Beispiele für typische Datenverarbeitungen in Unternehmen


Art. 30 DSGVO regelt die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten. Das ist nicht einfach und aus rechtlicher Sicht ist unklar, wie umfangreich bzw. detailliert ein Verarbeitungsverzeichnis sein sollte. Wir haben für Sie typische Verarbeitungstätigkeiten zusammengestellt, die in nahezu jedem Unternehmen vorkommen können.


Entschieden haben wir uns für folgende Beispiele:


  1. Internetseite

  2. Bewerbermanagement

  3. E-Mail

  4. Einkauf

  5. Finanzbuchhaltung

  6. IT

  7. Lohnbuchhaltung

  8. Verwaltung


Zu 1: Internetseite


Zwecke der Verarbeitung: Betrieb einer Internetseite zur Außendarstellung des Unternehmens und zur Kontaktaufnahme inklusive Kontaktformular


Kategorien der personenbezogenen Daten:


Name, Name des Unternehmens, E-Mail-Adresse, Bestandsdaten, Nutzungsdaten,

Inhaltsdaten


Beschreibung der Kategorien betroffener Personen:


Interessenten, Besucher


Beschreibung der Kategorien von Empfängern:


Hosting-Provider, ggf. weitere interne Abteilungen (Bearbeitung von Anfragen)


Übermittlung von Daten an ein Drittland bzw. internationale Organisationen:


Implementierung von Google Webfonts. Im Zusammenhang kommt es zu Aufrufen von Servern in den USA. Für die Verarbeitung ist Google Verantwortlicher. Das angemessene Schutzniveau ergibt sich aus der Teilnahme am Privacy Shield.


Löschfristen:

Nutzungsdaten: spätestens nach 7 Tagen. Inhaltsdaten, z. B. über das Kontaktformular): 1 Jahr, danach erfolgt Prüfung auf das Erfordernis der weiteren Speicherung und eine erneute Prüfung zum Ende jedes Kalenderjahres. Für Inhaltsdaten, die als Geschäftsbrief einzuordnen sind, gilt die handelsrechtliche Aufbewahrungspflicht.


Rechtsgrundlagen: Art. 6 Abs. 1 lit. a), Art. 6 Abs. 1 lit. f)

________________________________________________________________________


Zu 2. Bewerbermanagement


Zwecke der Verarbeitung: Personalbeschaffung. Dazu gehören das Finden geeigneter Bewerber und die Auswahl der betreffenden Personen hinsichtlich der besten Fähigkeiten.


Beschreibung der Kategorien personenbezogener Daten: Vorname, Nachname, Titel, Lebenslauf, Schulabschluss, Berufsabschluss, Studium


Beschreibung der Kategorien betroffener Personen: Bewerber


Kategorien der Empfänger für die Einstellung der Bewerber: Betriebsrat, interne Stellen


Übermittlung an ein Drittland: nicht geplant


Löschfristen: Bewerberdaten grundsätzlich nach Ablauf von 6 Monaten nach Vergabe der Stelle, Ausnahme: Daten von Bewerbern, die eine Einwilligung zur weiteren Speicherung im Bewerberdatenpool erteilt haben: Nach 2 Jahren wird geprüft, ob ein Erfordernis zur weiteren Speicherung besteht. Ansonsten erfolgt die Löschung.


TOMs: siehe Datensicherheitskonzept.


Rechtsgrundlagen: § 26 BDSG, Art. 6 Abs. 1 lit. a) DSGVO, Art 6 Abs. 1 lit. f) DSGVO


________________________________________________________________________


Zu 3. E-Mail


Zwecke der Verarbeitung: Elektronische Kommunikation


Beschreibung deer Kategorien personenbezogener Daten: Name, E-Mail-Adresse, Nutzungsdaten, Verkehrsdaten


Beschreibung der Kategorien betroffener Personen: Beschäftigte, Kunden, Interessenten, Dienstleister, Dritte, Bewerber.


Kategorien von Empfängern: Dienstleister, weitere Personen im Unternehmen, ggf. Dritte


Übermittlung von personenbezogenen Daten an ein Drittland: nicht geplant


Hinweis: Gleichwohl ist beim Versand von E-Mails über das Internet nie ausgeschlossen, dass eine Weiterleitung personenbezogener Daten über einen Drittland erfolgt.


Löschfristen: E-Mails werden mindestens für 6 Jahre aufbewahrt, um den handelsrechtlichen Aufbewahrungspflichten für Geschäftsbriefe nachzukommen. Nach Ablauf von 6 Jahren wird zum Ablauf des Kalenderjahres geprüft, ob eine weitere Speicherung erforderlich ist. Ansonsten erfolgt eine Löschung der Daten. Ausnahmen: Daten, die als buchhaltungstechnisch einzustufen sind, hierzu gelten die jeweiligen steuerrechtlichen Aufbewahrungspflichten.


TOMs: siehe Datensicherheitskonzept


Rechtsgrundlagen: Art. 6 Abs. 1 lit. a) DSGVo, Art. 6 Abs. 1 lit. b) DSGVO, Art. 6 Abs. 1 lit. c) DSGVO, Art. 6 Abs. 1 lit. f) DSGVO


________________________________________________________________________


Zu 4: Einkauf


Zwecke der Verarbeitung: Einkauf von Waren oder Dienstleistungen


Beschreibung der Kategorien personenbezogener Daten: Vorname, Nachname, Name des Unternehmens, geschäftliche Anschrift, Rechnungsanschrift, E-Mail-Adresse, Telefonnummer, Faxnummer, Position, Kontakthistorie, Bankverbindung, USt.-ID-Nummer, Daten zu gekauften Waren oder Dienstleistungen, Vertragsdaten, Umsatzdaten.


Beschreibung der Kategorien betroffener Personen: Beschäftigte, Dienstleister, Dritte, Kreditoren.


Kategorien von Empfängern: Interne Abteilungen, die Waren oder Dienstleistungen in Anspruch nehmen, Betriebsrat, ggf. Dritte.


Übermittlung von personenbezogenen Daten in ein Drittland: nicht vorgesehen


Löschfristen der verschiedenen Datenkategorien: Daten aus dem Einkauf werden nach dem Handelsrecht für 6 Jahre aufbewahrt, nach Ablauf von 6 Jahren erfolgt eine Prüfung, ob eine weitere Speicherung notwendig ist, ansonsten erfolgt Löschung.


TOMs: siehe Datensicherheitskonzept.


Rechtsgrundlagen: Art. 6 Abs. 1 lit. b) DSGVO, Art. 6 Abs. 1 lit. f) DSGVO.


________________________________________________________________________


Zu 5. Finanzbuchhaltung


Zwecke der Verarbeitung: Ermittlung und Verwaltung aller Einnahmen und Ausgaben, insbesondere für Zwecke der Ermittlung und Abfuhr von Steuern und Abgaben.


Beschreibung der Kategorien personenbezogener Daten: Vorname, Nachname, Name des Unternehmens, Rechnungsanschrift, E-Mail-Adresse, Telefonnummer, Kundennummer, Kundenart, Bankverbindung, USt.-ID-Nummer, Daten zu gekauften Waren oder Dienstleistungen, Vertragsdaten, Umsatzdaten.


Beschreibung der Kategorien betroffener Personen: Beschäftigte, Kunden, Debitoren, Kreditoren.


Kategorien von Empfängern: Finanzverwaltung, Steuerberater, Wirtschaftsprüfer.


Übermittlung von personenbezogenen Daten an ein Drittland: nicht vorgesehen.


TOMs: siehe Datenschutzkonzept.


Rechtsgrundlagen: Art. 6 Abs. 1 lit. b) DSGVO, Art. 6 Abs. 1 lit. c) DSGVO.


________________________________________________________________________


Zu 6. IT


Zweck der Verarbeitung: Bereitstellung und Pflege von IT-Systemen.


Beschreibung der Kategorien betroffener Personen: Vorname, Nachname, Titel, E-Mail-Adresse, Telefonnummer, Position, Kontakthistorie, Nutzungsdaten, Verkehrsdaten, Telekommunikationsdaten, Kommunikationsdaten.


Kategorien von Empfängern: Beschäftigte mit Personalverantwortung, Betriebsrat


Übermittlung von personenbezogenen Daten: nicht geplant


Löschfrist: Im Bereich IT werden viele verscheidene Daten verarbeitet, die von Applikationen bzw. vom IT-System abhängen und entsprechend differieren. Bei Systemen, die zur Verarbeitung von personenbezogenen Daten genutzt werden gilt: Protokollierungsfunktion - wer hat wann Daten eingegeben, verändert oder gelöscht. Dieses Protokoll wird i.d.R. ab der Löschung des jeweiligen Datensatzes weitere 4 Jahre gespeichert. Am Ende eines Kalenderjahres erfolgt eine Prüfung, ob eine Löschung der Daten erfolgen kann.

Darüber hinaus gilt für allgemein anfallende Daten im Bereich IT (Abwicklung von Aufträgen, Anforderungen etc.), dass bei diesen Daten nach Ablauf von vier Jahren zum Ende des jeweiligen Kalenderjahres geprüft wird, ob eine weitere Speicherung erforderlich ist. Sollte eine Erforderlichkeit nicht bestehen, werden die Daten gelöscht.


Ausgenommen hiervon sind Daten, die als Geschäftsbriefe i.S.d. HGB bzw. als buchhaltungsrelevante Daten einzuordnen sind. Hier gelten die jeweiligen gesetzlichen Aufbewahrungspflichten.


TOMs: siehe Datensicherheitskonzept.


Rechtsgrundlagen: Art. 6 Abs. 1 lit a) DSGVO, Art. 6 Abs. 1 lit. b) DSGVO, Art. 6 Abs. 1 lit. f) DSGVO, § 26 BDSG neu


________________________________________________________________________


Zu 7. Lohnbuchhaltung


Zweck der Verarbeitung: Ermittlung von Lohn & Gehalt, Abrechnung und Auszahlung von Lohn und Gehalt.


Beschreibung der Kategorien personenbezogener Daten: Vorname Nachname, Titel, Anschrift (privat), Telefonnummer, Geburtsdatum, Familienstand, Angaben zu Angehörigen, Bankverbindung, Vertragsdaten, Sozialversicherungsdaten, Arbeitszeiten, Lohn- und Gehaltsdaten, Angaben zu Steuerklasse, Religionszugehörigkeit, Angaben zu Lohnpfändungen.


Beschreibung der Kategorien betroffener Personen: Beschäftigte


Übermittlung von personenbezogenen Daten in ein Drittland: nicht vorgesehen


Löschfristen: Aufzeichnung von Überstunden: 2 Jahre, Steuerrelevante Daten nach Vorgaben der Abgabenordnung (mindestens 10 Jahre), für den Beginn der Frist gilt § 147 Abs. 4 AO. Alle anderen Daten: 2 Jahre Speicherung, zum ablauf des Kalenderjahres erfolgt Prüfung auf Erforderlichkeit längerer Aufbewahrungsfristen.


TOMs: siehe Datenschutzkonzept


________________________________________________________________________


Zu 8. Verwaltung


Zweck der Berarbeitung: Allgemeine Verwaltung des Unternehmens (Organisation, Büromanagement, Empfang etc.)


Beschreibung der Kategorien personenbezogener Daten: Vorname, Nachname, Titel, Name des Unternehmens, Anschrift (geschäftlich), E-Mail-Adresse, Telefonnummer, Position, Kontaktdaten, Kontakthistorie, Vertragsdaten.


Beschreibung der Kategorien betroffener Personen: Beschäftigte, Kunden, Interessenten, Dienstleister, Dritte, Besucher.


Kategorien von Empfängern: Interne Abteilungen, Dienstleister


Übermittlung von personenbezogenen Daten an Dritte: nicht vorgesehen.


Löschfristen: Bei personenbezogenen Daten der allgemeinen Verwaltung wird nach Ablauf von vier Jahren zum Ende des jeweiligen Kalenderjahres geprüft, ob eine weitere Speicherung erforderlich ist. Sollte eine Erforderlichkeit nicht bestehen, werden die Daten gelöscht.

Ausgenommen hiervon sind Daten, die als Geschäftsbriefe i.S.d. HGB bzw. als buchhaltungsrelevante Daten einzuordnen sind. Hier gelten die jeweiligen gesetzlichen Aufbewahrungspflichten.


TOMs: siehe Datensicherheitskonzept


________________________________________________________________________














Fuggerstraße 6

89250 Senden

Montag - Freitag:

09.00 - 13.00 Uhr

14.00 - 18.00 Uhr

0 73 07 . 93 60 40 7

0 73 07 . 93 60 40 8

Notfall: 0176 . 71 14 84 36

Copyright 2020 Contana Datenschutzservice e. K.

Diese Website stellt keine Rechtsberatung gemäß Rechtsdienstleistungsgesetz (RDG) dar, die ausnahmslos Rechtsanwätinnen bzw. Rechtsanwälten vorbehalten ist und ausgeübt werden dürfen. Die Inhalte der Website dienen vielmehr der unverbindlichen Information.

Wir übernehmen deshalb keine Gewähr auf Richtigkeit und Vollständigkeit.