Zur Erinnerung: Das Verzeichnis von Verarbeitungstätigkeiten soll alle Prozesse (sogenannte Verarbeitungstätigkeiten) in einem Unternehmen abbilden, bei denen personenbezogene Daten verarbeitet werden.
So unterschiedlich jedes einzelne Unternehmen auch sein mag, die Rahmenprozesse ähneln sich im Wesentlichen. Einige dieser Rahmenprozesse habe ich Ihnen nachfolgend zusammen getragen:
Bewerbermanagement
- Zweck der Verarbeitung: Begründung von Beschäftigungsverhältnissen; Personalbeschaffung
- Kategorien betroffener Personen: Bewerber
- Kategorien personenbezogener Daten: Name, Geburtsdatum, Telefonnummer, Lebenslauf, Schulabschlüsse, Arbeitszeugnisse, Zertifikate, Fähigkeiten
- Kategorien von Empfängern:
- intern: Personalabteilung, Betriebsrat
- Datenübermittlung Drittland: nein
- Löschfristen: 6 Monate nach Vergabe der Stelle, außer der Bewerber hat der Aufnahme in Bewerberpool zugestimmt
Lohnbuchhaltung
- Zweck der Verarbeitung: Lohnabrechnung
- Kategorien betroffener Personen: Beschäftigte
- Kategorien personenbezogener Daten: Name, Geburtsdatum, Telefonnummer, Geburtsdatum, Familienstand, Informationen zu Kindern, Kontoverbindung, Steuerklasse, Sozialversicherungsnummer, Religion, Angaben zu Lohnpfändungen
- Kategorien von Empfängern:
- intern: Personalabteilung, Unternehmensleitung
- extern: Lohnbuchhalter, Steuerberater, Wirtschaftsprüfer, Finanzverwaltung, Versicherungsgesellschaften
- Datenübermittlung Drittland: nein
- Löschfristen: Keine spezielle Löschfrist; Löschung nach Zweckwegfall, auf Antrag des Betroffenen oder durch Wegfall der Rechtsgrundlage
Videoüberwachung
- Zweck der Verarbeitung: Überwachung Eingangsbereich; Vandalismusprävention
- Kategorien betroffener Personen: Besucher, Beschäftigte
- Kategorien personenbezogener Daten: Bildaufnahmen
- Kategorien von Empfängern:
- intern: IT-Leiter, Wachschutz
- Datenübermittlung Drittland: nein
- Löschfristen: Automatische Löschung nach 72 Stunden
Newsletter
- Zweck der Verarbeitung: Versand von Sonderangeboten per E-Mail
- Kategorien betroffener Personen: Abonnenten, Kunden
- Kategorien personenbezogener Daten: Name, E-Mail-Adresse
- Kategorien von Empfängern:
- extern: E-Mail-Dienstleister (MailChimp)
- Datenübermittlung Drittland
- Drittland / Organisation: USA / MailChimp (The Rocket Science Group LLC)
- Geeignete Garantien: EU-U.S. Privacy Shield
- Löschfristen: Automatische Löschung bei Widerruf der Einwilligung (Newsletterabmeldung)
Einkauf
- Zweck der Verarbeitung: Beschaffung von Waren und Dienstleistungen
- Kategorien betroffener Personen: Beschäftigte, Beschäftigte von Lieferanten, Dienstleister, Kreditoren
- Kategorien personenbezogener Daten: Name, Anschrift, E-Mail-Adresse, Telefonnummer, Faxnummer, Position, Nachrichtenverlauf, Bankverbindung, Umsatzsteuer-Identifikationsnummer, Vertragsdaten, Umsatzdaten
- Kategorien von Empfängern:
- intern: Einkaufsabteilung
- Datenübermittlung Drittland: nein
- Löschfristen: Löschung nach handelsrechtlicher Aufbewahrungsfrist von 6 Jahren
Vertrieb
- Zweck der Verarbeitung: Verkauf von Waren und Dienstleistungen
- Kategorien betroffener Personen: Kunden
- Kategorien personenbezogener Daten: Name, Lieferanschrift, E-Mail-Adresse, Telefonnummer, Nachrichtenverlauf, Bankverbindung, Umsatzdaten, Bestellhistorie, Saldo
- Kategorien von Empfängern:
- extern: Paketdienstleister
- Datenübermittlung Drittland: nein
- Löschfristen: Löschung nach handelsrechtlicher Aufbewahrungsfrist von 6 Jahren
Web-Tracking Internet
- Zweck der Verarbeitung: Analyse des Surfverhaltens
- Kategorien betroffener Personen: Webseitenbesucher
- Kategorien personenbezogener Daten: IP-Adresse, Nutzungsdaten, Suchverlauf
- Kategorien von Empfängern:
- extern: Analysedienstleister (Google Analytics)
- Datenübermittlung Drittland
- Drittland / Organisation: USA / Google Inc.
- Geeignete Garantien: EU-U.S. Privacy Shield
- Löschfristen: Keine spezielle Löschfrist; Löschung nach Zweckwegfall, auf Antrag des Betroffenen oder durch Wegfall der Rechtsgrundlage
Kundenverwaltung
- Zweck der Verarbeitung: Pflegen und Managen von Kundenbeziehungen
- Kategorien betroffener Personen: Kunden
- Kategorien personenbezogener Daten: Name, Anschrift, E-Mail-Adresse, Telefonnummer, Faxnummer, Familienstand, Kundennummer, Kundenart, Kontaktdaten, Kontakthistorie, Daten zu Interessen
- Daten zu gekauften Waren oder Dienstleistungen, Vertragsdaten, Kommunikationsdaten, Fotos
- Kategorien von Empfängern:
- intern: Marketing-Abteilung
- Datenübermittlung Drittland: nein
- Löschfristen: Nach spätestens 2 Jahren wird geprüft, ob eine weitere Speicherung erforderlich ist.
Finanzbuchhaltung
- Zweck der Verarbeitung: Buchführung; Übersicht aller Ausgaben und Einnahmen
- Kategorien betroffener Personen: Kunden, Debitoren, Kreditoren
- Kategorien personenbezogener Daten: Name, Anschrift, Rechnungsnummer, Rechnungspositionen, Bestellsumme, Finanztransaktionsdaten, Umsatzsteuer
- Kategorien von Empfängern:
- intern: Buchhaltung
- extern: Steuerberater, Wirtschaftsprüfer
- Datenübermittlung Drittland: nein
- Löschfristen: Löschung nach gesetzlicher Aufbewahrungspflicht von 10 Jahren
Arbeitszeiterfassung
- Zweck der Verarbeitung: Optimieren von Geschäftsabläufen
- Kategorien betroffener Personen: Beschäftigte
- Kategorien personenbezogener Daten: Name, Arbeitszeiten, Urlaubszeiten, Krankheitstage
- Kategorien von Empfängern:
- intern: Betriebsrat
- extern: Steuerberater, Wirtschaftsprüfer
- Datenübermittlung Drittland: nein
- Löschfristen: Überstunden: 2 Jahre; Finanzdaten werden gemäß Abgabenordnung für 10 Jahre aufbewahrt
Die Auflistung ist nicht abschließend. Sie können zutreffende Verarbeitungstätigkeiten im Detail angepasst in Ihr Verarbeitungsverzeichnis übertragen.