Datenschutzaudit

Nach Art. 30 DSGVO ist für die meisten Unternehmen die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten Pflicht. Dieses Verarbeitungsverzeichnis zu erstellen ist nicht ganz einfach. Zudem ist rechtlich nicht klar, wie detailliert dieses Verzeichnis zu sein hat.

Aus juristischer Sicht bietet sich hier eine Bündelung von Verarbeitungen nach einem Zweck an. In diesem Verarbeitungsverzeichnis finden sich eine Reihe von Verarbeitungen, die in nahezu jedem Unternehmen vorkommen. Diese können als Hilfe zum Einstieg in die Erstellung des Verzeichnisses frei verwendet werden. Die Angaben sind jeweils individuell zu dem Unternehmen anzupassen.

Beispiele haben wir nachfolgend zusammengetragen und aufgeführt:

Bezeichnung der Verarbeitung

Inkasso

Zwecke der Verarbeitung

Geltendmachung und Durchsetzung von Zahlungsansprüchen

Beschreibung der Kategorien personenbezogener Daten

  • Vorname
  • Nachname
  • Titel
  • Name des Unternehmens
  • Anschrift (geschäftlich)
  • Anschrift (privat)
  • Rechnungsanschrift
  • Internetadresse
  • E-Mail-Adresse
  • Telefonnummer
  • Faxnummer
  • Geburtsdatum
  • Kundennummer
  • Kontaktdaten
  • Kontakthistorie
  • Bankverbindung
  • Vertragsdaten
  • Angaben zu Lohnpfändungen
  • Daten zur Zahlungsfähigkeit
  • Daten zum Zahlungsausfallrisiko
  • Scoringdaten

Beschreibung der Kategorien betroffener Personen

  • Kunden
  • Dritte

Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden

Rechtsanwälte
Auskunfteien
Strafverfolgungsbehörden

Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Keine

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Daten zur Geltendmachung von offenen Forderungen werden für die Dauer von mindestens 10 Jahren gespeichert.
Nach Ablauf von 10 Jahren wird zum Ende des Kalenderjahres geprüft, ob die Forderung noch durchsetzbar ist (Vollstreckungstitel). Sollte ein Vollstreckungstitel bestehen, werden die Daten bis zur Verjährung des Vollstreckungstitels gespeichert, sofern die Forderung nicht zuvor vom Schuldner oder einem Dritten beglichen worden ist.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO

Siehe Datensicherheitskonzept.

Bezeichnung der Verarbeitung

Internetseite

Zwecke der Verarbeitung

Betrieb einer Internetseite zur Außendarstellung des Unternehmens und zur Kontaktaufnahme inkl. Kontaktformular

Beschreibung der Kategorien personenbezogener Daten

  • Name
  • Name des Unternehmens
  • E-Mail-Adresse
  • Bestandsdaten
  • Nutzungsdaten
  • Inhaltsdaten

Beschreibung der Kategorien betroffener Personen

  • Interessenten
  • Besucher

Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden

Hosting-Provider
Ggf. weitere interne Abteilungen zur Bearbeitung von Anfragen

 

Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Einbindung von Google Webfonts. In dem Zusammenhang kommt es zu Aufrufen von Servern von Google in den USA. Für die Verarbeitung ist Google „Verantwortlicher“. Das angemessene Datenschutzniveau ergibt sich aus der Teilnahme von Google am Privacy Shield.

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Nutzungsdaten werden nach spätestens 7 Tagen gelöscht bzw. anonymisiert.
Inhaltsdaten (z.B. Daten, die über ein Kontaktformular übermittelt wurden) werden für einen Zeitraum von 1 Jahr gespeichert. Nach Ablauf des Jahres wird ein weiteres Erfordernis der Speicherung geprüft und eine erneute Prüfung zum Ende jedes Kalenderjahres vorgesehen.
Sollten Inhaltsdaten als Geschäftsbrief einzuordnen sein, gelten die handelsrechtlichen Aufbewahrungspflichten.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO

Siehe Datensicherheitskonzept.

