Image

Typische Verarbeitungstätigkeiten

Die DSGVO verpflichtet jeden, der personenbezogene Daten in seinem Unternehmen verarbeitet, all diese Verarbeitungsprozesse innerhalb des Unternehmens zu dokumentieren (Artikel 30 DSGVO). Der Begriff Verarbeitungstätigkeit ist als solcher in der DSGVO nicht konkret definiert. Auf Grund dessen muss auf Art. 4 Nr. 2. DSGVO zurückgegriffen werden, welcher das Wort Verarbeitung definiert. Demnach müssen als wichtigstes Kriterium personenbezogene Daten verarbeitet werden, dabei unterscheidet das Gesetz nicht zwischen manueller oder automatisierter Verarbeitung.
Eine Kartei, welche händisch beschrieben wird, ist also genauso zu behandeln, wie eine Excel Tabelle, die jeden Tag automatisiert befüllt wird. Darüber hinaus zählt die DSGVO noch konkret auf, welche Arten der Verarbeitung eingeschlossen sind (Art. 4 Nr. 2 DSGVO):

  • Erheben,
  • Erfassen,
  • die Organisation,
  • das Ordnen,
  • die Speicherung,
  • die Anpassung oder Veränderung,
  • das Auslesen, das Abfragen, die Verwendung,
  • die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung,
  • den Abgleich oder die Verknüpfung,
  • die Einschränkung,
  • das Löschen,
  • die Vernichtung.

Dieser Katalog ist nicht allumfassend, das bedeutet, dass selbst wenn die Tätigkeit nicht aufgezählt ist, davon auszugehen ist, dass es sich um eine Verarbeitung im Sinne der DSGVO handelt.

Fragen zur Verarbeitungstätigkeit

  1. Verarbeiten Sie personenbezogene Daten?
  2. Wenden Sie eine der folgenden Arten der Verarbeitung an?
    • Erheben,
    • Erfassen,
    • Organisieren,
    • Ordnen,
    • Speichern,
    • Anpassung oder Veränderung,
    • Auslesen,
    • Abfragen,
    • Verwenden
    • Offenlegung durch Übermittlung,
    • Verbreitung oder eine andere Form der Bereitstellung,
    • Abgleich oder die Verknüpfung,
    • Einschränkung,
    • Löschen,
    • Vernichtung.

Dann haben Sie mit sehr hoher Wahrscheinlichkeit eine dokumentationspflichtige Verarbeitungstätigkeit, die zu dokumentieren ist.

 

10 Beispiele für typische Verarbeitungstätigkeiten nach DSGVO

Welche Verarbeitungstätigkeiten kommen in Betracht? Wo werden personenbezogene Daten verarbeitet? Der folgende Abschnitt soll Ihnen genau das anhand von 10 typischen Verarbeitungstätigkeiten erläutern, die wohl in jedem Unternehmen eine Rolle spielen.

  • Elektronischer Zahlungsverkehr
    Der elektronische Zahlungsverkehr ist überall anzutreffen. Besonders im betrieblichen Kontext werden so gut wie alle Transaktionen elektronisch abgewickelt, weswegen dieses Verfahren in jedes Verzeichnis von Verarbeitungstätigkeiten gehört.
    Betreiben Sie einen Onlineshop oder vertreiben Ihre Produkte anderweitig im Internet, dann kommen Sie an elektronischen Zahlungsmitteln gar nicht mehr vorbei. Darunter fallen alle bargeldlosen Zahlungsvorgänge wie die Zahlung per Dauerauftrag, die Überweisung, Zahlungen mit Kreditkarten, aber auch PayPal oder Giropay.
  • E-Mail Kommunikation
    Auch die Kommunikation mit Kunden oder Geschäftspartnern läuft oft elektronisch ab. Wenn Sie regelmäßig im laufenden Geschäftsbetrieb via E-Mail kommunizieren, dann verarbeiten Sie hierbei eine Menge an persönlichen Daten. Aus diesem Grund muss auch dieses Verfahren in das Verzeichnis aufgenommen werden.
  • Kalender- und Terminverwaltung
    Die Verwaltung der Termine und des Kalenders wird besonders in großen Unternehmen regelmäßig mit einer Kalender- und Terminverwaltungssoftware gehandhabt. Beispiele für solche Software sind hauptsächlich Outlook oder Thunderbird. Allerdings werden auch in einer manuellen Termin- und Kalenderverwaltung personenbezogene Daten erfasst, sodass auch hier dieses Verfahren in Ihr Verzeichnis aufgenommen werden muss.

