Hallo,
ich bin neu. Neu hier im Forum und neu in der Tätigkeit als Datenschutz-Koordinatorin.
Das Seminar habe ich schon durchlaufen - sogar mit dem Abschluss als Datenschutzbeauftragte.
Auch wenn der Seminarstoff sehr umfangreich und der Dozent aus meiner Sicht sehr fachkundig war und einiges sehr gut und im Detail erläutert wurde, habe ich noch Unklarheiten.
Etwas was mir zum Beispiel noch absolut unklar ist, ist, welchen Detailierungsgrad man im Verzeichnis von Verarbeitungstätigkeiten anlegen sollte.
Die Definition in Artikel 4 sagt das jeder Vorgang oder jede Vorgangsreihe in Zusammenhang mit personenbezogenen Daten eine Verarbeitung darstellt. Die ebendort auch aufgezählten Beispiele legen den Schluss nahe, dass sogar jede Stufe der Verarbeitung eines Datensatzes (Daten sammel/erheben, Datensatz anlegen, Datensatz auslesen, Datensatz ändern, …, Daten übermitteln, …, Daten löschen).
Das würde dann ja für jedes Fachverfahren eine mehrfache Anzahl an Verarbeitungen ergeben.
Ich glaube nicht bzw. ich weiß, dass ich damit hier im Unternehmen auf Gegenliebe stoßen werde.
Der Dozent im Seminar meinte dazu, dass es seitens der Aufsichtsbehörden wohl so gesehen wird, dass große Unternehmen/Konzerne Ihre Verarbeitungen eher einzeln auflisten sollten, wohingegen kleinere Unternehmen, Vereine etc. ähnliche Verarbeitungen eher mal zusammenfassen dürfen oder Verarbeitungen als Gruppen angeben könnten.
Genannt wurde dabei das Beispiel Personalwesen: Der Handwerksbetrieb könnte dies wohl als eine Verarbeitung angeben, der Konzern sollte eher aufgliedern nach einzelnen Zwecken (also Lohn, Urlaubsplanung, Krankmeldung, …)
Ein anderer Seminarteilnehmer erwähnte dann noch in der Pause, dass es wohl eine Aussage oder einen Standpunkt von den Aufsichtsbehörden gäbe, von dem er mal was gehört oder gelesen hätte, dass Verarbeitungen soweit aufgegliedert werden sollten, dass es pro Verarbeitung nur exakt eine Rechtsgrundlage gibt.
Er wusste aber leider nicht mehr, woher er diese Information hatte.
Insoweit nun meine Unklarheit.
Eine Recherche mit Google und die Suche im Forum war leider nicht ergebnisfördernd.
Ich vermute aber, dass ich einfach nicht die passende Suchanfrage gefunden habe.
Gibt es irgendwie eine offizielle Festlegung, wie detailliert man nun alle Vorgänge aufgliedern muss als Unternehmen?
Wo wäre die zu finden? (Z.B. als Veröffentlichung der Aufsichtsbehörden)?
Kennt jemand von euch den erwähnten Standpunkt orientiert an den Rechtsgrundlagen aufzuteilen und kann mir dazu mehr verraten?
Da die Frage schon im Rahmen des Seminars heiß diskutiert war, bitte ich euch, dass ihr eure Meinungen bitte möglichst mit entsprechender Quelle belegt.
Habt schonmal vielen Dank für eure Hilfe und Antworten.
Tabea