Die Crux mit den „Verarbeitungsvorgängen“
PSP Case Study zur DSGVO: Praxisfall 11

DSGVO: Praktischer Fall

Die Huber AG erarbeitet ihr Verarbeitungsverzeichnis (Art. 30 DSGVO). Wie jedes Unternehmen verarbeitet sie Personaldaten der bei ihr beschäftigten Mitarbeiter. Wie viele „Verarbeitungstätigkeiten“ umfasst nun die Verarbeitung von Personaldaten?

Ebenso wie bei der Beschreibung technischer und organisatorischer Maßnahmen stellt sich beim Verarbeitungsverzeichnis die Frage des Detaillierungsgrades. Das Bayerische Landesamt für Datenschutzaufsicht hat in seiner Publikation „Erste Hilfe zur DSGVO“ in einem beispielhaft ausgefüllten Eintrag des Verarbeitungsverzeichnisses eine Verarbeitungstätigkeit als „Personalverwaltung“ bezeichnet. Ein Beispiel der Rechtsanwaltskammer München listet hingegen unter der Überschrift „Mitarbeiter“ die (Teil-)Prozesse „Personalakte“, „Zeiterfassung“, „Geburtstagsliste“, „Lohnbuchhaltung“ und „Schulungen“ auf. Aus der Praxis sind Fälle bekannt, in denen alleine die Personalabteilung im Rahmen ihrer datenschutzrechtlichen Bestandsaufnahme zu mehreren hundert Verarbeitungsvorgängen gelangte. Und wenn man sogar in jedem Löschvorgang einen eigenen Verarbeitungsvorgang sehen wollte, würde beim Einsatz eines Löschkonzepts jede Datenkategorie und Löschfrist zu einem eigenen Vorgang führen.

Letztlich geht es auch hier um ein Problem der Granularität (siehe dazu Fall 14). Man kann die DSGVO aus der „Vogelflugperspektive“ erfüllen, dann wird ein übliches mittelständisches Unternehmen nicht viel mehr als die Verarbeitungstätigkeiten Bewerberprozess, Personalverwaltung, Vorhalten der Ansprechpartner von Dienstleistern, Lieferanten und Behörden sowie Kundendatenverwaltung aufweisen. Man kann jede Verarbeitungstätigkeit aber auch wesentlich granularer aufgliedern. Welcher Maßstab der richtige ist, ergibt sich aus der DSGVO nicht. Mittelbar kann man schließen, dass anhand der Kategorien betroffener Personen und/oder der Kategorien der personenbezogenen Daten gegliedert werden soll – aber auch der Begriff „Kategorie“ ist ebenso interpretationsfähig. Hier wäre es wünschenswert gewesen, wenn der Gesetzgeber zumindest Beispiele für Verarbeitungstätigkeiten geliefert hätte. Ob das, was Aufsichtsbehörden dazu als „Guidance“ herausgeben, der DSGVO entspricht – die Aufsichtsbehörden sind, was bisweilen vergessen wird, nicht der Gesetzgeber –, wird sich zeigen.

Dasselbe Problem stellt sich übrigens auch bei anderen Anforderungen an das Verarbeitungsverzeichnis, beispielsweise welchen Abstraktionsgrad eine „allgemeine Beschreibung der technischen und organisatorischen Maßnahmen“ aufweisen muss.

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden