Bei der Beantwortung der Frage, was eine Verarbeitungstätigkeit ausmacht und wie sie zu definieren ist, ist die DSGVO nicht eindeutig. Allerdings ist es wichtig eine Verarbeitungstätigkeit zu identifizieren, um sie später in das gesetzlich vorgeschriebene Verzeichnis von Verarbeitungstätigkeiten aufzunehmen.
In diesem Artikel erfahren Sie:
- Wie definiert man eine Verarbeitungstätigkeit?
- Wie können Sie prüfen, ob überhaupt eine Verarbeitung nach DSGVO vorliegt?
- Was sind typische Verarbeitungstätigkeiten nach DSGVO?
- Beispiele für konkrete Verarbeitungen nach DSGVO.
- Was sind keine Verarbeitungstätigkeiten nach DSGVO?
Inhalte
- Die gesetzliche Definition einer Verarbeitungstätigkeit
- Das Prüfungsschema, um eine Verarbeitungstätigkeit zu identifizieren
- 10 Beispiele für typische Verarbeitungstätigkeiten nach DSGVO
- Typische Verarbeitungstätigkeit: Elektronischer Zahlungsverkehr
- Weitere Verarbeitungstätigkeit: E-Mail Kommunikation
- Das Verfahren der Kalender- und Terminverwaltung
- Die Kundenverwaltung (Kundendatenbank) von Privatkunden ist ein weiteres typisches Verfahren
- Auch das gehört in ein Verarbeitungsverzeichnis: Webauftritt / Betrieb einer Internetseite
- Weiteres typisches Verfahren: Arbeitszeiterfassung
- Denken Sie auch an: Kontaktformulare und Chat-Tools
- Das Verfahren: Wahrung von Betroffenenrechten auf Anfrage nach Art. 15-18 DSGVO
- Eine weitere Verarbeitungstätigkeit: Angebotserstellung
- Das Verfahren der Dienstplanung
- Typische Verarbeitungen, die nach DSGVO nicht relevant sind
- Die 3 wichtigsten Fragen und Antworten zum Thema Verarbeitungstätigkeiten
- Resümee: Es gibt viele Verarbeitungstätigkeiten im Unternehmen
- Quellen
Die gesetzliche Definition einer Verarbeitungstätigkeit
Die DSGVO verpflichtet jeden, der personenbezogene Daten in seinem Unternehmen verarbeitet, all diese Verarbeitungsprozesse innerhalb des Unternehmens zu dokumentieren (Artikel 30 DSGVO). Was Sie dabei formal beachten müssen und wie Sie das ganz sicher richtig erstellen können, finden Sie hier: https://dsgvo-vorlagen.de/bestandteile-muessen-in-verfahrensverzeichnis-dsgvo
Der Begriff Verarbeitungstätigkeit ist als solcher in der DSGVO nicht konkret definiert. Auf Grund dessen muss auf Art. 4 Nr. 2. DSGVO zurückgegriffen werden, welcher das Wort Verarbeitung definiert. Das BDSG ist hier auch keine Hilfe und benutzt den gleichen Wortlaut wie die DSGVO.
Demnach müssen als wichtigstes Kriterium personenbezogene Daten verarbeitet werden, dabei unterscheidet das Gesetz nicht zwischen manueller oder automatisierter Verarbeitung. Eine Kartei, welche händisch beschrieben wird, ist also genauso zu behandeln, wie eine Excel Tabelle, die jeden Tag automatisiert befüllt wird. Darüber hinaus zählt die DSGVO noch konkret auf, welche Arten der Verarbeitung eingeschlossen sind (Art. 4 Nr. 2 DSGVO):
- Erheben,
- Erfassen,
- die Organisation,
- das Ordnen,
- die Speicherung,
- die Anpassung oder Veränderung,
- das Auslesen, das Abfragen, die Verwendung,
- die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung,
- den Abgleich oder die Verknüpfung,
- die Einschränkung,
- das Löschen,
- die Vernichtung.
Dieser Katalog ist nicht allumfassend, das bedeutet, dass selbst wenn die Tätigkeit nicht aufgezählt ist, davon auszugehen ist, dass es sich um eine Verarbeitung im Sinne der DSGVO handelt.