Interessenabwägung: Interessenabwägung notwendig (eine vollständige Formulierung erhalten Sie in den Vorlagenpaketen), allerdings überwiegen nicht die Interessen des Betroffenen

  • Die Kundenverwaltung (Kundendatenbank)
    Für die Verwaltung Ihrer Privatkunden kann eine Kundendatenbank, eine Kundendatei oder ein manuelles Ordersystem genutzt werden. Allenfalls muss hierüber ein Verzeichnis der Verarbeitung angefertigt werden, da Sie die Daten Ihrer Privatkunden verarbeiten. So gut wie jede Firma hat eine Datenbank, in der sie ihre (potentiellen) Kunden abspeichert. In diesem Fall liegt eindeutig eine Verarbeitungstätigkeit vor, da regelmäßig persönliche Daten verarbeitet werden. Sie werden erhoben, erfasst und gespeichert.
  • Webauftritt / Betrieb einer Internetseite
    Die Präsentation des eigenen Unternehmens findet zunehmend online statt. Es geht dabei um nahezu jede Form von Webauftritten, also klassische Webseiten, aber auch Facebook-Seiten oder Apps. Da in jedem Fall Server-Log Daten verarbeitet werden, muss dieses Verfahren mit in Ihr Verzeichnis aufgenommen werden.
  • Arbeitszeiterfassung
    Wenn Sie die Arbeitszeiten Ihrer Mitarbeiter erfassen, um bspw. nachzuweisen, dass Sie den Mindestlohn zahlen, dann erfassen Sie somit deren persönliche Daten. Deshalb ist auch das eine Verarbeitungstätigkeit, die Sie in das Verzeichnis aufnehmen müssen.
  • Kontaktformulare und Chat-Tools
    Neben der Kommunikation per Mail finden vor allem Erstkontakte über Kontaktformulare und Chat-tools statt. Hierunter können das klassische Kontaktformular, aber auch interaktivere Kommunikationsformen, wie Chat-Widgets oder Chat-Bots fallen.
  • Anfrage nach Art. 15-18 DSGVO
    Die DSGVO gibt den Betroffenen von Datenverarbeitung eine Reihe von Rechten in Artikel 15 bis 18 DSGVO. Danach ist jedes Unternehmen dazu verpflichtet, eine solche Anfrage des Betroffenen beantworten. Diese Verarbeitungstätigkeit muss damit unbedingt in das Verzeichnis aufgenommen werden.
  • Angebots- Auftragserstellung/CRM-Programme
    Auch bei einer Angebotserstellung werden persönliche Daten der potentiellen Kunden verarbeitet, insbesondere wenn es sich um eine individuelle Angebotserstellung handelt. Damit muss auch diese Verarbeitung in das Verzeichnis eingetragen werden.
  • Dienstplanung
    Nicht nur die Arbeitszeiterfassung ihrer Mitarbeiter verarbeitet deren persönliche Daten. Auch müssen in beinahe jedem Unternehmen die Dienste Ihrer Mitarbeiter geplant werden, damit der Geschäftsbetrieb ordentlich ablaufen kann. Damit ist auch diese Datenverarbeitung für das Verarbeitungsverzeichnis relevant.



Typische Verarbeitungen, die nicht relevant sind

Es gibt durchaus auch Verarbeitungen, die auf den ersten Blick so wirken, als müssten diese in der Verzeichnis von Verarbeitungstätigkeiten mit aufgenommen werden. Es stellt sich aber heraus, dass diese oft gar keine personenbezogenen Daten verarbeiten und damit auch nicht relevant sind.

  • Bilanzerstellung
    Diese Datenverarbeitung stellt keine Verarbeitungstätigkeit im Sinne der DSGVO dar, da regelmäßig keine persönliche Daten, sondern Finanzkennziffern und aggregierte Daten verarbeitet werden.
  • Auswertung anonymisierter oder aggregierter Daten
    Wenn Daten keinen Personenbezug (mehr) haben, können diese auch ohne weiteres verarbeitet werden und stehen nicht unter dem Schutz der DSGVO.

Hier anmelden und keinen Blogartikel mehr verpassen!
Oder gleich Termin zum kostenlosen telefonischen Erstgespräch vereinbaren: Zur Terminvereinbarung