PromoBlog

Wie muss ein Verzeichnis von Verarbeitungstätigkeiten strukturiert sein und was muss es beinhalten?

Comments are off

In den vorherigen Artikeln haben wir bereits über das Thema Datenschutz im Allgemeinen sowie die neuen Anforderungen rund um die Datenschutzgrundverordnung berichtet. Das Verzeichnis der Verarbeitungstätigkeiten nimmt hierbei eine sehr zentrale Rolle im Rahmen der Dokumentationspflichten ein. Es muss verpflichtend von allen Unternehmen erstellt werden die regelmäßig personenbezogene Daten verarbeiten (siehe hier den Artikel: „Datenschutz: Was sind personenbezogene Daten?“) und dient dem Nachweis, an welchen Stellen im Unternehmen welche personenbezogenen Daten erhoben und verarbeitet werden.

Das Verzeichnis von Verarbeitungstätigkeiten stellt ein internes Dokument dar, das nicht öffentlich vorgehalten werden muss. Es ermöglicht den Aufsichtsbehörden zu kontrollieren, ob Unternehmen ihren Pflichten nach der DSGVO nachkommen. Es ist davon auszugehen, dass die Aufsichtsbehörden künftig bei Beschwerden von betroffenen Personen oder bei Kontrollmaßnahmen die Vorlage des Verarbeitungsverzeichnisses einfordern werden. Fehler bei der Erstellung des Verarbeitungsverzeichnisses werden mit Geldbußen von bis zu 2 % des Jahresumsatzes geahndet.

Wie erstelle ich ein Verzeichnis von Verarbeitungstätigkeiten im Promotionbereich?

Zur Abbildung und Besetzung von Aktionen findet ein Umgang mit einer Vielzahl von personenbezogenen Daten statt – nämlich von Promotern, Hostessen, Kunden, Outletlisten mit Ansprechpartnern und vieles mehr. Es muss das richtige Personal für Aktionen ermittelt werden, ggf. Sedcards mit Personalvorschlägen an Kunden gesendet werden, Personal für Einsätze geplant, hierbei Buchungsbestätigungen und Verträge generiert und versendet werden und vieles mehr. Kurzum: Im Promotionbereich gibt es eine Vielzahl von Vorgängen, bei denen personenbezogene Daten erfasst und verarbeitet werden.

Für die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten hat es sich aus unserer Sicht bewährt, dass wir sowohl die gespeicherten Daten analysiert und kategorisiert als auch die Vorgänge bei der Verarbeitung personenbezogener Daten festgehalten haben. Einfach gesagt: Es muss dokumentiert werden, was für Daten gespeichert werden, wo diese gespeichert werden und durch welche Tätigkeiten diese Daten bearbeitet werden. Das Ergebnis hiervon sind die zwei nachfolgenden Tabellen, die die jeweilige Fragestellung beispielhaft beantworten.

Was sind klassische Verarbeitungsvorgänge bei der Verarbeitung personenbezogener Daten im Promotion-Bereich?

Die folgende Tabelle zeigt verschiedene Bereiche sowie Verarbeitungsvorgänge, bei denen in Agenturen und Unternehmen im Promotion- und Hostessbereich personenbezogene Daten erhoben, gespeichert und verarbeitet werden.