Das Prüfungsschema, um eine Verarbeitungstätigkeit zu identifizieren
- Verarbeiten Sie personenbezogene Daten?
- Wenden Sie eine der folgenden Arten der Verarbeitung an?
- Erheben,
- Erfassen,
- Organisieren,
- Ordnen,
- Speichern,
- Anpassung oder Veränderung,
- Auslesen,
- Abfragen,
- Verwenden
- Offenlegung durch Übermittlung,
- Verbreitung oder eine andere Form der Bereitstellung,
- Abgleich oder die Verknüpfung,
- Einschränkung,
- Löschen,
- Vernichtung.
Dann haben Sie mit sehr hoher Wahrscheinlichkeit eine dokumentationspflichtige Verarbeitungstätigkeit, die zu dokumentieren ist.
10 Beispiele für typische Verarbeitungstätigkeiten nach DSGVO
Welche Verarbeitungstätigkeiten kommen in Betracht? Wo werden personenbezogene Daten verarbeitet? Der folgende Abschnitt soll Ihnen genau das anhand von 10 typischen Verarbeitungstätigkeiten erläutern, die wohl in jedem Unternehmen eine Rolle spielen.
Typische Verarbeitungstätigkeit: Elektronischer Zahlungsverkehr
Der elektronische Zahlungsverkehr ist überall anzutreffen. Besonders im betrieblichen Kontext werden so gut wie alle Transaktionen elektronisch abgewickelt, weswegen dieses Verfahren in jedes Verzeichnis von Verarbeitungstätigkeiten gehört.
Betreiben Sie einen Onlineshop oder vertreiben Ihre Produkte anderweitig im Internet, dann kommen Sie an elektronischen Zahlungsmitteln gar nicht mehr vorbei. Darunter fallen alle bargeldlosen Zahlungsvorgänge wie die Zahlung per Dauerauftrag, die Überweisung, Zahlungen mit Kreditkarten, aber auch PayPal oder Giropay.
Zwecke der Verarbeitungstätigkeit: Abwicklung und Durchführung des elektronischen Zahlungsverkehrs, Ausgleich von Verbindlichkeiten
Typische Betroffenengruppen: Beschäftigte, Lieferanten, Kunden/ Nutzer, alle Teilnehmer am Verfahren
Typische Datenpunkte/ -kategorien: Name/ Vorname, Bankverbindung, ggf. weitere Rechnungsinformationen
Typische Empfänger/ Kategorien von Empfängern: Lohnbuchhaltung, Geschäftsführung, Buchhaltung, Personalabteilung, ggf. Steuerberater
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung des Vertragszwecks notwendig (Art 6 (1) Buchst. b) DSGVO).
Interessenabwägung: Keine Interessenabwägung notwendig, andere Rechtsgrundlage einschlägig.
Weitere Verarbeitungstätigkeit: E-Mail Kommunikation
Auch die Kommunikation mit Kunden oder Geschäftspartnern läuft oft elektronisch ab. Wenn Sie regelmäßig im laufenden Geschäftsbetrieb via E-Mail kommunizieren, dann verarbeiten Sie hierbei eine Menge an persönlichen Daten. Aus diesem Grund muss auch dieses Verfahren in das Verzeichnis aufgenommen werden.
Zwecke der Verarbeitungstätigkeit: jegliche interne und externe Kommunikation zur Abwicklung des Kaufvorganges, Bearbeiten der Anfragen von Interessenten, Einholen von Auskünften anderer Stellen oder Unternehmen
Typische Betroffenengruppen: Beschäftigte, Lieferanten, Kunden/ Nutzer, Interessenten, Bewerber
Typische Datenpunkte/ -kategorien: Name/ Vorname, E-Mailadresse, IP-Adresse, ggf. weitere Daten, die die Beteiligten austauschen
Typische Empfänger/ Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Wahrung von berechtigten Interessen des Verantwortlichen notwendig (Art 6 (1) Buchst. f) DSGVO).
