Verarbeitungstätigkeiten nach DSGVO

Bei der Beantwortung der Frage, was eine Verarbeitungstätigkeit ausmacht und wie sie zu definieren ist, ist die DSGVO nicht eindeutig. Allerdings ist es wichtig eine Verarbeitungstätigkeit zu identifizieren, um sie später in das gesetzlich vorgeschriebene Verzeichnis von Verarbeitungstätigkeiten aufzunehmen.

In diesem Artikel erfahren Sie:

• Wie definiert man eine Verarbeitungstätigkeit?
• Wie können Sie prüfen, ob überhaupt eine Verarbeitung nach DSGVO vorliegt?
• Was sind typische Verarbeitungstätigkeiten nach DSGVO?
• Beispiele für konkrete Verarbeitungen nach DSGVO.
• Was sind keine Verarbeitungstätigkeiten nach DSGVO?

Die gesetzliche Definition einer Verarbeitungstätigkeit

Die DSGVO verpflichtet jeden, der personenbezogene Daten in seinem Unternehmen verarbeitet, all diese Verarbeitungsprozesse innerhalb des Unternehmens zu dokumentieren (Artikel 30 DSGVO). Was Sie dabei formal beachten müssen und wie Sie das ganz sicher richtig erstellen können, finden Sie hier: https://dsgvo-vorlagen.de/bestandteile-muessen-in-verfahrensverzeichnis-dsgvo

Der Begriff Verarbeitungstätigkeit ist als solcher in der DSGVO nicht konkret definiert. Auf Grund dessen muss auf Art. 4 Nr. 2. DSGVO zurückgegriffen werden, welcher das Wort Verarbeitung definiert. Das BDSG ist hier auch keine Hilfe und benutzt den gleichen Wortlaut wie die DSGVO.

Demnach müssen als wichtigstes Kriterium personenbezogene Daten verarbeitet werden, dabei unterscheidet das Gesetz nicht zwischen manueller oder automatisierter Verarbeitung. Eine Kartei, welche händisch beschrieben wird, ist also genauso zu behandeln, wie eine Excel Tabelle, die jeden Tag automatisiert befüllt wird. Darüber hinaus zählt die DSGVO noch konkret auf, welche Arten der Verarbeitung eingeschlossen sind (Art. 4 Nr. 2 DSGVO):

• Erheben,
• Erfassen,
• die Organisation,
• das Ordnen,
• die Speicherung,
• die Anpassung oder Veränderung,
• das Auslesen, das Abfragen, die Verwendung,
• die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung,
• den Abgleich oder die Verknüpfung,
• die Einschränkung,
• das Löschen,
• die Vernichtung.

Dieser Katalog ist nicht allumfassend, das bedeutet, dass selbst wenn die Tätigkeit nicht aufgezählt ist, davon auszugehen ist, dass es sich um eine Verarbeitung im Sinne der DSGVO handelt.

Das Prüfungsschema, um eine Verarbeitungstätigkeit zu identifizieren

1. Verarbeiten Sie personenbezogene Daten?
2. Wenden Sie eine der folgenden Arten der Verarbeitung an?
   1. Erheben,
   2. Erfassen,
   3. Organisieren,
   4. Ordnen,
   5. Speichern,
   6. Anpassung oder Veränderung,
   7. Auslesen,
   8. Abfragen,
   9. Verwenden
   10. Offenlegung durch Übermittlung,
   11. Verbreitung oder eine andere Form der Bereitstellung,
   12. Abgleich oder die Verknüpfung,
   13. Einschränkung,
   14. Löschen,
   15. Vernichtung.

Dann haben Sie mit sehr hoher Wahrscheinlichkeit eine dokumentationspflichtige Verarbeitungstätigkeit, die in das Verarbeitungsverzeichnis aufgenommen werden sollte.

10 Beispiele für typische Verarbeitungstätigkeiten nach DSGVO

Welche Verarbeitungstätigkeiten kommen in Betracht? Wo werden personenbezogene Daten verarbeitet? Der folgende Abschnitt soll Ihnen genau das anhand von 10 typischen Verarbeitungstätigkeiten erläutern, die wohl in jedem Unternehmen eine Rolle spielen. Zu jeder Verarbeitungstätigkeit wird auch ein Zweck der Datenverarbeitung als Beispiel genannt.

