Bezieht sich die Erhebung von Verarbeitungstätigkeiten nur auf systemgestützte Verarbeitung?

Die Durchführung und die Bereitstellung von Verarbeitungstätigkeiten sind aus datenschutzrechtlicher Sicht unterschiedliche Rollen. **Durchführung von Verarbeitungstätigkeiten** bedeutet, dass eine Partei (z. B. ein Unternehmen oder ein Dienstleister) tatsächlich personenbezogene Daten verarbeitet – also erhebt, speichert, verändert, übermittelt oder löscht. Wer die Verarbeitung durchführt, ist entweder **Verantwortlicher** oder **Auftragsverarbeiter** im Sinne der Datenschutz-Grundverordnung (DSGVO). **Bereitstellung von Verarbeitungstätigkeiten** ist kein fest definierter Begriff in der DSGVO, wird aber oft so verstanden, dass eine Partei die Infrastruktur, Software oder Plattform zur Verfügung stellt, mit der andere dann personenbezogene Daten verarbeiten können. Wer lediglich die technische Möglichkeit zur Verarbeitung bereitstellt, ohne selbst über die Zwecke und Mittel der Verarbeitung zu entscheiden, ist in der Regel **Auftragsverarbeiter**. **Fazit:** - Wer die Verarbeitung **durchführt** und über Zwecke und Mittel entscheidet, ist **Verantwortlicher**. - Wer die Verarbeitung **durchführt**, aber im Auftrag und nach Weisung eines anderen, ist **Auftragsverarbeiter**. - Wer nur die technische **Bereitstellung** ermöglicht, ist meist **Auftragsverarbeiter**, kann aber im Einzelfall auch Verantwortlicher sein, wenn er eigene Zwecke verfolgt. Die Rollen sind also unterschiedlich und hängen davon ab, wer über die Zwecke und Mittel der Verarbeitung entscheidet und wie die tatsächliche Tätigkeit ausgestaltet ist. Weitere Informationen findest du direkt bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder im [Text der DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

Grundsätzlich unterliegen alle Servertypen dem Datenschutz, sobald sie personenbezogene Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) oder des Bundesdatenschutzgesetzes (BDSG) verarbeiten. Es kommt also nicht auf den Servertyp selbst an, sondern darauf, ob und welche Daten darauf verarbeitet werden. Typische Servertypen, die häufig personenbezogene Daten verarbeiten und damit dem Datenschutz unterliegen, sind zum Beispiel: - **Mailserver** (verarbeiten E-Mails mit personenbezogenen Daten) - **Webserver** (verarbeiten z.B. IP-Adressen, Kontaktformulardaten) - **Datenbankserver** (speichern und verarbeiten personenbezogene Informationen) - **Dateiserver** (halten personenbezogene Dokumente und Dateien vor) - **Anwendungsserver** (verarbeiten Nutzerdaten im Rahmen von Softwareanwendungen) - **Cloud-Server** (hosten und verarbeiten Daten in der Cloud, oft auch personenbezogene) Auch andere Servertypen (z.B. Backup-Server, Authentifizierungsserver, Printserver) können dem Datenschutz unterliegen, wenn sie personenbezogene Daten speichern oder verarbeiten. **Fazit:** Nicht der Servertyp ist entscheidend, sondern die Art der Datenverarbeitung. Sobald ein Server personenbezogene Daten verarbeitet, gelten die Vorgaben des Datenschutzes, insbesondere der DSGVO. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).

Für die Erstellung eines Verarbeitungsverzeichnisses gemäß Art. 30 DSGVO können folgende Arbeitspakete sinnvoll sein: 1. **Projektvorbereitung und Zieldefinition** - Verantwortlichkeiten festlegen - Ziele und Umfang des Verzeichnisses definieren 2. **Informationssammlung** - Erhebung aller Geschäftsprozesse, in denen personenbezogene Daten verarbeitet werden - Identifikation der verantwortlichen Abteilungen und Ansprechpartner 3. **Prozesserhebung und -dokumentation** - Detaillierte Erfassung der einzelnen Verarbeitungstätigkeiten (Zweck, Kategorien betroffener Personen und Daten, Empfänger, Übermittlungen in Drittländer, Löschfristen, technische und organisatorische Maßnahmen) - Nutzung von Fragebögen oder Interviews zur Datenerhebung 4. **Strukturierung und Erstellung des Verzeichnisses** - Zusammenführung und Strukturierung der gesammelten Informationen - Erstellung des Verzeichnisses in der geforderten Form (z. B. Excel, spezielle Software) 5. **Abstimmung und Validierung** - Überprüfung der Inhalte mit den Fachabteilungen - Korrekturen und Ergänzungen einarbeiten 6. **Freigabe und Dokumentation** - Endgültige Freigabe durch die verantwortliche Stelle (z. B. Datenschutzbeauftragter) - Ablage und Sicherstellung der Verfügbarkeit für Aufsichtsbehörden 7. **Schulung und Sensibilisierung** - Information und Schulung der Mitarbeitenden über das Verarbeitungsverzeichnis und deren Mitwirkungspflichten 8. **Regelmäßige Aktualisierung** - Festlegung eines Prozesses zur regelmäßigen Überprüfung und Aktualisierung des Verzeichnisses Diese Arbeitspakete können je nach Unternehmensgröße und Komplexität angepasst werden.

In einem Unternehmen ist in der Regel der Verantwortliche für den Datenschutz, also der Datenschutzbeauftragte (DSB), für die Festlegung und Überwachung von Löschfristen zuständig. Die eigentliche Verantwortung liegt jedoch bei der Geschäftsführung bzw. der verantwortlichen Stelle gemäß Datenschutz-Grundverordnung (DSGVO). Sie muss sicherstellen, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist, und entsprechende Löschkonzepte implementieren. Der Datenschutzbeauftragte berät und unterstützt dabei, die gesetzlichen und betrieblichen Anforderungen umzusetzen, aber die letztendliche Verantwortung trägt die Unternehmensleitung. Oft arbeiten Datenschutzbeauftragte, IT-Abteilung, Fachabteilungen und ggf. die Rechtsabteilung gemeinsam an der Festlegung und Umsetzung von Löschfristen.

Ein Datenschutzkonzept ist nicht mit einem Sicherheitskonzept gleichzustellen, auch wenn beide eng miteinander verbunden sind. **Datenschutzkonzept:** Ein Datenschutzkonzept beschreibt Maßnahmen, Prozesse und Verantwortlichkeiten, um personenbezogene Daten gemäß den gesetzlichen Vorgaben (z. B. DSGVO) zu schützen. Es legt fest, wie Daten erhoben, verarbeitet, gespeichert und gelöscht werden und wie die Rechte der Betroffenen gewahrt bleiben. **Sicherheitskonzept:** Ein Sicherheitskonzept ist umfassender und bezieht sich auf den Schutz aller Informationen und IT-Systeme eines Unternehmens – unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht. Es umfasst technische und organisatorische Maßnahmen zur Abwehr von Bedrohungen wie Hackerangriffen, Datenverlust oder Systemausfällen. **Fazit:** Das Datenschutzkonzept ist ein Teilbereich des Sicherheitskonzepts. Während das Sicherheitskonzept den Schutz aller Daten und Systeme behandelt, konzentriert sich das Datenschutzkonzept speziell auf den Schutz personenbezogener Daten und die Einhaltung datenschutzrechtlicher Vorgaben.

Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet einen umfassenden Rahmen für Informationssicherheit in Organisationen. Er enthält viele Maßnahmen, die auch dem Datenschutz dienen, etwa zum Schutz personenbezogener Daten vor unbefugtem Zugriff, Verlust oder Manipulation. Allerdings deckt der IT-Grundschutz nicht alle Anforderungen des Datenschutzes vollständig ab. Datenschutz – insbesondere nach der Datenschutz-Grundverordnung (DSGVO) – umfasst neben technischen und organisatorischen Maßnahmen (TOM) auch rechtliche, organisatorische und prozessuale Anforderungen, wie z.B.: - Rechtmäßigkeit der Datenverarbeitung - Betroffenenrechte (z.B. Auskunft, Löschung) - Datenschutz-Folgenabschätzung - Verzeichnis von Verarbeitungstätigkeiten - Auftragsverarbeitung Der IT-Grundschutz unterstützt zwar die Umsetzung vieler technischer und organisatorischer Maßnahmen, ersetzt aber keine vollständige Datenschutz-Compliance. Für einen umfassenden Datenschutz müssen zusätzlich die spezifischen gesetzlichen Anforderungen (z.B. DSGVO, BDSG) beachtet und umgesetzt werden. Weitere Informationen findest du beim [BSI zum IT-Grundschutz](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/it-grundschutz_node.html) und beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).

IT-Sicherheit selbst ist keine Verarbeitungstätigkeit im Sinne der Datenschutz-Grundverordnung (DSGVO). Einestätigkeit beschreibt einen Vorgang oder eine Reihe von Vorgängen im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Speichern, Übermitteln oder Löschen dieser Daten. IT-Sicherheitsmaßnahmen (z. B. Firewalls, Verschlüsselung, Zugriffskontrollen) dienen dazu, die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Sie sind also unterstützende Maßnahmen, die im Rahmen von Verarbeitungstätigkeiten eingesetzt werden, aber keine eigenständige Verarbeitungstätigkeit darstellen. In einem Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO werden die eigentlichen Prozesse (z. B. Lohnabrechnung, Kundenverwaltung) dokumentiert. Die dabei eingesetzten IT-Sicherheitsmaßnahmen werden in der Regel als technische und organisatorische Maßnahmen (TOM) separat beschrieben. Zusammengefasst: IT-Sicherheit ist keine Verarbeitungstätigkeit, sondern eine Maßnahme zum Schutz der Verarbeitungstätigkeiten.

