gelöscht werden, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. **Fazit:** Ein Gewinnspiel unter neuen Newsletter-Abonnenten ist datenschutzrechtlich möglich, wenn die genannten Vorgaben eingehalten werden. Es empfiehlt sich, die Teilnahmebedingungen und die Datenschutzerklärung entsprechend anzupassen und transparent zu kommunizieren. Weitere Informationen findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/). Hinweis: Dies ist keine Rechtsberatung, sondern eine allgemeine Information. Im Zweifel sollte ein Datenschutzexperte oder Rechtsanwalt konsultiert werden.

Die IT-Leitung ist in Unternehmen häufig für verschiedene Verarbeitungstätigkeiten im Sinne der Datenschutz-Grundverordnung (DSGVO) verantwortlich. Verarbeitungstätigkeiten sind alle Vorgänge im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Speichern, Übermitteln, Löschen oder Auswerten dieser Daten. Typische Verarbeitungstätigkeiten der IT-Leitung nach DSGVO sind: 1. **Benutzer- und Zugriffsverwaltung** Verwaltung von Benutzerkonten, Passwörtern und Zugriffsrechten auf IT-Systeme, um sicherzustellen, dass nur berechtigte Personen Zugriff auf personenbezogene Daten haben. 2. **Betrieb von IT-Systemen und Netzwerken** Betrieb und Wartung von Servern, Datenbanken, E-Mail-Systemen und anderen IT-Infrastrukturen, auf denen personenbezogene Daten verarbeitet werden. 3. **Datensicherung und Backup** Durchführung und Verwaltung von Backups, um Datenverluste zu vermeiden und die Wiederherstellung personenbezogener Daten zu ermöglichen. 4. **IT-Support und Fehlerbehebung** Bearbeitung von Supportanfragen, bei denen personenbezogene Daten eingesehen oder verarbeitet werden können. 5. **Überwachung und Protokollierung** Einsatz von Monitoring- und Logging-Systemen zur Überwachung der IT-Infrastruktur, um Sicherheitsvorfälle zu erkennen und zu dokumentieren. 6. **Software- und Systemaktualisierungen** Durchführung von Updates und Patches, um Sicherheitslücken zu schließen und den Schutz personenbezogener Daten zu gewährleisten. 7. **Löschung und Vernichtung von Daten** Sicherstellung der datenschutzkonformen Löschung oder Vernichtung personenbezogener Daten, z. B. bei Aussonderung von Datenträgern. 8. **Verwaltung mobiler Geräte** Verwaltung und Absicherung von Laptops, Smartphones und anderen mobilen Endgeräten, auf denen personenbezogene Daten verarbeitet werden. 9. **Technische und organisatorische Maßnahmen (TOMs)** Umsetzung und Überwachung von Maßnahmen zum Schutz personenbezogener Daten gemäß Art. 32 DSGVO. **Dokumentationspflicht:** Nach Art. 30 DSGVO muss die IT-Leitung (bzw. das Unternehmen) ein Verzeichnis von Verarbeitungstätigkeiten führen, in dem alle relevanten Prozesse dokumentiert sind. **Beispiel für eine Verarbeitungstätigkeit im Verzeichnis:** - **Zweck:** Verwaltung von Benutzerkonten - **Kategorien betroffener Personen:** Mitarbeiter - **Kategorien personenbezogener Daten:** Name, Benutzername, E-Mail-Adresse, Zugriffsrechte - **Empfänger:** IT-Abteilung, ggf. externe IT-Dienstleister - **Löschfristen:** Nach Ausscheiden des Mitarbeiters, gemäß Löschkonzept - **Technische und organisatorische Maßnahmen:** Zugriffsbeschränkungen, Verschlüsselung, Protokollierung **Weitere Informationen:** - [DSGVO – Art. 30 Verzeichnis von Verarbeitungstätigkeiten](https://dsgvo-gesetz.de/art-30-dsgvo/) - [BfDI: Verarbeitungstätigkeiten](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitungstaetigkeiten/verarbeitungstaetigkeiten-node.html) Die konkrete Ausgestaltung hängt von der jeweiligen Organisation und den eingesetzten IT-Systemen ab.