Bereich Verarbeitungsvorgänge
Abrechnung
  • Abrechnung von Einsätzen von Promoter/Hostessen
  • Abrechnung von Agenturmitarbeitern
  • Weiterleitung von Abrechnungsdaten an Lohnbuchhaltung/FiBu
  • Weiterleitung von Abrechnungsdaten an Online-Banking/Finanztransaktionen
Agenturnutzerverwaltung/Agentur-Mitarbeiter
  • Agenturseitige Erfassung von Nutzern
  • Agenturseitige Bearbeitung von Nutzern
  • Agenturseitige Löschung von Nutzern
Aktionsmanagement/Einsatzplanung
  • Ausschreibung von Aktionen (inkl. E-Mail-Versand)
  • Einsatzplanung (inkl. E-Mail Versand)
  • Zeitenerfassung/Standorterfassung für gebuchte Einsätze
Kontaktmanagement/CRM
  • Agenturseitige Erfassung von Kunden/Kontakten
  • Agenturseitige Bearbeitung von Kunden/Kontakten
  • Agenturseitige Löschung von Kunden/Kontakten
  • Versand von E-Mails an die Kontakte
  • Kontakten Zugriff auf Kundenportal zum Einblick auf Aktionen und Promoter geben
Personalverwaltung
  • Eigenständige Registrierung von Promoter über das Promoterportal
  • Agenturseitige Erfassung von Promotern
  • Import von Promotern aus Promotionbasis
  • Import von Promotern aus anderen Quellen
  • Bearbeitung von Stammdaten durch die Agentur
  • Bearbeitung von Stammdaten durch die Promoter
  • Löschung von Promotern durch die Agentur
  • Upload von Bildern zu Promotern (agentur- und promoterseitig)
  • Upload von Dokumenten zu Promotern (agentur- und promoterseitig)
  • Bewertung/Klassifizierung von Promotern/Aktionen/Arbeitsleistungen
Sonstiges
  • Versand von E-Mails an Promoter
  • Abfrage von Daten über die API
  • Export von Datensätzen
  • Erstellung von PDF-Sedcards mit den Daten der Profile
  • Weiterleitung von PDF-Sedcards an Kunden/Interessenten
Systeminterne Protokollierung
  • Login
  • Bewerbungen/Rückmeldungen zu Jobs/Einsätzen

Welche Datenkategorien gibt es im Promotion-Bereich?

Die nachfolgende Aufstellung zeigt klassische Datenkategorien im Promotionbereich.

Datenkategorie Beschreibung
Profilstammdaten
  • Name
  • persönliche Angaben (Geschlecht, Geburtstag, Geburtsort, Geburtsname, Staatsangehörigkeit, Familienstand)
  • Anschrift/Adresse von Erst- und Zweitanschrift
  • Kontaktdaten (Telefon, E-Mail, Mobilnummer, Fax etc.)
  • bürokratische Angaben (Steuerinformationen, Krankenversicherung, Bankverbindung,
  • Angaben zum Erscheinungsbild (Haarfarbe, Körpergröße, Gewicht, Hauttyp, Konfektionsgröße, Brille etc.)
  • Angaben zum Führerschein/Mobilität
  • Ausbildung/Qualifikation (Schulabschluss, Ausbildung, Studium etc.)
  • Sonstiges (Fremdsprachenkenntnisse, Arbeitsvorlieben etc.)
Profil-Referenztätigkeiten
  • Bezeichnung/Beschreibung, Branche, Tätigkeit und Zeitraum
Profil-Verfügbarkeiten / Kalender
  • tagesgenau Verfügbarkeitsangabe
Profil-Bilder
  • Bilder der Profile
Profil-Dokumente
  • Dokumente der Profile wie Gewerbescheine, Gesundheitszeugnisse, Immatrikulationsbescheinigungen etc. als Bild- oder PDF-Datei samt Titel/Beschreibung
Einsätze/gebuchte Einsätze
  • Verknüpfungsinformation, Geo-Koordniation und IP-Adresse von CheckIn und CheckOut
Einsatz-Abrechnungen
  • Name, Anschrift, Bankverbindung, Steuerinformationen
E-Mails
  • Name und E-Mail-Adresse des Empfängers
  • E-Mail-Inhalt häufig mit Name und Aktionsdetails
Nutzungsverhalten eingeloggter Anwender
  • Logins in das System
  • durchgeführte Exporte
Kontakte/Kunden
  • Name
  • Geschlecht
  • Anschrift/Adresse
  • Kontaktdaten (Telefon, E-Mail, Mobilfunknummer, Fax etc.)
  • Angabe zur Position/Beschäftigung in Firma
Agenturnutzer
  • Name
  • Kontaktdaten/Telefon
  • E-Mail-Adresse
  • Signatur

Verzeichnis von Verarbeitungstätigkeiten

Im Verzeichnis der Verarbeitungstätigkeiten werden nun beiden Blöcke kombiniert. Es wird hierbei also für jede Verarbeitungstätigkeit festgehalten, welche Datenkategorien in welcher Form betroffen sind. Zusätzlich werden zu den einzelnen Verarbeitungstätigkeiten weitere Informationen festgehalten, wie z. B. die Rechtsgrundlage der Verarbeitungstätigkeit, die Kategorisierung der Daten-Empfänger, vorgesehene Fristen für die Löschung sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.