Art und Zweck der Datenverarbeitung allgemeines Beispiel

Nach DSGVO müssen die Zwecke der Verarbeitung angegeben werden. Grundsätzlich ist hier zu beachten, dass die Zwecke der Datenverarbeitung klar und auch für einen Dritten verständlich beschrieben werden. Allerdings muss die Beschreibung auch nicht zu sehr ausufern, es reicht eine kurze und knappe Beschreibung.

Beispiel Zweck der Datenverarbeitung positiv: Kommunikation zwischen Mitarbeitern und Kunden und Stammdatenpflege.

Beispiel Zweck der Datenverarbeitung negativ: Speicherung von Daten.

Typische Verarbeitungstätigkeit: Elektronischer Zahlungsverkehr

Der elektronische Zahlungsverkehr ist überall anzutreffen. Besonders im betrieblichen Kontext werden so gut wie alle Transaktionen elektronisch abgewickelt, weswegen dieses Verfahren in jedes Verzeichnis von Verarbeitungstätigkeiten gehört.

Betreiben Sie einen Onlineshop oder vertreiben Ihre Produkte anderweitig im Internet, dann kommen Sie an elektronischen Zahlungsmitteln gar nicht mehr vorbei. Darunter fallen alle bargeldlosen Zahlungsvorgänge wie die Zahlung per Dauerauftrag, die Überweisung, Zahlungen mit Kreditkarten, aber auch PayPal oder Giropay.

Zwecke der Verarbeitungstätigkeit: Abwicklung und Durchführung des elektronischen Zahlungsverkehrs, Ausgleich von Verbindlichkeiten

Typische Betroffenengruppen: Beschäftigte, Lieferanten, Kunden/ Nutzer, alle Teilnehmer am Verfahren

Typische Datenpunkte/ -kategorien: Name/ Vorname, Bankverbindung, ggf. weitere Rechnungsinformationen

Typische Empfänger/ Kategorien von Empfängern: Lohnbuchhaltung, Geschäftsführung, Buchhaltung, Personalabteilung, ggf. Steuerberater

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung des Vertragszwecks notwendig (Art 6 (1) Buchst. b) DSGVO).

Interessenabwägung: Keine Interessenabwägung notwendig, andere Rechtsgrundlage einschlägig.

Weitere Verarbeitungstätigkeit: E-Mail Kommunikation

Auch die Kommunikation mit Kunden oder Geschäftspartnern läuft oft elektronisch ab. Wenn Sie regelmäßig im laufenden Geschäftsbetrieb via E-Mail kommunizieren, dann verarbeiten Sie hierbei eine Menge an persönlichen Daten. Aus diesem Grund muss auch dieses Verfahren in das Verzeichnis aufgenommen werden.

Zwecke der Verarbeitungstätigkeit: jegliche interne und externe Kommunikation zur Abwicklung des Kaufvorganges, Bearbeiten der Anfragen von Interessenten, Einholen von Auskünften anderer Stellen oder Unternehmen

Typische Betroffenengruppen: Beschäftigte, Lieferanten, Kunden/ Nutzer, Interessenten, Bewerber

Typische Datenpunkte/ -kategorien: Name/ Vorname, E-Mailadresse, IP-Adresse, ggf. weitere Daten, die die Beteiligten austauschen

Typische Empfänger/ Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Wahrung von berechtigten Interessen des Verantwortlichen notwendig (Art 6 (1) Buchst. f) DSGVO).

Interessenabwägung: Interessenabwägung notwendig (eine vollständige Formulierung erhalten Sie in den Vorlagenpaketen), allerdings überwiegen nicht die Interessen des Betroffenen

Das Verfahren der Kalender- und Terminverwaltung

Die Verwaltung der Termine und des Kalenders wird besonders in großen Unternehmen regelmäßig mit einer Kalender- und Terminverwaltungssoftware gehandhabt. Beispiele für solche Software sind hauptsächlich Outlook oder Thunderbird. Allerdings werden auch in einer manuellen Termin- und Kalenderverwaltung personenbezogene Daten erfasst, sodass auch hier dieses Verfahren in Ihr Verzeichnis aufgenommen werden muss.