Interessenabwägung: Interessenabwägung notwendig (eine vollständige Formulierung erhalten Sie in den Vorlagenpaketen), allerdings überwiegen nicht die Interessen des Betroffenen
Das Verfahren der Kalender- und Terminverwaltung
Die Verwaltung der Termine und des Kalenders wird besonders in großen Unternehmen regelmäßig mit einer Kalender- und Terminverwaltungssoftware gehandhabt. Beispiele für solche Software sind hauptsächlich Outlook oder Thunderbird. Allerdings werden auch in einer manuellen Termin- und Kalenderverwaltung personenbezogene Daten erfasst, sodass auch hier dieses Verfahren in Ihr Verzeichnis aufgenommen werden muss.
Zwecke der Verarbeitungstätigkeit: Vereinbaren von Terminen, Planen von Terminvergaben und Personaleinsatz
Typische Betroffenengruppen: Beschäftigte, Lieferanten, Kunden/ Nutzer, Interessenten, Bewerber
Typische Datenpunkte/ -kategorien: Name/ Vorname, E-Mailadresse, Telefonnummer, ggf. die Adresse
Typische Empfänger / Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Wahrung von berechtigten Interessen des Verantwortlichen notwendig (Art 6 (1) Buchst. f) DSGVO).
Interessenabwägung: Interessenabwägung notwendig (eine vollständige Formulierung erhalten Sie in den Vorlagenpaketen), allerdings überwiegen nicht die Interessen des Betroffenen
Die Kundenverwaltung (Kundendatenbank) von Privatkunden ist ein weiteres typisches Verfahren
Für die Verwaltung Ihrer Privatkunden kann eine Kundendatenbank, eine Kundendatei oder ein manuelles Ordersystem genutzt werden. Allenfalls muss hierüber ein Verzeichnis der Verarbeitung angefertigt werden, da Sie die Daten Ihrer Privatkunden verarbeiten. So gut wie jede Firma hat eine Datenbank, in der sie ihre (potentiellen) Kunden abspeichert. In diesem Fall liegt eindeutig eine Verarbeitungstätigkeit vor, da regelmäßig persönliche Daten verarbeitet werden. Sie werden erhoben, erfasst und gespeichert.
Zwecke der Verarbeitungstätigkeit: Kontakt- und Adressverwaltung, Kommunikation mit Kunden, Vereinfachen der Bearbeitung von Reklamationen
Typische Betroffenengruppen: Kunden/ Nutzer
Typische Datenpunkte/ -kategorien: Name/ Vorname, E-Mailadresse, Telefonnummer, Adresse, Geburtsdatum, Geschlecht, Bankverbindung, Rechnungsdaten
Typische Empfänger/ Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Wahrung von berechtigten Interessen des Verantwortlichen notwendig (Art 6 (1) Buchst. f) DSGVO).
Interessenabwägung: Interessenabwägung notwendig (eine vollständige Formulierung erhalten Sie in den Vorlagenpaketen), allerdings überwiegen nicht die Interessen des Betroffenen
Auch das gehört in ein Verarbeitungsverzeichnis: Webauftritt / Betrieb einer Internetseite
Die Präsentation des eigenen Unternehmens findet zunehmend online statt. Es geht dabei um nahezu jede Form von Webauftritten, also klassische Webseiten, aber auch Facebook-Seiten oder Apps. Da in jedem Fall Server-Log Daten verarbeitet werden, muss dieses Verfahren mit in Ihr Verzeichnis aufgenommen werden.
Zwecke der Verarbeitungstätigkeit: Werbung und Präsentation der Produkte oder des Unternehmens, Vertrieb der Produkte
Typische Betroffenengruppen: Beschäftigte, Lieferanten, Kunden/ Nutzer, Interessenten, Bewerber
Typische Datenpunkte/ -kategorien: IP-Adresse, ggf. Nutzerverhalten und Standort des Besuchers
Typische Empfänger/ Kategorien von Empfängern: Ggf. Betreiber von Clouds, Hosting Anbieter
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung des Vertragszwecks notwendig (Art 6 (1) Buchst. b) DSGVO).
Interessenabwägung: Keine Interessenabwägung notwendig, andere Rechtsgrundlage einschlägig.