Daneben müssen in einem Verarbeitungsverzeichnis diverse Grundangaben zum Unternehmen hinterlegt werden. Hierzu zählen der Name und die Adresse des Unternehmens, Angaben zum Geschäftsführer und Registergericht sowie die Kontaktdaten des Unternehmens und der zuständigen Person für Datenschutz/dem Datenschutzbeauftragten.

Ein Beispiel für einzelne Verarbeitungstätigkeiten ist in der nachfolgenden Tabelle zu finden.

Bezeichnung der Verarbeitungstätigkeit Verantwortlicher Fachbereich Zwecke der Verarbeitungen / der Verarbeitungstätigkeit Rechtsgrundlage der Verarbeitungen / der Verarbeitungstätigkeit Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten Kategorien von Empfängern, denen die Daten offengelegt worden sind oder noch offengelegt werden (Art. 30 Abs. 1 lit. d DS-GVO) Datenübermittlungen in Drittländer oder internationale Organisationen (Art. 30 Abs. 1 e DS-GVO) Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien (Art. 30 Abs. 1 lit. f DS-GVO) Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Art. 30 Abs. 1 lit. g i.V.m. Art. 32 Abs. 1 DS-GVO) Anmerkungen/ Kommenare
Agenturseitige Erfassung von Promotern Personalabteilung / Promotionabteilung Aufnahme eines Promoters in den agenturinternen Personalpool, um diesen Jobs/Aktionen anzubieten Mögliche Varianten:

  • Art. 6 Abs. 1 lit. a, § 7 Abs. 2 Nr. 3 UWG (Einwilligung)
  • Art. 6 Abs. 1 lit. b (Vertragserfüllung)
  • Art. 6 Abs. 1 lit. f (berechtigte Interessen)
 Promoter/Bewerber: Profilstammdaten Intern: Personalabteilung / Promotionabteilung nein Vorhaltung bis auf Wiederruf Siehe TOM’s
Import von Promotern/Hostessen aus anderem Personalpool Personalabteilung / Promotionabteilung Aufnahme eines Promoters in den agenturinternen Personalpool, um diesen Jobs/Aktionen anzubieten Mögliche Varianten:

  • Art. 6 Abs. 1 lit. a, § 7 Abs. 2 Nr. 3 UWG (Einwilligung)
  • Art. 6 Abs. 1 lit. b (Vertragserfüllung)
  • Art. 6 Abs. 1 lit. f (berechtigte Interessen)
 Promoter/Bewerber: Profilstammdaten, ggf. auch Bilder Intern: Personalabteilung / Promotionabteilung nein Vorhaltung bis auf Wiederruf Siehe TOM’s Wichtig: Einwilligung muss/sollte für importierte Datensätze systemisch erfasst und getrackt werden!
Agenturseitige Löschung von Promotern Personalabteilung / Promotionabteilung Löschung eines Promoters durch die Agentur, z. B. weil dieser die Anforderungen für die Aktionsbesetzung nicht erfüllt
  • Profil-Stammdaten
  • Profil-Referenztätigkeiten
  • Profil-Verfügbarkeiten
  • Profil-Bilder
  • Profil-Dokumente
 Intern: Personalabteilung / Promotionabteilung nein Siehe TOM’s Profil-Stammdaten werden bei Löschung bis auf Vorname, Geschlecht und Stadt vollständig anonymisiert
Agenturseitiger Upload von Bildern zu Promotern/Hostessen Personalabteilung / Promotionabteilung Hinterlegung neuer Bilder zu Promotern/Hostessen Mögliche Varianten:

  • Art. 6 Abs. 1 lit. a, § 7 Abs. 2 Nr. 3 UWG (Einwilligung)
  • Art. 6 Abs. 1 lit. b (Vertragserfüllung)
  • Art. 6 Abs. 1 lit. f (berechtigte Interessen)
 Promoter/Bewerber: Bilder Intern: Personalabteilung / Promotionabteilung nein Vorhaltung bis auf Wiederruf Siehe TOM’s
Erstellung einer PDF-Sedcard zur Weiterleitung an den Kunden Personalabteilung / Promotionabteilung Erstellung einer PDF-Sedcard zur Unterbreitung von Personalvorschlägen an Interessenten/Kunden
  • Profil-Stammdaten
  • Profil-Referenztätigkeiten
  • Profil-Bilder
 Intern: Personalabteilung / Promotionabteilung
Extern: Kunden / Interessenten		 nein Siehe TOM’s Auf PDF-Sedcard werden je nach Layout verschiedene Angaben der Personen ausgegeben
Posted in: