Dürfen für die Leadqualifizierung personenbezogene Daten wie Name, E-Mail, Telefonnummer, Firma, Anschrift, Branche und Jobfunktion abgefragt werden?

In einem Unternehmen ist in der Regel der Verantwortliche für den Datenschutz, also der Datenschutzbeauftragte (DSB), für die Festlegung und Überwachung von Löschfristen zuständig. Die eigentliche Verantwortung liegt jedoch bei der Geschäftsführung bzw. der verantwortlichen Stelle gemäß Datenschutz-Grundverordnung (DSGVO). Sie muss sicherstellen, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist, und entsprechende Löschkonzepte implementieren. Der Datenschutzbeauftragte berät und unterstützt dabei, die gesetzlichen und betrieblichen Anforderungen umzusetzen, aber die letztendliche Verantwortung trägt die Unternehmensleitung. Oft arbeiten Datenschutzbeauftragte, IT-Abteilung, Fachabteilungen und ggf. die Rechtsabteilung gemeinsam an der Festlegung und Umsetzung von Löschfristen.

Ein Datenschutzkonzept ist nicht mit einem Sicherheitskonzept gleichzustellen, auch wenn beide eng miteinander verbunden sind. **Datenschutzkonzept:** Ein Datenschutzkonzept beschreibt Maßnahmen, Prozesse und Verantwortlichkeiten, um personenbezogene Daten gemäß den gesetzlichen Vorgaben (z. B. DSGVO) zu schützen. Es legt fest, wie Daten erhoben, verarbeitet, gespeichert und gelöscht werden und wie die Rechte der Betroffenen gewahrt bleiben. **Sicherheitskonzept:** Ein Sicherheitskonzept ist umfassender und bezieht sich auf den Schutz aller Informationen und IT-Systeme eines Unternehmens – unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht. Es umfasst technische und organisatorische Maßnahmen zur Abwehr von Bedrohungen wie Hackerangriffen, Datenverlust oder Systemausfällen. **Fazit:** Das Datenschutzkonzept ist ein Teilbereich des Sicherheitskonzepts. Während das Sicherheitskonzept den Schutz aller Daten und Systeme behandelt, konzentriert sich das Datenschutzkonzept speziell auf den Schutz personenbezogener Daten und die Einhaltung datenschutzrechtlicher Vorgaben.

Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet einen umfassenden Rahmen für Informationssicherheit in Organisationen. Er enthält viele Maßnahmen, die auch dem Datenschutz dienen, etwa zum Schutz personenbezogener Daten vor unbefugtem Zugriff, Verlust oder Manipulation. Allerdings deckt der IT-Grundschutz nicht alle Anforderungen des Datenschutzes vollständig ab. Datenschutz – insbesondere nach der Datenschutz-Grundverordnung (DSGVO) – umfasst neben technischen und organisatorischen Maßnahmen (TOM) auch rechtliche, organisatorische und prozessuale Anforderungen, wie z.B.: - Rechtmäßigkeit der Datenverarbeitung - Betroffenenrechte (z.B. Auskunft, Löschung) - Datenschutz-Folgenabschätzung - Verzeichnis von Verarbeitungstätigkeiten - Auftragsverarbeitung Der IT-Grundschutz unterstützt zwar die Umsetzung vieler technischer und organisatorischer Maßnahmen, ersetzt aber keine vollständige Datenschutz-Compliance. Für einen umfassenden Datenschutz müssen zusätzlich die spezifischen gesetzlichen Anforderungen (z.B. DSGVO, BDSG) beachtet und umgesetzt werden. Weitere Informationen findest du beim [BSI zum IT-Grundschutz](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/it-grundschutz_node.html) und beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).

IT-Sicherheit selbst ist keine Verarbeitungstätigkeit im Sinne der Datenschutz-Grundverordnung (DSGVO). Einestätigkeit beschreibt einen Vorgang oder eine Reihe von Vorgängen im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Speichern, Übermitteln oder Löschen dieser Daten. IT-Sicherheitsmaßnahmen (z. B. Firewalls, Verschlüsselung, Zugriffskontrollen) dienen dazu, die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Sie sind also unterstützende Maßnahmen, die im Rahmen von Verarbeitungstätigkeiten eingesetzt werden, aber keine eigenständige Verarbeitungstätigkeit darstellen. In einem Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO werden die eigentlichen Prozesse (z. B. Lohnabrechnung, Kundenverwaltung) dokumentiert. Die dabei eingesetzten IT-Sicherheitsmaßnahmen werden in der Regel als technische und organisatorische Maßnahmen (TOM) separat beschrieben. Zusammengefasst: IT-Sicherheit ist keine Verarbeitungstätigkeit, sondern eine Maßnahme zum Schutz der Verarbeitungstätigkeiten.