Weiteres typisches Verfahren: Arbeitszeiterfassung
Wenn Sie die Arbeitszeiten Ihrer Mitarbeiter erfassen, um bspw. nachzuweisen, dass Sie den Mindestlohn zahlen, dann erfassen Sie somit deren persönliche Daten. Deshalb ist auch das eine Verarbeitungstätigkeit, die Sie in das Verzeichnis aufnehmen müssen.
Zwecke der Verarbeitungstätigkeit: Abrechnung der Arbeitszeit, Lohnzahlung
Typische Betroffenengruppen: Beschäftigte
Typische Datenpunkte/ -kategorien: Name/ Vorname, Geburtsdatum, Geschlecht, Teefonnummer, Adresse, E-Mailadresse, Bankverbindung, ggf. Gesundheitsdaten
Typische Empfänger/ Kategorien von Empfängern: Lohnbuchhaltung, Geschäftsführung, Buchhaltung, Personalabteilung
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung des Vertragszwecks notwendig (Art 6 (1) Buchst. b) DSGVO). Sie dient zum Zweck des Beschäftigtenverhältnisses nach §26 BDSG (neu).
Interessenabwägung: Keine Interessenabwägung notwendig, andere Rechtsgrundlage einschlägig.
Denken Sie auch an: Kontaktformulare und Chat-Tools
Neben der Kommunikation per Mail finden vor allem Erstkontakte über Kontaktformulare und Chat-tools statt. Hierunter können das klassische Kontaktformular, aber auch interaktivere Kommunikationsformen, wie Chat-Widgets oder Chat-Bots fallen.
Zwecke der Verarbeitungstätigkeit: Erfassen von Kundenanfragen, Erstkontakt mit Interessenten, Vertragsanbahnung, Bearbeiten allgemeiner Anfragen
Typische Betroffenengruppen: Kunden/ Nutzer, Interessenten, Bewerber
Typische Datenpunkte/ -kategorien: Name/ Vorname, E-Mailadresse, IP-Adresse, Telefonnummer, Adresse
Typische Empfänger/ Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Wahrung von berechtigten Interessen des Verantwortlichen notwendig (Art 6 (1) Buchst. f) DSGVO).
Interessenabwägung: Interessenabwägung notwendig (eine vollständige Formulierung erhalten Sie in den Vorlagenpaketen), allerdings überwiegen nicht die Interessen des Betroffenen
Das Verfahren: Wahrung von Betroffenenrechten auf Anfrage nach Art. 15-18 DSGVO
Die DSGVO gibt den Betroffenen von Datenverarbeitung eine Reihe von Rechten in Artikel 15 bis 18 DSGVO. Danach ist jedes Unternehmen dazu verpflichtet, eine solche Anfragen des Betroffenen beantworten. Diese Verarbeitungstätigkeit muss damit unbedingt in das Verzeichnis aufgenommen werden.
Zwecke der Verarbeitungstätigkeit: Wahren der Betroffenenrechte der DSGVO, Dokumentation der Einhaltung
Typische Betroffenengruppen: Beschäftigte, Lieferanten, Kunden / Nutzer, Interessenten, Bewerber
Typische Datenpunkte/ -kategorien: Name/ Vorname, Geburtsdatum, Geschlecht, Adresse, Kontaktdaten, Bankverbindung, Rechnungsdaten
Typische Empfänger/ Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung notwendig (Art 6 (1) Buchst. c) DSGVO).
Interessenabwägung: Keine Interessenabwägung notwendig
Eine weitere Verarbeitungstätigkeit: Angebotserstellung
Auch bei einer Angebotserstellung werden persönliche Daten der potentiellen Kunden verarbeitet, insbesondere wenn es sich um eine individuelle Angebotserstellung handelt. Damit muss auch diese Verarbeitung in das Verzeichnis eingetragen werden.
Zwecke der Verarbeitungstätigkeit: Kundenkommunikation, Erstellen von personalisierten Angeboten
Typische Betroffenengruppen: Kunden / Nutzer, Interessenten
Typische Datenpunkte/ -kategorien: Name/ Vorname, Geburtsdatum, Geschlecht, Adresse, Kontaktdaten, Bankverbindung, Rechnungsdaten
Typische Empfänger/ Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens, ggf. Dienstleister
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung des Vertragszwecks notwendig (Art 6 (1) Buchst. b) DSGVO).
