Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO) Wir betreiben unsere Website auf Basis des Content‑Management‑Systems WordPress. Im Rahmen des IT‑Betriebs werden personenbezogene Daten verarbeitet, soweit dies für den sicheren, stabilen und funktionsfähigen Website‑Betrieb sowie für die Administration erforderlich ist. Die Verarbeitung erfolgt insbesondere zu folgenden Zwecken: Bereitstellung der Website und ihrer Funktionen (Auslieferung von Inhalten, Seitenaufbau, technische Funktionalitäten). Betrieb, Wartung und Weiterentwicklung der WordPress‑Instanz (Updates von WordPress‑Core, Themes und Plugins, Kompatibilitätsprüfungen, Konfigurationsmanagement). IT‑Sicherheit und Missbrauchsprävention (Erkennung/Abwehr von Angriffen, Schutz vor Schadsoftware, Härtung, Monitoring). Fehleranalyse und Störungsbehebung (Troubleshooting, Performance‑Optimierung, Kapazitätsmanagement). Sicherstellung von Integrität und Verfügbarkeit (Backups/Restore, Rollback‑Szenarien, Monitoring). Administrations- und Berechtigungsmanagement (Anlage/Verwaltung von Backend‑Zugängen, Rollen- und Rechtekonzept, Protokollierung administrativer Vorgänge). Dokumentation und Nachweisführung (Audit‑Trail, Incident‑Response, Beweissicherung, Geltendmachung/Ausübung/Verteidigung von Rechtsansprüchen). Kategorien personenbezogener Daten (Art. 13 Abs. 1 lit. c DSGVO) Im Rahmen des WordPress‑Betriebs können – abhängig von konkreter Ausgestaltung, aktivierten Modulen und Nutzung – insbesondere folgende Datenkategorien verarbeitet werden: Technische Zugriffsdaten / Logdaten IP‑Adresse (Client‑IP; ggf. Proxy-/Load‑Balancer‑Informationen) Datum und Uhrzeit des Zugriffs, Zeitzone/Time‑Stamp angeforderte URL/Datei, Request‑Methode, Statuscodes, übertragenes Datenvolumen Referrer‑URL, User‑Agent (Browser/OS/Device‑Informationen) Fehler- und Ereignisdaten (z.B. Server‑Error‑Logs, Anwendungsfehler) Cookies und vergleichbare Technologien (Endgeräteinformationen) technisch notwendige Cookies/Storage‑Einträge für Session-/Login‑Funktionen, Sicherheitsmechanismen, Präferenzen ggf. Cookies/Storage‑Einträge, die durch aktivierte Plugins/Integrationen gesetzt werden (konfigurationsabhängig) Backend‑/Administrationsdaten Benutzerkennungen (z.B. User‑ID, Benutzername), Rollen/Rechte Login‑Informationen (z.B. Login‑Zeitpunkte, fehlgeschlagene Login‑Versuche) administrative Aktivitäten (z.B. Änderungen an Einstellungen, Installationen/Updates), soweit protokolliert Content‑ und Kommunikationsdaten (funktional bedingt) Inhaltsdaten, die über WordPress veröffentlicht oder verwaltet werden (Beiträge/Seiten/Medien) sofern genutzt: Kommentar‑/Formulardaten (z.B. Name, E‑Mail, Kommentarinhalt) und ggf. dazugehörige technische Metadaten (z.B. IP‑Adresse) Betriebs- und Systemdaten Systemkonfigurationen, Versionsstände, Pluginkonfigurationen Backup‑Daten (Datenbank-/Dateisystem‑Backups), sofern personenbezogene Daten enthalten sind Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO) Die Rechtsgrundlagen richten sich nach dem jeweiligen Verarbeitungskontext: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)für den technischen Betrieb, die IT‑Sicherheit, Missbrauchsprävention, Fehleranalyse, Stabilitäts- und Verfügbarkeitsmanagement sowie Nachweisführung und Rechtsverteidigung. Flankierend gelten die Grundsätze nach Art. 5 DSGVO und die Sicherheitsanforderungen nach Art. 32 DSGVO (TOMs). Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen)soweit Website‑Funktionen zur Anbahnung oder Durchführung vertraglicher Leistungen genutzt werden (z.B. Kunden-/Leistungsportale, Buchungs-/Bestellfunktionen), einschließlich der hierfür erforderlichen technischen Verarbeitung. Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)soweit der IT‑Betrieb und die damit verbundene Protokollierung/Aufbewahrung zur Erfüllung gesetzlicher Pflichten erforderlich ist (z.B. Nachweis-/Dokumentationspflichten in spezifischen Regulierungsumfeldern). Art. 6 Abs. 1 lit. e DSGVO (öffentliche Aufgabe), nur soweit einschlägigbei öffentlichen Stellen, sofern der Websitebetrieb zur Wahrnehmung einer Aufgabe im öffentlichen Interesse/ausgeübter öffentlicher Gewalt erforderlich ist; ergänzend sind landesrechtliche Vorgaben (z.B. NDSG) sowie Governance-/Organisationsanforderungen (z.B. NKomVG) zu berücksichtigen. § 25 TDDDG (Endgerätezugriff, Deutschland)soweit im WordPress‑Betrieb Cookies/Storage‑Technologien auf Endgeräten gesetzt/ausgelesen werden. Technisch notwendige Cookies können unter den gesetzlichen Ausnahmen fallen; darüber hinausgehende Technologien sind – je nach Einsatz – einwilligungsbasiert zu steuern. § 26 BDSG (Beschäftigtendaten), ergänzendsoweit Beschäftigtendaten im Rahmen von Administrationszugriffen, Rollen-/Rechteverwaltung oder Protokollierung dienstlicher Nutzung verarbeitet werden. Website-Besucher (typischer Regelfall) Für Website‑Besucher werden im Regelfall insbesondere technische Zugriffsdaten (z.B. IP‑Adresse, Zeitstempel, angeforderte Ressource, User‑Agent) verarbeitet, um die Website auszuliefern, Angriffe abzuwehren und Störungen zu diagnostizieren. Rechtsgrundlage ist regelmäßig Art. 6 Abs. 1 lit. f DSGVO. Soweit der Websitebetrieb Cookies/ähnliche Technologien nutzt, erfolgt deren Einsatz nach Maßgabe von § 25 TDDDG und – sofern erforderlich – auf Basis einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO (z.B. bei nicht zwingend erforderlichen Technologien durch Plugins/Integrationen). Wenn Besucher interaktive Funktionen nutzen (z.B. Kommentare/Formulare), werden zusätzlich die dort eingegebenen Inhalte und Metadaten verarbeitet; Rechtsgrundlage ist je nach Kontext Art. 6 Abs. 1 lit. b DSGVO (vertraglich/vorvertraglich), Art. 6 Abs. 1 lit. f DSGVO (Betrieb/Missbrauchsprävention) oder Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, soweit einschlägig). Berechtigte Interessen (Art. 13 Abs. 1 lit. d DSGVO) Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt wird, bestehen unsere berechtigten Interessen insbesondere in: Sicherstellung der Betriebsfähigkeit (Verfügbarkeit, Stabilität, Performance) und Servicequalität. Schutz der Systeme und Daten vor unberechtigten Zugriffen, Angriffen und Manipulation (Security Operations). Fehleranalyse und Störungsbeseitigung (Root‑Cause‑Analyse, Wiederherstellung, Rollback). Missbrauchsprävention (z.B. Schutz vor Spam, Brute‑Force, automatisierten Angriffen). Nachweis- und Beweissicherungsinteressen bei sicherheitsrelevanten Ereignissen sowie zur Rechtsdurchsetzung/-verteidigung. Diese Interessen werden durch angemessene technische und organisatorische Maßnahmen (u.a. Rollen-/Rechtekonzept, Protokollierungs- und Retention‑Regeln, Zugriffsbeschränkungen, Verschlüsselung, Backup‑Konzept) abgesichert. Empfänger bzw. Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO) Im Rahmen des WordPress‑IT‑Betriebs können personenbezogene Daten an folgende Empfänger bzw. Kategorien von Empfängern übermittelt werden: Interne Empfänger (Need‑to‑know): IT‑Betrieb/Administration, IT‑Security, ggf. Fachbereiche (z.B. Redaktion/Kommunikation), Compliance/Revision (anlassbezogen). Auftragsverarbeiter: Hosting‑Provider, Managed‑Service‑Provider, IT‑Dienstleister (Wartung, Monitoring, Security‑Services, Backup‑Services), ggf. E‑Mail‑Dienstleister für Systemmails; jeweils auf Basis eines Vertrags nach Art. 28 DSGVO, soweit Auftragsverarbeitung vorliegt. Externe Empfänger im Anlassfall: Rechtsberater, Wirtschaftsprüfer, CERT/CSIRT, Behörden/Gerichte/Strafverfolgungsbehörden, soweit eine Rechtsgrundlage besteht und die Übermittlung erforderlich ist. Technische Fremdempfänger durch Systemkommunikation (konfigurationsabhängig): Anbieter von Update‑/Repository‑Infrastrukturen (z.B. für WordPress‑Core, Themes, Plugins) erhalten im Zuge automatisierter Update‑Prüfungen typischerweise technische Verbindungsdaten (z.B. Server‑IP, Zeitstempel, User‑Agent/Request‑Metadaten), ohne dass dabei regulär Inhalte von Website‑Besuchern übermittelt werden. Drittlandübermittlungen (Art. 13 Abs. 1 lit. f