Ja, im Sinne der Datenschutz-Grundverordnung (DSGVO) kann die Beschaffung als Verarbeitungstätigkeit gelten, sofern dabei personenbezogene Daten verarbeitet werden. **Begründung:** Die DSGVO definiert „Verarbeitung“ sehr weit und umfasst jeden Vorgang im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Offenlegen, Übermitteln, Verknüpfen, Einschränken, Löschen oder Vernichten. **Beispiel:** Wenn im Rahmen der Beschaffung (z. B. Einkauf von Waren oder Dienstleistungen) personenbezogene Daten von Ansprechpartnern bei Lieferanten, Mitarbeitern oder anderen natürlichen Personen verarbeitet werden (z. B. Name, Kontaktdaten, Bankverbindung), handelt es sich um eine Verarbeitungstätigkeit. **Praxis:** In vielen Unternehmen wird die Beschaffung daher als eigene Verarbeitungstätigkeit im Verzeichnis der Verarbeitungstätigkeiten dokumentiert. **Fazit:** Beschaffung ist dann eine Verarbeitungstätigkeit im Sinne der DSGVO, wenn dabei personenbezogene Daten verarbeitet werden.

Die Abfrage zusätzlicher Daten im Rahmen der Leadqualifizierung – etwa bei der Anmeldung zu einem Newsletter, der mit einem Whitepaper-Download gekoppelt ist – ist grundsätzlich möglich, aber an rechtliche Vorgaben gebunden, insbesondere an die Datenschutz-Grundverordnung (DSGVO). **Wichtige Punkte dabei:** 1. **Datenminimierung:** Nach Art. 5 Abs. 1 lit. c DSGVO dürfen nur solche Daten erhoben werden, die für den jeweiligen Zweck erforderlich sind. Für einen Newsletter ist in der Regel nur die E-Mail-Adresse zwingend notwendig. Weitere Angaben (z.B. Name, Firma, Telefonnummer) dürfen nur abgefragt werden, wenn sie für den Zweck (z.B. Leadqualifizierung) tatsächlich erforderlich sind. 2. **Kopplungsverbot:** Die Einwilligung in die Verarbeitung zusätzlicher Daten darf nicht an den Erhalt des Whitepapers oder des Newsletters gekoppelt werden, wenn diese Daten für die Bereitstellung des Whitepapers oder des Newsletters nicht notwendig sind. Das bedeutet: Möchtest du mehr Daten als die E-Mail-Adresse abfragen, muss dies freiwillig und getrennt erfolgen. 3. **Transparenz und Einwilligung:** Die betroffene Person muss klar und verständlich darüber informiert werden, welche Daten zu welchem Zweck erhoben werden. Für die Nutzung der Daten zur Leadqualifizierung (z.B. für spätere Kontaktaufnahme zu Werbezwecken) ist eine ausdrückliche Einwilligung erforderlich. **Fazit:** Die Abfrage zusätzlicher Daten ist zulässig, wenn sie für den Zweck erforderlich ist und die Nutzer:innen transparent informiert werden sowie freiwillig einwilligen. Eine Kopplung des Whitepaper-Downloads an die Angabe nicht erforderlicher Daten ist jedoch problematisch und kann gegen die DSGVO verstoßen. **Weitere Informationen:** - [Datenschutzkonferenz: Orientierungshilfe für Anbieter von Telemedien](https://www.datenschutzkonferenz-online.de/media/oh/20190523_oh_telemedien.pdf) - [DSGVO – Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten](https://dsgvo-gesetz.de/art-5-dsgvo/) Im Zweifel empfiehlt sich eine datenschutzrechtliche Beratung.

In einem Auftragsverarbeitungsvertrag (AVV) bezeichnet der Begriff "interne Empfänger" in der Regel Personen oder Abteilungen innerhalb des Unternehmens des Auftragsverarbeiters, die Zugriff auf die verarbeiteten personenbezogenen Daten erhalten. Das können zum Beispiel Mitarbeitende aus der IT, dem Support, der Buchhaltung oder der Geschäftsleitung sein, sofern sie im Rahmen ihrer Aufgaben mit den Daten arbeiten müssen. Der Begriff dient dazu, abzugrenzen, wer innerhalb der Organisation des Auftragsverarbeiters berechtigt ist, die Daten zu sehen oder zu verarbeiten – im Gegensatz zu "externen Empfängern", also Dritten außerhalb des Unternehmens (z.B. Subunternehmer, andere Dienstleister oder Behörden). Die Nennung "interner Empfänger" im AVV ist wichtig, um Transparenz zu schaffen und sicherzustellen, dass nur autorisierte Personen Zugriff auf die Daten haben, wie es die Datenschutz-Grundverordnung (DSGVO) verlangt.