Interessenabwägung: Keine Interessenabwägung notwendig
Das Verfahren der Dienstplanung
Nicht nur die Arbeitszeiterfassung ihrer Mitarbeiter verarbeitet deren persönliche Daten. Auch müssen in beinahe jedem Unternehmen die Dienste Ihrer Mitarbeiter geplant werden, damit der Geschäftsbetrieb ordentlich ablaufen kann. Damit ist auch diese Datenverarbeitung für das Verarbeitungsverzeichnis relevant.
Zwecke der Verarbeitungstätigkeit: Einsatz und Planung der Beschäftigten, Planung von Projekten
Typische Betroffenengruppen: Beschäftigte
Typische Datenpunkte / -kategorien: IP-Adresse, ggf. Nutzerverhalten und Standort des Besuchers
Typische Empfänger / Kategorien von Empfängern: ggf. an weitere Abteilungen des Unternehmens
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung des Vertragszwecks notwendig (Art 6 (1) Buchst. b) DSGVO).
Interessenabwägung: Keine Interessenabwägung notwendig
Typische Verarbeitungen, die nach DSGVO nicht relevant sind
Es gibt durchaus auch Verarbeitungen, die auf den ersten Blick so wirken, als müssten diese in das Verzeichnis von Verarbeitungstätigkeiten mit aufgenommen werden. Es stellt sich aber heraus, dass diese oft gar keine personenbezogenen Daten verarbeiten und damit auch nicht relevant sind.
Bilanzerstellung
Diese Datenverarbeitung stellt keine Verarbeitungstätigkeit im Sinne der DSGVO dar, da regelmäßig keine persönlichen Daten, sondern Finanzkennziffern und aggregierte Daten verarbeitet werden.
Auswertung anonymisierter oder aggregierter Daten
Wenn Daten keinen Personenbezug (mehr) haben, können diese auch ohne weiteres verarbeitet werden und stehen nicht unter dem Schutz der DSGVO.
Die 3 wichtigsten Fragen und Antworten zum Thema Verarbeitungstätigkeiten
Gibt es typische Verarbeitungstätigkeiten, die in jedes Verzeichnis von Verarbeitungstätigkeiten gehören?
Ja, einige dieser Grundlagen-Tätigkeiten finden Sie im Artikel. Darüber hinaus liegt die Empfehlung bei mindestens 20 Verarbeitungen bei kleinen Unternehmen und bis zu 200 bei großen Unternehmen.
Folgen Sie am besten der Spur der Daten und zeichnen Sie jeden Prozess, jedes Tool und jede Abteilung auf, welche mit personenbezogenen Daten in Berührung kommt.
Wie identifiziere ich eine Verarbeitungstätigkeit nach DSGVO?
Der Begriff an sich ist nicht abschließend definiert. Grundsätzlich sollte auch hier jede Tätigkeit erfasst werden, welche mit personenbezogenen Daten zu tun hat.
Wie detailliert muss ich die Verarbeitungstätigkeit beschreiben?
Sie müssen die gesetzlich geforderten Mindestinhalte in ihr Verzeichnis aller Verarbeitungstätigkeiten integrieren. Oft übergangen werden dabei die Rechtsgrundlage und die Löschfristen, die wichtige Komponenten darstellen.
Resümee: Es gibt viele Verarbeitungstätigkeiten im Unternehmen
Auf Grund der weiten Definition im Gesetz und der Vielzahl von persönlichen Daten in einem Unternehmen, müssen viele Verfahren erfasst werden. Es ist davon auszugehen, dass alles ein Verfahren darstellt, was persönliche Daten beinhaltet.
Natürlich stoßen Sie in Ihrem Unternehmen auf weitere individuelle Verarbeitungstätigkeiten. Diese zehn dargestellten Tätigkeiten sind jedoch typischerweise in einem Unternehmen anzutreffen und sollten daher, wenn diese auch bei Ihnen zutreffen, unbedingt in Ihr Verzeichnis aufgenommen werden.
Quellen
https://dsgvo-gesetz.de/art-30-dsgvo/
https://dsgvo-gesetz.de/art-4-dsgvo/