DSGVO) Drittlandübermittlungen (außerhalb des EWR) sind im IT‑Betrieb insbesondere dann relevant, wenn: Hosting-/Cloud‑/Monitoring‑/Security‑Dienstleister in Drittländern verarbeiten oder Support aus Drittländern erbringen, Update‑/Repository‑ oder Integrationsdienste außerhalb des EWR betrieben werden, externe Komponenten eingebunden werden, die Daten an Drittland‑Endpunkte übertragen (z.B. bestimmte externe Skripte/Services; konfigurationsabhängig). Soweit Drittlandübermittlungen stattfinden, erfolgen diese nach Maßgabe der Art. 44 ff. DSGVO, insbesondere auf Grundlage eines Angemessenheitsbeschlusses oder geeigneter Garantien (z.B. Standardvertragsklauseln) sowie ggf. ergänzender technischer und organisatorischer Maßnahmen (z.B. Verschlüsselung, Zugriffsbeschränkungen, Datenminimierung, Protokollierung). Im Lieferantenmanagement ist hierfür regelmäßig eine risikobasierte Transfer‑Bewertung (TIA) vorzusehen. Speicherdauer / Löschfristen (Art. 13 Abs. 2 lit. a DSGVO) Wir speichern personenbezogene Daten im Rahmen des WordPress‑Betriebs nur so lange, wie dies zur Zweckerreichung erforderlich ist: Server‑/Access‑Logs: typischerweise für [X Tage], anschließend Löschung/Rotation; längere Speicherung nur anlassbezogen (z.B. Sicherheitsvorfall) und unter restriktiver Zugriffskontrolle. Error‑Logs/Diagnosedaten: typischerweise für [X Tage/Wochen], soweit zur Fehleranalyse erforderlich; anschließend Löschung/Rotation. Backend‑Konten und Administrationsdaten: für die Dauer der Berechtigung; bei Wegfall wird das Konto gelöscht oder – sofern revisions-/compliancebedingt erforderlich – gesperrt und nach [X] gelöscht. Content‑Daten (Beiträge/Seiten/Medien): grundsätzlich bis zur Löschung/Archivierung der Inhalte; technische Zwischenspeicher (Caches) werden nach [X Stunden/Tagen] erneuert/gelöscht. Backups: Speicherung nach dem Backup‑/Retention‑Konzept (z.B. tägliche/monatliche Backups für [X Tage/Monate]). Eine sofortige selektive Löschung aus Backups ist technisch nicht immer möglich; dies wird durch Retention‑Management und Zugriffsbeschränkungen kompensiert. Sicherheits- und Incident‑Daten: anlassbezogen bis zur abschließenden Bearbeitung sowie ggf. bis zum Ablauf relevanter Verjährungsfristen, soweit zur Rechtsverteidigung erforderlich (unter strikter Zweckbindung und Zugriffskontrolle). Die konkreten Löschfristen werden in einem Lösch- und Berechtigungskonzept risikobasiert (Schutzbedarf, Bedrohungslage, Regulierungsumfeld) festgelegt und regelmäßig überprüft. Pflicht zur Bereitstellung der Daten (Art. 13 Abs. 2 lit. e DSGVO) Die Bereitstellung personenbezogener Daten ist nicht allgemein gesetzlich vorgeschrieben. Für den Abruf der Website ist die Verarbeitung bestimmter technischer Daten jedoch technisch erforderlich (z.B. IP‑Adresse und Request‑Metadaten), da andernfalls eine Kommunikation zwischen Endgerät und Webserver nicht möglich ist. Für die Nutzung bestimmter Funktionen (z.B. Login‑Bereiche, Kommentare, Formulare) kann die Bereitstellung weiterer Angaben funktional erforderlich sein. Ohne diese Angaben können entsprechende Funktionen nicht oder nur eingeschränkt bereitgestellt werden. Automatisierte Entscheidungsfindung / Profiling (Art. 13 Abs. 2 lit. f DSGVO; Art. 22 DSGVO) Im Rahmen des IT‑Betriebs können automatisierte technische Entscheidungen eingesetzt werden, insbesondere: automatisiertes Blockieren/Rate‑Limiting von IP‑Adressen oder Requests bei erkannten Angriffsmustern, automatisierte Spam-/Missbrauchsfilter (z.B. bei Kommentaren/Formularen), automatisiertes Monitoring/Alerting bei Systemauffälligkeiten. Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO (mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung) liegt hierbei regelmäßig nicht vor, da es sich um sicherheits- und betriebsbezogene Maßnahmen handelt. Sofern im Einzelfall ein atypischer Impact entsteht (z.B. längerfristige Sperrungen), ist ein Governance‑konformes Prüf- und Entsperrverfahren vorgesehen (z.B. Whitelisting nach Plausibilisierung).
