Wie muss ein Verzeichnis von Verarbeitungstätigkeiten strukturiert sein und was muss es beinhalten?
In den vorherigen Artikeln haben wir bereits über das Thema Datenschutz im Allgemeinen sowie die neuen Anforderungen rund um die Datenschutzgrundverordnung berichtet. Das Verzeichnis der Verarbeitungstätigkeiten nimmt hierbei eine sehr zentrale Rolle im Rahmen der Dokumentationspflichten ein. Es muss verpflichtend von allen Unternehmen erstellt werden die regelmäßig personenbezogene Daten verarbeiten (siehe hier den Artikel: „Datenschutz: Was sind personenbezogene Daten?“) und dient dem Nachweis, an welchen Stellen im Unternehmen welche personenbezogenen Daten erhoben und verarbeitet werden.
Das Verzeichnis von Verarbeitungstätigkeiten stellt ein internes Dokument dar, das nicht öffentlich vorgehalten werden muss. Es ermöglicht den Aufsichtsbehörden zu kontrollieren, ob Unternehmen ihren Pflichten nach der DSGVO nachkommen. Es ist davon auszugehen, dass die Aufsichtsbehörden künftig bei Beschwerden von betroffenen Personen oder bei Kontrollmaßnahmen die Vorlage des Verarbeitungsverzeichnisses einfordern werden. Fehler bei der Erstellung des Verarbeitungsverzeichnisses werden mit Geldbußen von bis zu 2 % des Jahresumsatzes geahndet.
Wie erstelle ich ein Verzeichnis von Verarbeitungstätigkeiten im Promotionbereich?
Zur Abbildung und Besetzung von Aktionen findet ein Umgang mit einer Vielzahl von personenbezogenen Daten statt – nämlich von Promotern, Hostessen, Kunden, Outletlisten mit Ansprechpartnern und vieles mehr. Es muss das richtige Personal für Aktionen ermittelt werden, ggf. Sedcards mit Personalvorschlägen an Kunden gesendet werden, Personal für Einsätze geplant, hierbei Buchungsbestätigungen und Verträge generiert und versendet werden und vieles mehr. Kurzum: Im Promotionbereich gibt es eine Vielzahl von Vorgängen, bei denen personenbezogene Daten erfasst und verarbeitet werden.
Für die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten hat es sich aus unserer Sicht bewährt, dass wir sowohl die gespeicherten Daten analysiert und kategorisiert als auch die Vorgänge bei der Verarbeitung personenbezogener Daten festgehalten haben. Einfach gesagt: Es muss dokumentiert werden, was für Daten gespeichert werden, wo diese gespeichert werden und durch welche Tätigkeiten diese Daten bearbeitet werden. Das Ergebnis hiervon sind die zwei nachfolgenden Tabellen, die die jeweilige Fragestellung beispielhaft beantworten.
Was sind klassische Verarbeitungsvorgänge bei der Verarbeitung personenbezogener Daten im Promotion-Bereich?
Die folgende Tabelle zeigt verschiedene Bereiche sowie Verarbeitungsvorgänge, bei denen in Agenturen und Unternehmen im Promotion- und Hostessbereich personenbezogene Daten erhoben, gespeichert und verarbeitet werden.
Bereich | Verarbeitungsvorgänge |
Abrechnung |
|
Agenturnutzerverwaltung/Agentur-Mitarbeiter |
|
Aktionsmanagement/Einsatzplanung |
|
Kontaktmanagement/CRM |
|
Personalverwaltung |
|
Sonstiges |
|
Systeminterne Protokollierung |
|
Welche Datenkategorien gibt es im Promotion-Bereich?
Die nachfolgende Aufstellung zeigt klassische Datenkategorien im Promotionbereich.