Zwecke der Verarbeitungstätigkeit: Vereinbaren von Terminen, Planen von Terminvergaben und Personaleinsatz

Typische Betroffenengruppen: Beschäftigte, Lieferanten, Kunden/ Nutzer, Interessenten, Bewerber

Typische Datenpunkte/ -kategorien: Name/ Vorname, E-Mailadresse, Telefonnummer, ggf. die Adresse

Typische Empfänger / Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Wahrung von berechtigten Interessen des Verantwortlichen notwendig (Art 6 (1) Buchst. f) DSGVO).

Interessenabwägung: Interessenabwägung notwendig (eine vollständige Formulierung erhalten Sie in den Vorlagenpaketen), allerdings überwiegen nicht die Interessen des Betroffenen

Die Kundenverwaltung (Kundendatenbank) von Privatkunden ist ein weiteres typisches Verfahren

Für die Verwaltung Ihrer Privatkunden kann eine Kundendatenbank, eine Kundendatei oder ein manuelles Ordersystem genutzt werden. Allenfalls muss hierüber ein Verzeichnis der Verarbeitung angefertigt werden, da Sie die Daten Ihrer Privatkunden verarbeiten. So gut wie jede Firma hat eine Datenbank, in der sie ihre (potentiellen) Kunden abspeichert. In diesem Fall liegt eindeutig eine Verarbeitungstätigkeit vor, da regelmäßig persönliche Daten verarbeitet werden. Sie werden erhoben, erfasst und gespeichert.

Zwecke der Verarbeitungstätigkeit: Kontakt- und Adressverwaltung, Kommunikation mit Kunden, Vereinfachen der Bearbeitung von Reklamationen

Typische Betroffenengruppen: Kunden/ Nutzer

Typische Datenpunkte/ -kategorien: Name/ Vorname, E-Mailadresse, Telefonnummer, Adresse, Geburtsdatum, Geschlecht, Bankverbindung, Rechnungsdaten

Typische Empfänger/ Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Wahrung von berechtigten Interessen des Verantwortlichen notwendig (Art 6 (1) Buchst. f) DSGVO).

Interessenabwägung: Interessenabwägung notwendig (eine vollständige Formulierung erhalten Sie in den Vorlagenpaketen), allerdings überwiegen nicht die Interessen des Betroffenen

Auch das gehört in ein Verarbeitungsverzeichnis: Webauftritt / Betrieb einer Internetseite

Die Präsentation des eigenen Unternehmens findet zunehmend online statt. Es geht dabei um nahezu jede Form von Webauftritten, also klassische Webseiten, aber auch Facebook-Seiten oder Apps. Da in jedem Fall Server-Log Daten verarbeitet werden, muss dieses Verfahren mit in Ihr Verzeichnis aufgenommen werden.

Zwecke der Verarbeitungstätigkeit: Werbung und Präsentation der Produkte oder des Unternehmens, Vertrieb der Produkte

Typische Betroffenengruppen: Beschäftigte, Lieferanten, Kunden/ Nutzer, Interessenten, Bewerber

Typische Datenpunkte/ -kategorien: IP-Adresse, ggf. Nutzerverhalten und Standort des Besuchers

Typische Empfänger/ Kategorien von Empfängern: Ggf. Betreiber von Clouds, Hosting Anbieter

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung des Vertragszwecks notwendig (Art 6 (1) Buchst. b) DSGVO).

Interessenabwägung: Keine Interessenabwägung notwendig, andere Rechtsgrundlage einschlägig.

Weiteres typisches Verfahren: Arbeitszeiterfassung

Wenn Sie die Arbeitszeiten Ihrer Mitarbeiter erfassen, um bspw. nachzuweisen, dass Sie den Mindestlohn zahlen, dann erfassen Sie somit deren persönliche Daten. Deshalb ist auch das eine Verarbeitungstätigkeit, die Sie in das Verzeichnis aufnehmen müssen.

