Zwei Regelungen zum Datenschutz?

Der Begriff „berechtigtes Interesse“ stammt aus dem Datenschutzrecht, insbesondere aus der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Nach Art. 6 Abs. 1 lit. f DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Ein „berechtigtes Interesse“ kann zum Beispiel vorliegen, wenn ein Unternehmen Daten verarbeitet, um Betrug zu verhindern, die IT-Sicherheit zu gewährleisten oder Direktwerbung zu betreiben. Allerdings muss immer eine Abwägung zwischen den Interessen des Unternehmens und den Rechten der betroffenen Person erfolgen. Weitere Informationen findest du direkt bei der [Europäischen Kommission](https://commission.europa.eu/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/legitimate-interests_de) oder beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/DE/Datenschutz/Themen/GrundlagenDSGVO/6DSGVO/6DSGVO.html).

Im Datenschutz gibt es mehrere wichtige Weisungen, die den Umgang mit personenbezogenen Daten regeln. Hier sind vier zentrale Weisungen: 1. **Datenminimierung**: Es dürfen nur die personenbezogenen Daten erhoben und verarbeitet werden, die für den jeweiligen Zweck notwendig sind. Dies bedeutet, dass Unternehmen darauf achten müssen, keine überflüssigen Daten zu sammeln. 2. **Zweckbindung**: Personenbezogene Daten dürfen nur für die spezifischen, klar definierten Zwecke verarbeitet werden, die zum Zeitpunkt der Erhebung angegeben wurden. Eine spätere Verwendung für andere Zwecke ist nur unter bestimmten Bedingungen zulässig. 3. **Transparenz**: Betroffene Personen müssen darüber informiert werden, welche Daten erhoben werden, zu welchem Zweck dies geschieht und wie lange die Daten gespeichert werden. Diese Informationen sollten in verständlicher Form bereitgestellt werden. 4. **Sicherheit der Daten**: Es sind angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz vor unbefugtem Zugriff, Verlust oder Zerstörung der Daten. Diese Weisungen sind Teil der Datenschutz-Grundverordnung (DSGVO) und sollen den Schutz der Privatsphäre und der persönlichen Daten der Nutzer sicherstellen.

Die Grundsätze des Datenschutzes basieren auf verschiedenen rechtlichen Rahmenbedingungen, insbesondere der Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union. Die wichtigsten Grundsätze sind: 1. **Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz**: Daten müssen rechtmäßig und transparent verarbeitet werden. Die betroffenen Personen müssen über die Verarbeitung ihrer Daten informiert werden. 2. **Zweckbindung**: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden. 3. **Datenminimierung**: Es dürfen nur die Daten erhoben werden, die für die jeweiligen Zwecke notwendig sind. 4. **Richtigkeit**: Die Daten müssen sachlich richtig und, wenn nötig, auf dem neuesten Stand sein. Es sind angemessene Maßnahmen zu treffen, um unrichtige Daten unverzüglich zu löschen oder zu berichtigen. 5. **Speicherbegrenzung**: Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. 6. **Integrität und Vertraulichkeit**: Die Verarbeitung muss so erfolgen, dass die Sicherheit der personenbezogenen Daten gewährleistet ist, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor Verlust, Zerstörung oder Schädigung. 7. **Rechenschaftspflicht**: Der Verantwortliche ist dafür verantwortlich, dass die oben genannten Grundsätze eingehalten werden, und muss dies auch nachweisen können. Diese Grundsätze sollen den Schutz der Privatsphäre und der personenbezogenen Daten der Individuen sicherstellen.

Die vier Prinzipien des Datenschutzes sind: 1. **Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz**: Daten müssen auf rechtmäßige Weise und in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. 2. **Zweckbindung**: Die Erhebung von Daten darf nur für festgelegte, eindeutige und legitime Zwecke erfolgen und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden. 3. **Datenminimierung**: Es dürfen nur die Daten erhoben und verarbeitet werden, die für die jeweiligen Zwecke notwendig sind. 4. **Richtigkeit**: Die Daten müssen sachlich richtig und, wenn nötig, auf dem neuesten Stand sein. Es sind angemessene Maßnahmen zu treffen, um sicherzustellen, dass unrichtige Daten unverzüglich gelöscht oder berichtigt werden. Diese Prinzipien bilden die Grundlage für den verantwortungsvollen Umgang mit personenbezogenen Daten.

In einem Unternehmen ist in der Regel der Verantwortliche für den Datenschutz, also der Datenschutzbeauftragte (DSB), für die Festlegung und Überwachung von Löschfristen zuständig. Die eigentliche Verantwortung liegt jedoch bei der Geschäftsführung bzw. der verantwortlichen Stelle gemäß Datenschutz-Grundverordnung (DSGVO). Sie muss sicherstellen, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist, und entsprechende Löschkonzepte implementieren. Der Datenschutzbeauftragte berät und unterstützt dabei, die gesetzlichen und betrieblichen Anforderungen umzusetzen, aber die letztendliche Verantwortung trägt die Unternehmensleitung. Oft arbeiten Datenschutzbeauftragte, IT-Abteilung, Fachabteilungen und ggf. die Rechtsabteilung gemeinsam an der Festlegung und Umsetzung von Löschfristen.

Ein Datenschutzkonzept ist nicht mit einem Sicherheitskonzept gleichzustellen, auch wenn beide eng miteinander verbunden sind. **Datenschutzkonzept:** Ein Datenschutzkonzept beschreibt Maßnahmen, Prozesse und Verantwortlichkeiten, um personenbezogene Daten gemäß den gesetzlichen Vorgaben (z. B. DSGVO) zu schützen. Es legt fest, wie Daten erhoben, verarbeitet, gespeichert und gelöscht werden und wie die Rechte der Betroffenen gewahrt bleiben. **Sicherheitskonzept:** Ein Sicherheitskonzept ist umfassender und bezieht sich auf den Schutz aller Informationen und IT-Systeme eines Unternehmens – unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht. Es umfasst technische und organisatorische Maßnahmen zur Abwehr von Bedrohungen wie Hackerangriffen, Datenverlust oder Systemausfällen. **Fazit:** Das Datenschutzkonzept ist ein Teilbereich des Sicherheitskonzepts. Während das Sicherheitskonzept den Schutz aller Daten und Systeme behandelt, konzentriert sich das Datenschutzkonzept speziell auf den Schutz personenbezogener Daten und die Einhaltung datenschutzrechtlicher Vorgaben.

Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet einen umfassenden Rahmen für Informationssicherheit in Organisationen. Er enthält viele Maßnahmen, die auch dem Datenschutz dienen, etwa zum Schutz personenbezogener Daten vor unbefugtem Zugriff, Verlust oder Manipulation. Allerdings deckt der IT-Grundschutz nicht alle Anforderungen des Datenschutzes vollständig ab. Datenschutz – insbesondere nach der Datenschutz-Grundverordnung (DSGVO) – umfasst neben technischen und organisatorischen Maßnahmen (TOM) auch rechtliche, organisatorische und prozessuale Anforderungen, wie z.B.: - Rechtmäßigkeit der Datenverarbeitung - Betroffenenrechte (z.B. Auskunft, Löschung) - Datenschutz-Folgenabschätzung - Verzeichnis von Verarbeitungstätigkeiten - Auftragsverarbeitung Der IT-Grundschutz unterstützt zwar die Umsetzung vieler technischer und organisatorischer Maßnahmen, ersetzt aber keine vollständige Datenschutz-Compliance. Für einen umfassenden Datenschutz müssen zusätzlich die spezifischen gesetzlichen Anforderungen (z.B. DSGVO, BDSG) beachtet und umgesetzt werden. Weitere Informationen findest du beim [BSI zum IT-Grundschutz](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/it-grundschutz_node.html) und beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).

IT-Sicherheit selbst ist keine Verarbeitungstätigkeit im Sinne der Datenschutz-Grundverordnung (DSGVO). Einestätigkeit beschreibt einen Vorgang oder eine Reihe von Vorgängen im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Speichern, Übermitteln oder Löschen dieser Daten. IT-Sicherheitsmaßnahmen (z. B. Firewalls, Verschlüsselung, Zugriffskontrollen) dienen dazu, die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Sie sind also unterstützende Maßnahmen, die im Rahmen von Verarbeitungstätigkeiten eingesetzt werden, aber keine eigenständige Verarbeitungstätigkeit darstellen. In einem Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO werden die eigentlichen Prozesse (z. B. Lohnabrechnung, Kundenverwaltung) dokumentiert. Die dabei eingesetzten IT-Sicherheitsmaßnahmen werden in der Regel als technische und organisatorische Maßnahmen (TOM) separat beschrieben. Zusammengefasst: IT-Sicherheit ist keine Verarbeitungstätigkeit, sondern eine Maßnahme zum Schutz der Verarbeitungstätigkeiten.

Ja, im Sinne der Datenschutz-Grundverordnung (DSGVO) kann die Beschaffung als Verarbeitungstätigkeit gelten, sofern dabei personenbezogene Daten verarbeitet werden. **Begründung:** Die DSGVO definiert „Verarbeitung“ sehr weit und umfasst jeden Vorgang im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Offenlegen, Übermitteln, Verknüpfen, Einschränken, Löschen oder Vernichten. **Beispiel:** Wenn im Rahmen der Beschaffung (z. B. Einkauf von Waren oder Dienstleistungen) personenbezogene Daten von Ansprechpartnern bei Lieferanten, Mitarbeitern oder anderen natürlichen Personen verarbeitet werden (z. B. Name, Kontaktdaten, Bankverbindung), handelt es sich um eine Verarbeitungstätigkeit. **Praxis:** In vielen Unternehmen wird die Beschaffung daher als eigene Verarbeitungstätigkeit im Verzeichnis der Verarbeitungstätigkeiten dokumentiert. **Fazit:** Beschaffung ist dann eine Verarbeitungstätigkeit im Sinne der DSGVO, wenn dabei personenbezogene Daten verarbeitet werden.

Die Abfrage von personenbezogenen Daten wie Vorname, Nachname, E-Mail, dienstliche Telefonnummer, Firma, Postanschrift, Land, Branche und Jobfunktion im Rahmen der Leadqualifizierung ist grundsätzlich möglich, unterliegt aber in Deutschland und der EU den Vorgaben der Datenschutz-Grundverordnung (DSGVO). Wichtige Voraussetzungen: 1. **Rechtmäßigkeit der Verarbeitung:** Es muss eine Rechtsgrundlage für die Datenerhebung geben. Im Marketing-Kontext ist das meist die Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO) oder ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO), wobei letzteres sorgfältig abgewogen werden muss. 2. **Datenminimierung:** Es dürfen nur die Daten abgefragt werden, die für den Zweck der Leadqualifizierung tatsächlich erforderlich sind (Art. 5 Abs. 1 lit. c DSGVO). Beispielsweise ist die Abfrage der Postanschrift nur dann zulässig, wenn sie für die Qualifizierung oder spätere Kontaktaufnahme wirklich notwendig ist. 3. **Transparenz und Information:** Die betroffene Person muss klar und verständlich über die Datenerhebung, den Zweck, die Speicherdauer und ihre Rechte informiert werden (Art. 13 DSGVO). 4. **Freiwilligkeit der Einwilligung:** Die Einwilligung muss freiwillig erfolgen. Pflichtfelder sollten auf das Notwendige beschränkt sein. **Fazit:** Die genannten Daten dürfen abgefragt werden, wenn sie für den Zweck der Leadqualifizierung erforderlich sind und die Vorgaben der DSGVO eingehalten werden. Es empfiehlt sich, die Datenerhebung auf das Notwendige zu beschränken und die Betroffenen transparent zu informieren. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [BfDI](https://www.bfdi.bund.de/).