Ich habe eine Frage zum Erstellen vom Verarbeitungsverzeichnis (VVT). Dort muss doch nur Verfahren aufgeführt werden die Personenbezogenen Daten verarbeiten, die Mitarbeiter oder Kunden betreffen. Bei uns ist letztens eine Diskussion entbrannt ob Webseiten / Webshop, wo sich ein Mitarbeiter registriert um für die Firma z.B. eine Lizenz oder Geräte zukaufen auch in das VVT aufgenommen werden müssen. Argument ist das der Mitarbeiter dort seinen Namen & E-Mailadresse hinterlegen muss.
In euer VVT kommen Themen rein die ihr verantwortet (also euere Personalabteilung, Finance etc)
Zudem können (je nach Firma) auch Themen drin sein die ihr bei euren Kunden (B2B) durchführt (z.B. Call Center Services, Webanalyste/User Research, Betrieb einer Platform etc).
Themen wo ihr auf Dieenstleister zurückgreift sind maximal als Empfänger der Daten im VVT enthalten. Also hier die Zugänge bei Microsoft - da wäre MS nun Empfänger im Prozess IT-Support oder Lizenzmanagemangement.
Vielen Dank schon mal für die Antworten. Dann lag ich mit meiner Gefühl ja richtig.
Um es kurz auf den Punkt zu bringen: Im VVT müssen alle Dienste rein die wir für Mitarbeiter & Kunden anbieten und deren Daten wir verarbeiten oder weiterleiten.
Keine Dienste (Webseiten / Shops) wo wir selber nur Dienste Nutzen um andere Dienste mit zu betreiben.
Ich bin gestern noch mal in die Diskussion gegangen bei der Frage. Das Argument warum auch Webseiten Logins / Shops usw. mit im VVT aufgeführt werden sollen ist: Der Mitarbeiter macht das für die Firma damit er seine Arbeit erfüllen kann. Damit ist die Firma dafür verantwortlich, das Personenbezogene Daten im Namen der Firma verteilt oder von dritten verarbeitet werden.
Muss eine Firma erfassen, wo Mitarbeiter im Namen der Firma seine Daten verteilen? Gibt es dafür eine Stelle in der DSGVO die sowas regelt? Was würde alles dazu zählen?
Das VVT würde ich dafür nicht benutzen wollen. Aber wo gehört es hin?
Also, wenn ich mich nicht irre, zu der Information zum Datenschutz des Mitarbeiters, wie z. B.
„Eine Datenweitergabe an Empfänger außerhalb des Unternehmens erfolgt ansonsten nur, soweit gesetzliche Bestimmungen dies erlauben oder gebieten, die Weitergabe zur Abwicklung und somit zur Erfüllung des Beschäftigungsvertrages erforderlich ist, uns Ihre Einwilligung vorliegt oder wir zur Erteilung einer Auskunft befugt sind. Unter diesen Voraussetzungen können Empfänger personenbezogener Daten z. B. sein: Öffentliche Stellen und Institutionen (z. B. Finanzamt) bei Vorliegen einer gesetzliche oder behördlichen Verpflichtung (Anordnung), Empfänger, an die die Weitergabe zur Vertragsbegründung oder -erfüllung bzw. soweit diese für das Beschäftigungsverhältnis unmittelbar erforderlich ist, wie z. B. Namen von Finanzdienstleistern, Hotels, Transportdienstleister usw. Datenempfänger, für die Sie uns Ihre Einwilligung zur Übermittlung erteilt haben: Empfängername / Kategorie“
Der Begriff “Verarbeitungsaktivität” ist in der DS-GVO leider unbestimmt.
Die Datenschutzkonferenz schreibt “Als Verarbeitungstätigkeit wird im Allgemeinen ein Geschäftsprozess auf geeignetem Abstraktionsniveau verstanden. Es ist ein strenger Maßstab anzulegen, so dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt.” Nur was meint “neuer” Zweck, wenn’s denn streng sein soll … Und was ist “ein” Prozess … Der Detaillierungsgrad kann von der Unternehmsgröße abhängen (Beispiele der Bayern: das wird sehr kurz für Kleinunternehmen).
Reichlich unbefriedigend.
Letztlich soll’s der Übersicht und der Rechenschaftspflicht dienen und daran orientiere ich mich.
Zurück zur (letzten) Frage: das Eintippen ist für mich nur ein einzelner Verarbeitungsschritt, der Prozess wäre z.B. Einkauf/Bestellwesen.