Dipl.-Volksw. Fritz Schmidt

Kurzbeschreibung

Als Teil der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ist ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Dieses Verzeichnis betrifft alle automatisierten und nichtautomatisierten Verarbeitungen personenbezogener Daten. Das hier angebotene Muster stellt ein Verfahrensverzeichnis für den Beschäftigtendatenschutz zur Verfügung.

Verfahrensverzeichnisse

Als Teil der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ist ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Dieses Verzeichnis betrifft alle automatisierten und nichtautomatisierten Verarbeitungen personenbezogener Daten. Zunächst sind deshalb alle Verarbeitungsprozesse personenbezogener Daten im Unternehmen zu ermitteln. Um die Übersichtlichkeit zu wahren, empfiehlt es sich, für jedes Verfahren eine eigene Übersicht anzufertigen.

Nach Art. 30 Abs. 5 DSGVO haben Unternehmen mit weniger als 250 Mitarbeitern kein Verzeichnis der Verarbeitungstätigkeiten zu führen. Dies gilt aber nicht,

  • wenn Verarbeitungen personenbezogener Daten erfolgen, die besondere Datenkategorien gemäß Art. 9 Abs. 1 DSGVO betreffen (dazu gehören z. B. Daten zur Religion) oder
  • die Verarbeitung personenbezogener Daten nicht nur gelegentlich erfolgt oder
  • die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt.

Die Ausnahmen von der Verpflichtung laufen wohl regelmäßig ins Leere. Die Verarbeitung von personenbezogenen Daten erfolgt bei nahezu allen Unternehmen nicht nur gelegentlich. Dazu kommt, dass in Deutschland alle Unternehmen, die Arbeitnehmer beschäftigen, wegen des Kirchensteuerabzugs Religionsdaten zu verarbeiten haben. Genossenschaften haben bei Dividendenausschüttungen ebenfalls Religionsdaten zu verarbeiten.

Nach Art. 30 Abs. 3 DSGVO ist das Verzeichnis schriftlich zu führen, was aber auch in einem elektronischen Format möglich ist. Weitere Vorgaben zur Form des Verzeichnisses machen DSGVO und BDSG nicht. Es empfiehlt sich – soweit möglich –, das Verzeichnis eher allgemein zu halten. Beispielsweise sollte bei der Datenerhebung beim Bundeszentralamt für Steuern zum Zwecke des Kirchensteuerabzugs bei Dividendenausschüttungen besser allgemein auf die Steuergesetze als auf § 51a EStG verwiesen werden, weil sich die Paragraphen durch eine Änderung der Steuergesetzgebung schnell ändern können.

Der Inhalt des Verzeichnisses ergibt sich aus § 30 DSGVO. Danach sind für jeden Verarbeitungsprozess anzugeben:

  1. die Namen und Kontaktdaten der Geschäftsführung und des Datenschutzbeauftragten (sofern eine Bestellung erfolgt ist,
  2. die Zwecke der Verarbeitung,
  3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,
  4. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden,
  5. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation,
  6. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien,

  7. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen,

Nicht nach Art. 30 DSGVO zwingend erforderliche Daten, die aber sinnvollerweise trotzdem in das Verzeichnis aufgenommen werden sollten:

  8. eingesetzte IT-Systeme,
  9. ggf. Angaben zur Datenschutzfolgenabschätzung.

Das hier angebotene Muster stellt ein Verfahrensverzeichnis für den Beschäftigtendatenschutz zur Verfügung. Ein Allgemeines Verfahrensverzeichnis finden Sie unter dem Titel Allgemeines Verfahrensverzeichnis für Wohnungsunternehmen.

Verfahrensverzeichnis eines Wohnungsunternehmens für den Beschäftigtenschutz

  • Dokument in Textverarbeitung übernehmen

Verfahrensverzeichnis

Wohnungsunternehmen _________________

Beschäftigtendatenschutz
Verantwortliche
 

(Namen der Mitglieder der Geschäftsführung bzw. des Vorstands)

______________________

______________________

______________________
Datenschutzbeauftragter
 

(Name und Kontaktdaten)

______________________
Zweck der Verarbeitung
 
  1. Einstellung neuer Mitarbeiter

  2. Abwicklung des Arbeitsverhältnisses, insbesondere

    • Arbeitszeiterfassung
    • Lohn- und Gehaltsabrechnung
Rechtsgrundlagen der Verarbeitung
 

Rechtfertigung

  1. Vertrag: Arbeitsvertrag bzw. Anbahnung Arbeitsvertrag
  2. Gesetz: Arbeitszeitgesetz, Betriebsverfassungsgesetz, Steuer- und Sozialversicherungsgesetze
Betroffene Personen
 

Bewerber um einen Arbeitsplatz bzw. Beschäftigte (einschließlich Praktikanten, Auszubildende etc.)
Kategorien personenbezogener Daten
 

  1. Im Bewerbungsverfahren:

    • Kontaktdaten
    • Lebenslauf
    • Qualifikationsnachweise
    • Zeugnisse
    • ggf. Bankverbindung wegen Ersatz Reisekosten
    • Sonstiges: _____________

  2. Laufendes Arbeitsverhältnis:

    zusätzlich zu den unter 1. genannten Daten

    • Daten zur Erfüllung der steuerlichen und sozialversicherungsrechtlichen Verpflichtungen
    • Personalnummer
    • Bankverbindung
Kategorien von Empfängern von personenbezogenen Daten
 

  1. Intern

    • Geschäftsführung
    • Personalabteilung
    • Betriebsrat (soweit vorhanden)

    • Aufsichtsrat (zumindest bei Führungskräften)

  2. Extern

    • Finanzamt
    • Sozialversicherungsträger
    • Dienstleister für die Lohnabrechnung
    • Wirtschaftsprüfer im Rahmen der Jahresabschlussprüfung
    • Gläubiger de...

Das ist nur ein Ausschnitt aus dem Produkt VerwalterPraxis. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene beiträge