Ob das IT-Ressourcen-Management eine Verarbeitungstätigkeit nach DSGVO ist, hängt davon ab, ob dabei personenbezogene Daten verarbeitet werden. **Definition Verarbeitungstätigkeit nach DSGVO:** Eine Verarbeitungstätigkeit im Sinne der Datenschutz-Grundverordnung (DSGVO) liegt immer dann vor, wenn personenbezogene Daten automatisiert oder nicht automatisiert verarbeitet werden (Art. 4 Nr. 2 DSGVO). Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). **IT-Ressourcen-Management:** Darunter versteht man die Verwaltung und Organisation von IT-Ressourcen wie Hardware, Software, Netzwerken und IT-Dienstleistungen. Wenn im Rahmen des IT-Ressourcen-Managements personenbezogene Daten verarbeitet werden (z. B. Nutzerkonten, Zugriffsprotokolle, Lizenzmanagement mit personenbezogenen Angaben), handelt es sich um eine Verarbeitungstätigkeit nach DSGVO. **Fazit:** - Werden im IT-Ressourcen-Management **keine** personenbezogenen Daten verarbeitet (z. B. rein technische Inventarisierung von Geräten ohne Personenbezug), liegt **keine** Verarbeitungstätigkeit nach DSGVO vor. - Werden **personenbezogene Daten** verarbeitet (z. B. Verwaltung von Nutzerzugängen, Protokollierung von Zugriffen), ist das IT-Ressourcen-Management **eine Verarbeitungstätigkeit nach DSGVO** und muss entsprechend dokumentiert werden. **Weiterführende Informationen:** - [DSGVO Art. 4 Begriffsbestimmungen](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) - [Verzeichnis von Verarbeitungstätigkeiten (BayLDA)](https://www.lda.bayern.de/de/verarbeitungstaetigkeiten.html) **Zusammengefasst:** IT-Ressourcen-Management ist dann eine Verarbeitungstätigkeit nach DSGVO, wenn dabei personenbezogene Daten verarbeitet werden.

Die Datenschutz-Grundverordnung (DSGVO) unterscheidet verschiedene Kategorien von Daten. Die wichtigsten Datenkategorien nach DSGVO sind: 1. **Personenbezogene Daten** Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Beispiele: Name, Adresse, E-Mail-Adresse, Telefonnummer, Geburtsdatum, IP-Adresse. 2. **Besondere Kategorien personenbezogener Daten** Diese werden auch als „sensible Daten“ bezeichnet und sind besonders schützenswert (Art. 9 DSGVO). Dazu gehören: - Daten über rassische und ethnische Herkunft - Politische Meinungen - Religiöse oder weltanschauliche Überzeugungen - Gewerkschaftszugehörigkeit - Genetische Daten - Biometrische Daten (zur eindeutigen Identifizierung) - Gesundheitsdaten - Daten zum Sexualleben oder zur sexuellen Orientierung 3. **Daten über strafrechtliche Verurteilungen und Straftaten** Diese Daten werden in Art. 10 DSGVO gesondert behandelt. Zusätzlich gibt es noch weitere Unterscheidungen, die im Kontext der DSGVO relevant sein können, wie z. B. **anonymisierte Daten** (nicht mehr personenbezogen) und **pseudonymisierte Daten** (personenbezogen, aber ohne direkten Bezug zur Person ohne Zusatzinformationen). Weitere Informationen findest du direkt im Gesetzestext der [DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

Beispiele für Verarbeitungstätigkeiten nach DSGVO sind: 1. **Personalverwaltung**: Erfassung und Verwaltung von Mitarbeiterdaten (z.B. Lohnabrechnung, Urlaubsverwaltung). 2. **Kundenverwaltung**: Speicherung und Nutzung von Kundendaten für Bestellungen, Rechnungsstellung oder Kundenservice. 3. **Newsletter-Versand**: Erhebung und Nutzung von E-Mail-Adressen für den Versand von Newslettern. 4. **Videoüberwachung**: Aufzeichnung und Speicherung von Bilddaten zur Sicherung von Gebäuden. 5. **Bewerbermanagement**: Verarbeitung von Bewerberdaten im Rahmen von Bewerbungsverfahren. 6. **Zutrittskontrolle**: Erfassung von Daten zur Kontrolle des Zugangs zu Gebäuden oder IT-Systemen. 7. **Veranstaltungsmanagement**: Erhebung und Verwaltung von Teilnehmerdaten bei Veranstaltungen. 8. **Lieferantenverwaltung**: Speicherung und Nutzung von Daten von Lieferanten und Dienstleistern. 9. **Nutzerverwaltung von IT-Systemen**: Verwaltung von Benutzerkonten und Zugriffsrechten. 10. **Kundenbefragungen**: Erhebung und Auswertung von Daten im Rahmen von Umfragen. Jede dieser Tätigkeiten erfordert gemäß Art. 30 DSGVO ein Verzeichnis der Verarbeitungstätigkeiten. Weitere Informationen findest du direkt bei der [Europäischen Kommission](https://ec.europa.eu/info/law/law-topic/data-protection_de).