Die genannten Angaben – Name, E-Mail-Adresse, Telefonnummer und Nutzerrolle – lassen sich als **personenbezogene Kontaktdaten und Zuordnungsmerkmale** oder als **Stammdaten von Mitarbeitern** zusammenfassen. Die passende Datenkategorie wäre: **Mitarbeiter-Stammdaten** bzw. **Kontaktdaten und organisatorische Zuordnungsdaten**. Diese Kategorie umfasst typischerweise alle grundlegenden Informationen, die zur Identifikation und Kontaktaufnahme sowie zur Einordnung der Funktion eines Mitarbeiters im Unternehmen dienen.

Die Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) ist eine unabhängige Aufsichtsbehörde, die für die Überwachung der Einhaltung des Datenschutzrechts im öffentlichen Bereich des Landes Rheinland-Pfalz zuständig ist. Dazu gehören auch Städte und Gemeinden wie Mainz. Ob die LfDI RLP tatsächlich gegen die Stadt Mainz vorgeht, hängt vom jeweiligen Sachverhalt ab. Grundsätzlich ist die LfDI verpflichtet, Beschwerden nachzugehen und bei festgestellten Datenschutzverstößen auch Maßnahmen gegen öffentliche Stellen zu ergreifen – dazu zählen Verwarnungen, Anordnungen zur Beseitigung von Verstößen oder auch die Einleitung von Verfahren. In der Praxis wird die LfDI RLP jedoch häufig zunächst das Gespräch mit der betroffenen Behörde suchen und auf eine einvernehmliche Lösung hinwirken. Sanktionen oder öffentlichkeitswirksame Maßnahmen werden meist erst dann ergriffen, wenn die Stadt trotz Aufforderung keine Abhilfe schafft oder wiederholt gegen Datenschutzvorgaben verstößt. Es ist also nicht ausgeschlossen, dass die LfDI RLP gegen die Stadt Mainz vorgeht, wenn ein relevanter Datenschutzverstoß vorliegt und keine freiwillige Abhilfe erfolgt. Die Unabhängigkeit der Behörde ist gesetzlich garantiert. Weitere Informationen findest du auf der offiziellen Seite der LfDI Rheinland-Pfalz: https://www.datenschutz.rlp.de/

Ja, bei der Durchführung eines Gewinnspiels unter neuen Newsletter-Abonnenten gibt es datenschutzrechtliche Aspekte zu beachten. Grundsätzlich ist es zulässig, ein Gewinnspiel mit der Anmeldung zu einem Newsletter zu verknüpfen, solange die Vorgaben der Datenschutz-Grundverordnung (DSGVO) eingehalten werden. Die wichtigsten Punkte sind: 1. **Transparenz und Information**: Die Teilnehmer müssen klar und verständlich darüber informiert werden, welche Daten zu welchem Zweck erhoben und verarbeitet werden. Dies sollte in einer Datenschutzerklärung geschehen. 2. **Einwilligung**: Für den Versand des Newsletters ist eine ausdrückliche, informierte Einwilligung der Teilnehmer erforderlich (z. B. durch ein Double-Opt-In-Verfahren). 3. **Keine Kopplung von Einwilligungen**: Die Teilnahme am Gewinnspiel darf nicht an die Einwilligung zu weiteren, nicht erforderlichen Datenverarbeitungen gekoppelt werden. Die Einwilligung zum Newsletter muss freiwillig erfolgen und darf nicht Bedingung für die Teilnahme am Gewinnspiel sein, wenn der Newsletter nicht zwingend für die Teilnahme erforderlich ist. 4. **Zweckbindung**: Die erhobenen Daten dürfen nur für die angegebenen Zwecke (z. B. Versand des Newsletters, Durchführung des Gewinnspiels) verwendet werden. 5. **Löschung der Daten**: Nach Abschluss des Gewinnspiels und ggf. nach Abmeldung vom Newsletter müssen die Daten gelöscht werden, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. **Fazit:** Ein Gewinnspiel unter neuen Newsletter-Abonnenten ist datenschutzrechtlich möglich, wenn die genannten Vorgaben eingehalten werden. Es empfiehlt sich, die Teilnahmebedingungen und die Datenschutzerklärung entsprechend anzupassen und transparent zu kommunizieren. Weitere Informationen findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/). Hinweis: Dies ist keine Rechtsberatung, sondern eine allgemeine Information. Im Zweifel sollte ein Datenschutzexperte oder Rechtsanwalt konsultiert werden.