Ja, im Sinne der Datenschutz-Grundverordnung (DSGVO) kann die Beschaffung als Verarbeitungstätigkeit gelten, sofern dabei personenbezogene Daten verarbeitet werden. **Begründung:** Die DSGVO definiert „Verarbeitung“ sehr weit und umfasst jeden Vorgang im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Offenlegen, Übermitteln, Verknüpfen, Einschränken, Löschen oder Vernichten. **Beispiel:** Wenn im Rahmen der Beschaffung (z. B. Einkauf von Waren oder Dienstleistungen) personenbezogene Daten von Ansprechpartnern bei Lieferanten, Mitarbeitern oder anderen natürlichen Personen verarbeitet werden (z. B. Name, Kontaktdaten, Bankverbindung), handelt es sich um eine Verarbeitungstätigkeit. **Praxis:** In vielen Unternehmen wird die Beschaffung daher als eigene Verarbeitungstätigkeit im Verzeichnis der Verarbeitungstätigkeiten dokumentiert. **Fazit:** Beschaffung ist dann eine Verarbeitungstätigkeit im Sinne der DSGVO, wenn dabei personenbezogene Daten verarbeitet werden.

Die Abfrage von personenbezogenen Daten wie Vorname, Nachname, E-Mail, dienstliche Telefonnummer, Firma, Postanschrift, Land, Branche und Jobfunktion im Rahmen der Leadqualifizierung ist grundsätzlich möglich, unterliegt aber in Deutschland und der EU den Vorgaben der Datenschutz-Grundverordnung (DSGVO). Wichtige Voraussetzungen: 1. **Rechtmäßigkeit der Verarbeitung:** Es muss eine Rechtsgrundlage für die Datenerhebung geben. Im Marketing-Kontext ist das meist die Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO) oder ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO), wobei letzteres sorgfältig abgewogen werden muss. 2. **Datenminimierung:** Es dürfen nur die Daten abgefragt werden, die für den Zweck der Leadqualifizierung tatsächlich erforderlich sind (Art. 5 Abs. 1 lit. c DSGVO). Beispielsweise ist die Abfrage der Postanschrift nur dann zulässig, wenn sie für die Qualifizierung oder spätere Kontaktaufnahme wirklich notwendig ist. 3. **Transparenz und Information:** Die betroffene Person muss klar und verständlich über die Datenerhebung, den Zweck, die Speicherdauer und ihre Rechte informiert werden (Art. 13 DSGVO). 4. **Freiwilligkeit der Einwilligung:** Die Einwilligung muss freiwillig erfolgen. Pflichtfelder sollten auf das Notwendige beschränkt sein. **Fazit:** Die genannten Daten dürfen abgefragt werden, wenn sie für den Zweck der Leadqualifizierung erforderlich sind und die Vorgaben der DSGVO eingehalten werden. Es empfiehlt sich, die Datenerhebung auf das Notwendige zu beschränken und die Betroffenen transparent zu informieren. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [BfDI](https://www.bfdi.bund.de/).

Nein, ein Verfahrensverzeichnis und ein Verzeichnis aller Verarbeitungstätigkeiten nach DSGVO sind nicht exakt das Gleiche, werden aber oft synonym verwendet. **Hintergrund:** - Das „Verfahrensverzeichnis“ stammt aus dem alten Bundesdatenschutzgesetz (BDSG a.F.) und bezeichnete dort die Dokumentation der Verfahren, in denen personenbezogene Daten verarbeitet wurden. - Die Datenschutz-Grundverordnung (DSGVO) spricht hingegen vom „Verzeichnis von Verarbeitungstätigkeiten“ (Art. 30 DSGVO). **Unterschiede:** - Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO ist umfassender und moderner gefasst als das frühere Verfahrensverzeichnis. - Es muss bestimmte Angaben enthalten, z. B. Zwecke der Verarbeitung, Kategorien betroffener Personen und Daten, Empfänger, Übermittlungen in Drittländer, Löschfristen und technische sowie organisatorische Maßnahmen. **Fazit:** Im heutigen Datenschutzrecht nach DSGVO ist das „Verzeichnis von Verarbeitungstätigkeiten“ der korrekte und rechtlich relevante Begriff. Das „Verfahrensverzeichnis“ ist ein veralteter Begriff, der aber inhaltlich ähnlich ist. In der Praxis meinen viele mit „Verfahrensverzeichnis“ das nach DSGVO geforderte Verzeichnis, korrekt ist jedoch die Bezeichnung „Verzeichnis von Verarbeitungstätigkeiten“. Weitere Informationen findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_06_auslegung_verzeichnis_verarbeitungstaetigkeiten.pdf).