Eine Verarbeitungstätigkeit nach DSGVO bezeichnet jeden Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, unabhängig davon, ob sie mit oder ohne Hilfe automatisierter Verfahren ausgeführt wird. Dazu zählen insbesondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten. Die DSGVO (Datenschutz-Grundverordnung) definiert den Begriff „Verarbeitung“ in Art. 4 Nr. 2 DSGVO. Eine Verarbeitungstätigkeit ist also jede Aktivität, bei der personenbezogene Daten genutzt werden – zum Beispiel das Führen einer Kundenliste, das Versenden von Newslettern oder die Speicherung von Mitarbeiterdaten. Unternehmen und Organisationen sind verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO), um Transparenz und Nachvollziehbarkeit im Umgang mit personenbezogenen Daten zu gewährleisten.

Der Download eines Whitepapers gegen die Einwilligung in einen Newsletter ist grundsätzlich **zulässig**, aber es gibt dabei wichtige rechtliche Vorgaben zu beachten, insbesondere nach der Datenschutz-Grundverordnung (DSGVO) und dem Gesetz gegen den unlauteren Wettbewerb (UWG) in Deutschland. **Wichtige Punkte:** 1. **Kopplungsverbot:** Nach Art. 7 Abs. 4 DSGVO darf die Einwilligung in die Verarbeitung personenbezogener Daten (z.B. für den Newsletter) nicht an die Erbringung einer Dienstleistung (z.B. Download des Whitepapers) gekoppelt werden, wenn die Daten für die Dienstleistung nicht erforderlich sind. Das bedeutet: Die Einwilligung muss freiwillig erfolgen. Allerdings ist es nach aktueller Rechtsauffassung zulässig, den Download eines Whitepapers an die Einwilligung zum Newsletter zu koppeln, solange der Nutzer klar und transparent darüber informiert wird und eine echte Wahl hat (z.B. indem das Whitepaper auch ohne Newsletter-Einwilligung erhältlich ist). 2. **Transparenz und Information:** Die Nutzer müssen klar und verständlich darüber informiert werden, dass sie mit der Einwilligung in den Newsletter auch Werbe-E-Mails erhalten und dass sie diese Einwilligung jederzeit widerrufen können. 3. **Double-Opt-In:** Für den Versand von Newslettern ist das Double-Opt-In-Verfahren erforderlich, um die Einwilligung nachweisen zu können. 4. **Keine Irreführung:** Es darf nicht der Eindruck erweckt werden, dass der Download nur mit Newsletter-Anmeldung möglich ist, wenn es auch eine andere Möglichkeit gibt. **Fazit:** Die Praxis, den Download eines Whitepapers an die Newsletter-Einwilligung zu koppeln, ist rechtlich möglich, solange die Einwilligung freiwillig, informiert und widerrufbar ist und die gesetzlichen Vorgaben eingehalten werden. Es empfiehlt sich, die Einwilligungserklärung und die Informationspflichten rechtlich prüfen zu lassen, um Abmahnungen zu vermeiden. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder bei [IHK.de](https://www.ihk.de/).

