Das Verarbeitungsverzeichnis – Wie wird es erstellt? Teil 5

In diesem Teil 5 der Anleitung, wie ein Verarbeitungsverzeichnis erstellt wird, will ich direkt im Anschluss an Teil 4 die weiteren inhaltlichen Anforderungen nennen.

Zuletzt waren wir bei Artikel 30 Absatz 1 Satz 2 Buchstabe b) DSGVO. Also kommt jetzt, wer hätte es gedacht, Buchstabe c):

Kategorien betroffener Personen und personenbezogener Daten

im Verarbeitungsverzeichnis – Artikel 30 Absatz 1 Satz 2 Buchstabe c)

Es muss eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten im Verarbeitungsverzeichnis erfolgen. Dabei empfiehlt es sich hinsichtlich der einzelnen Kategorien personenbezogener Daten laufende Nummern zu vergeben, die so eine Zuordnung zu den weiteren konkreten Angaben gemäß Artikel 30 Absatz 1 Satz 2 Buchstaben d) bis f) DSGVO ermöglichen, z.B. zu konkreten Löschregeln.

Aufgegliedert z.B. in der Darstellung der „Kategorie Beschäftigte“ in die möglichen Daten-Kategorien:

  • Mitarbeiter-Stammdaten mit Adressdaten, Geburtsdatum, Bankverbindung, Steuermerkmale, Lohngruppe, Arbeitszeit, bisherige Tätigkeitsbereiche, Qualifikationen etc.
  • Bewerbungen mit Kontaktdaten, Qualifikationsdaten, Tätigkeiten etc.
  • Arbeitszeugnisse mit Adressdaten, Leistungsdaten, Beurteilungsdaten etc.
  • Abmahnungen mit Adressdaten, Arbeitsverhalten, Leistungsdaten etc.
  • Betriebsarztuntersuchungen mit Adressdaten, Gesundheitsdaten etc.
  • Stundenplan als Einsatzplan für Lehrkräfte
  • Videoüberwachung an Arbeitsplätzen etc.

Aufgegliedert z.B. in der Darstellung der „Kategorie Kundendaten“ in die möglichen Kategorien:

  • Kunden-Kontaktdaten mit Adressdaten, Ansprechpartnern etc.
  • Kundengruppe/-interesse
  • Umsatzdaten bisher
  • Bonitätsdaten
  • Zahlungsdaten usw.

Kategorien von Empfängern im Verarbeitungsverzeichnis – Artikel 30 Absatz 1 Satz 2 Buchstabe d)

Hier ist die Angabe der Kategorien von Empfängern gemeint, denen die Daten offen gelegt worden sind oder noch offen gelegt werden, einschließlich der Empfänger in Drittländer.

Aufgegliedert z.B.: für die Lohn- und Gehaltsabrechnung:

  • Banken
  • Sozialversicherungsträger
  • Finanzämter
  • unternehmensinterne Datenempfänger (z.B. Betriebsrat, Vorgesetzte)
  • ggf. Gläubiger bei Lohn-/Gehaltspfändungen
  • ggf. Träger der Betriebsrente
  • ggf. Auftragsverarbeiter
  • ggf. Muttergesellschaft

Empfänger können auch Teile eines Unternehmens oder einer Behörde sein. Dies ist der Fall, sofern ein Zugriff auf die Daten möglich ist (z.B. ein Zugriff auf Unternehmens- oder Kundendaten bei bundesweit tätigen Banken oder abgebende und aufnehmende Schule bei gleichem Schulträger).

Der Begriff „Datenempfänger“ ist daher zu ergänzen durch „Zugriffsberechtigte“. Die Zugriffsberechtigten sollten ohne namentliche Angabe angegeben werden. Sie müssen jedoch z.B. über eine Rollen- oder Funktionsbeschreibung eindeutig bestimmbar sein.

Es kann aber sinnvoll sein, die Angabe einer Zahl der Zugriffsstellen bzw. Zugriffsberechtigten mit Bezug zum aktuellen Stand (Tagesdatum) im Verarbeitungsverzeichnis anzugeben.

Zu „Drittländern“ sollte in jedem Fall eine Aussage getroffen werden, also auch angegeben werden, wenn eine Übermittlung in Drittländer nicht stattfindet und auch nicht geplant ist.

Eine Übermittlung in Drittländer erfolgt auch, wenn sich dort der Server befindet oder der Mailversand hierüber abgewickelt wird (denken Sie dabei auch an Ihren Newsletterdienstleister, der im EU-Ausland sitzen kann). Ebenso kann eine Übermittlung in Drittländer vorliegen, wenn Supportdienstleistungen aus diesem erbracht werden.

„Offenlegung“ bedeutet, dass sowohl die Empfänger in der Vergangenheit, als auch jene in der Zukunft zu benennen sind.

Weiter mit dem Buchstaben e) und einer Vorschau auf den letzten Teil 6 zur Erstellung des Verarbeitungsverzeichnisses geht es hier auf unserem Portal rund um den Datenschutz und die DSGVO.

Timo Schutt
Datenschutz-Berater
Fachanwalt für IT-Recht