Datenkategorie | Beschreibung |
Profilstammdaten |
|
Profil-Referenztätigkeiten |
|
Profil-Verfügbarkeiten / Kalender |
|
Profil-Bilder |
|
Profil-Dokumente |
|
Einsätze/gebuchte Einsätze |
|
Einsatz-Abrechnungen |
|
E-Mails |
|
Nutzungsverhalten eingeloggter Anwender |
|
Kontakte/Kunden |
|
Agenturnutzer |
|
Verzeichnis von Verarbeitungstätigkeiten
Im Verzeichnis der Verarbeitungstätigkeiten werden nun beiden Blöcke kombiniert. Es wird hierbei also für jede Verarbeitungstätigkeit festgehalten, welche Datenkategorien in welcher Form betroffen sind. Zusätzlich werden zu den einzelnen Verarbeitungstätigkeiten weitere Informationen festgehalten, wie z. B. die Rechtsgrundlage der Verarbeitungstätigkeit, die Kategorisierung der Daten-Empfänger, vorgesehene Fristen für die Löschung sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.
Daneben müssen in einem Verarbeitungsverzeichnis diverse Grundangaben zum Unternehmen hinterlegt werden. Hierzu zählen der Name und die Adresse des Unternehmens, Angaben zum Geschäftsführer und Registergericht sowie die Kontaktdaten des Unternehmens und der zuständigen Person für Datenschutz/dem Datenschutzbeauftragten.
Ein Beispiel für einzelne Verarbeitungstätigkeiten ist in der nachfolgenden Tabelle zu finden.
Bezeichnung der Verarbeitungstätigkeit | Verantwortlicher Fachbereich | Zwecke der Verarbeitungen / der Verarbeitungstätigkeit | Rechtsgrundlage der Verarbeitungen / der Verarbeitungstätigkeit | Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten | Kategorien von Empfängern, denen die Daten offengelegt worden sind oder noch offengelegt werden (Art. 30 Abs. 1 lit. d DS-GVO) | Datenübermittlungen in Drittländer oder internationale Organisationen (Art. 30 Abs. 1 e DS-GVO) | Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien (Art. 30 Abs. 1 lit. f DS-GVO) | Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Art. 30 Abs. 1 lit. g i.V.m. Art. 32 Abs. 1 DS-GVO) | Anmerkungen/ Kommenare |
Agenturseitige Erfassung von Promotern | Personalabteilung / Promotionabteilung | Aufnahme eines Promoters in den agenturinternen Personalpool, um diesen Jobs/Aktionen anzubieten | Mögliche Varianten:
|
Promoter/Bewerber: Profilstammdaten | Intern: Personalabteilung / Promotionabteilung | nein | Vorhaltung bis auf Wiederruf | Siehe TOM’s | |
Import von Promotern/Hostessen aus anderem Personalpool | Personalabteilung / Promotionabteilung | Aufnahme eines Promoters in den agenturinternen Personalpool, um diesen Jobs/Aktionen anzubieten | Mögliche Varianten:
|
Promoter/Bewerber: Profilstammdaten, ggf. auch Bilder | Intern: Personalabteilung / Promotionabteilung | nein | Vorhaltung bis auf Wiederruf | Siehe TOM’s | Wichtig: Einwilligung muss/sollte für importierte Datensätze systemisch erfasst und getrackt werden! |
Agenturseitige Löschung von Promotern | Personalabteilung / Promotionabteilung | Löschung eines Promoters durch die Agentur, z. B. weil dieser die Anforderungen für die Aktionsbesetzung nicht erfüllt |
|
Intern: Personalabteilung / Promotionabteilung | nein | Siehe TOM’s | Profil-Stammdaten werden bei Löschung bis auf Vorname, Geschlecht und Stadt vollständig anonymisiert | ||
Agenturseitiger Upload von Bildern zu Promotern/Hostessen | Personalabteilung / Promotionabteilung | Hinterlegung neuer Bilder zu Promotern/Hostessen | Mögliche Varianten:
|
Promoter/Bewerber: Bilder | Intern: Personalabteilung / Promotionabteilung | nein | Vorhaltung bis auf Wiederruf | Siehe TOM’s | |
Erstellung einer PDF-Sedcard zur Weiterleitung an den Kunden | Personalabteilung / Promotionabteilung | Erstellung einer PDF-Sedcard zur Unterbreitung von Personalvorschlägen an Interessenten/Kunden |
|
Intern: Personalabteilung / Promotionabteilung Extern: Kunden / Interessenten |
nein | Siehe TOM’s | Auf PDF-Sedcard werden je nach Layout verschiedene Angaben der Personen ausgegeben |