Zwecke der Verarbeitungstätigkeit: Abrechnung der Arbeitszeit, Lohnzahlung

Typische Betroffenengruppen: Beschäftigte

Typische Datenpunkte/ -kategorien: Name/ Vorname, Geburtsdatum, Geschlecht, Teefonnummer, Adresse, E-Mailadresse, Bankverbindung, ggf. Gesundheitsdaten

Typische Empfänger/ Kategorien von Empfängern: Lohnbuchhaltung, Geschäftsführung, Buchhaltung, Personalabteilung

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung des Vertragszwecks notwendig (Art 6 (1) Buchst. b) DSGVO). Sie dient zum Zweck des Beschäftigtenverhältnisses nach §26 BDSG (neu).

Interessenabwägung: Keine Interessenabwägung notwendig, andere Rechtsgrundlage einschlägig.

Denken Sie auch an: Kontaktformulare und Chat-Tools

Neben der Kommunikation per Mail finden vor allem Erstkontakte über Kontaktformulare und Chat-tools statt. Hierunter können das klassische Kontaktformular, aber auch interaktivere Kommunikationsformen, wie Chat-Widgets oder Chat-Bots fallen.

Zwecke der Verarbeitungstätigkeit: Erfassen von Kundenanfragen, Erstkontakt mit Interessenten, Vertragsanbahnung, Bearbeiten allgemeiner Anfragen

Typische Betroffenengruppen: Kunden/ Nutzer, Interessenten, Bewerber

Typische Datenpunkte/ -kategorien: Name/ Vorname, E-Mailadresse, IP-Adresse, Telefonnummer, Adresse

Typische Empfänger/ Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Wahrung von berechtigten Interessen des Verantwortlichen notwendig (Art 6 (1) Buchst. f) DSGVO).

Interessenabwägung: Interessenabwägung notwendig (eine vollständige Formulierung erhalten Sie in den Vorlagenpaketen), allerdings überwiegen nicht die Interessen des Betroffenen

Das Verfahren: Wahrung von Betroffenenrechten auf Anfrage nach Art. 15-18 DSGVO

Die DSGVO gibt den Betroffenen von Datenverarbeitung eine Reihe von Rechten in Artikel 15 bis 18 DSGVO. Danach ist jedes Unternehmen dazu verpflichtet, eine solche Anfragen des Betroffenen beantworten. Diese Verarbeitungstätigkeit muss damit unbedingt in das Verzeichnis aufgenommen werden.

Zwecke der Verarbeitungstätigkeit: Wahren der Betroffenenrechte der DSGVO, Dokumentation der Einhaltung

Typische Betroffenengruppen: Beschäftigte, Lieferanten, Kunden / Nutzer, Interessenten, Bewerber

Typische Datenpunkte/ -kategorien: Name/ Vorname, Geburtsdatum, Geschlecht, Adresse, Kontaktdaten, Bankverbindung, Rechnungsdaten

Typische Empfänger/ Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung notwendig (Art 6 (1) Buchst. c) DSGVO).

Interessenabwägung: Keine Interessenabwägung notwendig

Eine weitere Verarbeitungstätigkeit: Angebotserstellung

Auch bei einer Angebotserstellung werden persönliche Daten der potentiellen Kunden verarbeitet, insbesondere wenn es sich um eine individuelle Angebotserstellung handelt. Damit muss auch diese Verarbeitung in das Verzeichnis eingetragen werden.

Zwecke der Verarbeitungstätigkeit: Kundenkommunikation, Erstellen von personalisierten Angeboten

Typische Betroffenengruppen: Kunden / Nutzer, Interessenten

Typische Datenpunkte/ -kategorien: Name/ Vorname, Geburtsdatum, Geschlecht, Adresse, Kontaktdaten, Bankverbindung, Rechnungsdaten

Typische Empfänger/ Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens, ggf. Dienstleister

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung des Vertragszwecks notwendig (Art 6 (1) Buchst. b) DSGVO).

Interessenabwägung: Keine Interessenabwägung notwendig

Das Verfahren der Dienstplanung

Nicht nur die Arbeitszeiterfassung ihrer Mitarbeiter verarbeitet deren persönliche Daten. Auch müssen in beinahe jedem Unternehmen die Dienste Ihrer Mitarbeiter geplant werden, damit der Geschäftsbetrieb ordentlich ablaufen kann. Damit ist auch diese Datenverarbeitung für das Verarbeitungsverzeichnis relevant.

Zwecke der Verarbeitungstätigkeit: Einsatz und Planung der Beschäftigten, Planung von Projekten

Typische Betroffenengruppen: Beschäftigte

Typische Datenpunkte / -kategorien: IP-Adresse, ggf. Nutzerverhalten und Standort des Besuchers

Typische Empfänger / Kategorien von Empfängern: ggf. an weitere Abteilungen des Unternehmens

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung des Vertragszwecks notwendig (Art 6 (1) Buchst. b) DSGVO).

Interessenabwägung: Keine Interessenabwägung notwendig

Typische Verarbeitungen, die nach DSGVO nicht relevant sind

Es gibt durchaus auch Verarbeitungen, die auf den ersten Blick so wirken, als müssten diese in das Verzeichnis von Verarbeitungstätigkeiten mit aufgenommen werden. Es stellt sich aber heraus, dass diese oft gar keine personenbezogenen Daten verarbeiten und damit auch nicht relevant sind.

Bilanzerstellung

Diese Datenverarbeitung stellt keine Verarbeitungstätigkeit im Sinne der DSGVO dar, da regelmäßig keine persönlichen Daten, sondern Finanzkennziffern und aggregierte Daten verarbeitet werden.

Auswertung anonymisierter oder aggregierter Daten

Wenn Daten keinen Personenbezug (mehr) haben, können diese auch ohne weiteres verarbeitet werden und stehen nicht unter dem Schutz der DSGVO.

Die 3 wichtigsten Fragen und Antworten zum Thema Verarbeitungstätigkeiten

Gibt es typische Verarbeitungstätigkeiten, die in jedes Verzeichnis von Verarbeitungstätigkeiten gehören?

Ja, einige dieser Grundlagen-Tätigkeiten finden Sie im Artikel. Darüber hinaus liegt die Empfehlung bei mindestens 20 Verarbeitungen bei kleinen Unternehmen und bis zu 200 bei großen Unternehmen.

Folgen Sie am besten der Spur der Daten und zeichnen Sie jeden Prozess, jedes Tool und jede Abteilung auf, welche mit personenbezogenen Daten in Berührung kommt.

Wie identifiziere ich eine Verarbeitungstätigkeit nach DSGVO?

Der Begriff an sich ist nicht abschließend definiert. Grundsätzlich sollte auch hier jede Tätigkeit erfasst werden, welche mit personenbezogenen Daten zu tun hat.

Wie detailliert muss ich die Verarbeitungstätigkeit beschreiben?

Sie müssen die gesetzlich geforderten Mindestinhalte in ihr Verzeichnis aller Verarbeitungstätigkeiten integrieren. Oft übergangen werden dabei die Rechtsgrundlage und die Löschfristen, die wichtige Komponenten darstellen.

Resümee: Es gibt viele Verarbeitungstätigkeiten im Unternehmen

Auf Grund der weiten Definition im Gesetz und der Vielzahl von persönlichen Daten in einem Unternehmen, müssen viele Verfahren erfasst werden. Es ist davon auszugehen, dass alles ein Verfahren darstellt, was persönliche Daten beinhaltet.

Natürlich stoßen Sie in Ihrem Unternehmen auf weitere individuelle Verarbeitungstätigkeiten. Diese zehn dargestellten Tätigkeiten sind jedoch typischerweise in einem Unternehmen anzutreffen und sollten daher, wenn diese auch bei Ihnen zutreffen, unbedingt in Ihr Verzeichnis aufgenommen werden. 

Quellen

https://dsgvo-gesetz.de/art-30-dsgvo/

https://dsgvo-gesetz.de/art-4-dsgvo/