Ein Auftragskataster (auch: Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO) ist für IT-Dienstleister verpflichtend, wenn sie personenbezogene Daten im Auftrag ihrer Kunden verarbeiten. Es dokumentiert, welche Datenverarbeitungen stattfinden, zu welchem Zweck, auf welcher Rechtsgrundlage und mit welchen Schutzmaßnahmen. Hier ein Muster für ein solches Verzeichnis, angepasst auf einen IT-Dienstleister: --- **Muster: Auftragskataster / Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO** **1. Name und Kontaktdaten des Verantwortlichen** IT-Dienstleister GmbH Musterstraße 1 12345 Musterstadt E-Mail: info@it-dienstleister.de Telefon: 01234 567890 **2. Name und Kontaktdaten des Datenschutzbeauftragten** Max Mustermann E-Mail: datenschutz@it-dienstleister.de Telefon: 01234 567891 **3. Zwecke der Verarbeitung** - IT-Support und Wartung - Hosting von Kundendaten - Entwicklung und Pflege von Softwarelösungen - Durchführung von Backups - Fernwartung und Fehleranalyse **4. Beschreibung der Kategorien betroffener Personen** - Kunden und deren Mitarbeiter - Endnutzer der Kundensysteme **5. Beschreibung der Kategorien personenbezogener Daten** - Kontaktdaten (Name, E-Mail, Telefonnummer) - Zugangsdaten (Benutzername, Passwort) - Protokolldaten (z.B. Logfiles) - Vertragsdaten - ggf. besondere Kategorien (z.B. Gesundheitsdaten, falls relevant) **6. Kategorien von Empfängern** - Interne IT-Mitarbeiter - Subunternehmer (z.B. Rechenzentren, Cloud-Anbieter) - Behörden (nur im Rahmen gesetzlicher Verpflichtungen) **7. Übermittlungen in Drittländer** - Keine / oder: Ja, an [z.B. Microsoft Azure, USA] auf Basis von Standardvertragsklauseln **8. Fristen für die Löschung der Daten** - Nach Beendigung des Auftrags und Ablauf gesetzlicher Aufbewahrungsfristen - Regelmäßige Überprüfung und Löschung nicht mehr benötigter Daten **9. Technische und organisatorische Maßnahmen (TOMs)** - Verschlüsselung von Daten - Zugriffsbeschränkungen - Regelmäßige Schulungen der Mitarbeiter - Protokollierung von Zugriffen - Datensicherung und Wiederherstellungskonzepte --- **Hinweis:** Dieses Muster muss individuell an die tatsächlichen Verarbeitungstätigkeiten und die Unternehmensstruktur angepasst werden. Weitere Informationen und Vorlagen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder bei [Bitkom](https://www.bitkom.org/). **Rechtlicher Hinweis:** Dies ist keine Rechtsberatung, sondern ein Beispiel zur Orientierung. Für eine rechtssichere Ausgestaltung sollte ein Datenschutzexperte hinzugezogen werden.

Ein DSGVO-Auftragskataster (auch Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO genannt) muss bestimmte Angaben enthalten, um den Anforderungen der-Grundver (DSGVO zu entsprechen. Folgende Inhalte sindend: 1 **Name und Konttdaten des Verantwort** und ggf. des gemeinsamen Verantwortlichen, des Vertreters des Verantwortlichen sowie des Datenschutzbeauftragten). 2. **Zwecke der Verarbeitung** Beschreibung, zu welchen Zwecken die personenbezogenen Daten verarbeitet werden. 3. **Beschreibung der Kategorien betroffener Personen** Zum Beispiel: Kunden, Mitarbeiter, Lieferanten. 4. **Beschreibung der Kategorien personenbezogener Daten** Zum Beispiel: Name, Adresse, Kontaktdaten, Bankdaten. 5. **Kategorien von Empfängern** An wen werden die Daten weitergegeben? (z.B. IT-Dienstleister, Steuerberater). 6. **Übermittlungen in Drittländer** Falls Daten außerhalb der EU/des EWR übermittelt werden: Angabe des Landes und ggf. der Garantien nach Art. 46 DSGVO. 7. **Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien** Wie lange werden die Daten gespeichert? 8. **Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen** Maßnahmen zum Schutz der Daten (z.B. Verschlüsselung, Zugangskontrollen). **Hinweis:** Auftragsverarbeiter müssen ein ähnliches Verzeichnis führen, das sich auf die im Auftrag durchgeführten Verarbeitungstätigkeiten bezieht. Weitere Informationen findest du direkt im Gesetzestext: [Art. 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten](https://dsgvo-gesetz.de/art-30-dsgvo/) Das Auftragskataster ist ein zentrales Element für die Rechenschaftspflicht nach DSGVO und sollte regelmäßig aktualisiert werden.