Bezeichnung der Verarbeitung

Freelancer-Datenbank

Zwecke der Verarbeitung

Verwaltung von Kontakten und Fähigkeiten von freien Mitarbeiter („Freelancer“)

Beschreibung der Kategorien personenbezogener Daten

  • Vorname
  • Nachname
  • Titel
  • Name des Unternehmens
  • Anschrift (geschäftlich)
  • Rechnungsanschrift
  • Internetadresse
  • E-Mail-Adresse
  • Telefonnummer
  • Faxnummer
  • Position
  • Kontaktdaten
  • Kontakthistorie
  • Termindaten
  • Vertragsdaten
  • Kommunikationsdaten
  • Fotos
  • Angaben zum Beruf
  • Angaben zur beruflichen Laufbahn
  • Schulabschluss
  • Berufsabschluss
  • Studium
  • Daten zu beruflichen Fortbildungen

Beschreibung der Kategorien betroffener Personen

  • Dienstleister
  • Dritte

Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden

Interne Abteilungen, die Freelancer-Bedarf haben
Betriebsrat

Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Keine

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Daten zu Freelancern werden für einen Zeitraum von 4 Jahren gespeichert. Nach Ablauf von vier Jahren wird zum Ende des jeweiligen Kalenderjahres geprüft, ob eine weitere Speicherung erforderlich ist. Sollte eine Erforderlichkeit nicht bestehen, werden die Daten gelöscht.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO

Siehe Datensicherheitskonzept.

Bezeichnung der Verarbeitung

Verkauf / Vertrieb

Zwecke der Verarbeitung

 

Verkauf und Vertrieb von Waren oder Dienstleistungen

Beschreibung der Kategorien personenbezogener Daten

  • Vorname
  • Nachname
  • Titel
  • Name des Unternehmens
  • Anschrift (geschäftlich)
  • Anschrift (privat)
  • Rechnungsanschrift
  • E-Mail-Adresse
  • Telefonnummer
  • Kundennummer
  • Kundenart
  • Kontaktdaten
  • Kontakthistorie
  • Termindaten
  • Bankverbindung
  • Umsatzsteueridentifikationsnummer
  • Daten zu gekauften Waren oder Dienstleistungen
  • Vertragsdaten
  • Umsatzdaten

Beschreibung der Kategorien betroffener Personen

  • Kunden

Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden

Kooperationspartner
Logistikunternehmen

Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Keine

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Bei personenbezogenen Daten des Verkaufs / Vertriebs ist davon auszugehen, dass diese buchhaltungsrelevant sind. Eine Speicherung erfolgt daher grundsätzlich für 10 Jahre, wobei der Fristbeginn sich nach § 147 Abs. 4 AO richtet.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO

Siehe Datensicherheitskonzept.

Bezeichnung der Verarbeitung

CRM

Zwecke der Verarbeitung

Pflege von Kundenbeziehungen und Beziehungen zu Interessenten („Customer Relationship Management (CRM)“)

Beschreibung der Kategorien personenbezogener Daten

  • Vorname
  • Nachname
  • Titel
  • Name des Unternehmens
  • Anschrift (geschäftlich)
  • Internetadresse
  • E-Mail-Adresse
  • Telefonnummer
  • Faxnummer
  • Familienstand
  • Kundennummer
  • Kundenart
  • Kontaktdaten
  • Kontakthistorie
  • Termindaten
  • Daten zu Interessen
  • Daten zu gekauften Waren oder Dienstleistungen
  • Vertragsdaten
  • Kommunikationsdaten
  • Fotos
  • Angaben zum Beruf

Beschreibung der Kategorien betroffener Personen

  • Beschäftigte
  • Kunden
  • Interessenten

Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden

CRM-Dienstleister
Beschäftigte im Unternehmen
Auftragsverarbeiter

Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Für das CRM-System wird bei ein Softwaresystem eines Dienstleisters in einem Drittstaat (hier: USA) verwendet. Es besteht ein Auftragsverarbeitungsvertrag mit dem Dienstleister. Das angemessene Datenschutzniveau ist durch die Mitgliedschaft des Dienstleisters im „Privacy Shield“ gewährleistet.

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Bei personenbezogenen Daten im CRM-System wird nach Ablauf von zwei Jahren zum Ende des jeweiligen Kalenderjahres geprüft, ob eine weitere Speicherung erforderlich ist. Sollte eine Erforderlichkeit nicht bestehen, werden die Daten gelöscht.
Ausgenommen hiervon sind Daten, die als Geschäftsbriefe i.S.d. HGB bzw. als buchhaltungsrelevante Daten einzuordnen sind. Hier gelten die jeweiligen gesetzlichen Aufbewahrungspflichten.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO

Siehe Datensicherheitskonzept.

Bezeichnung der Verarbeitung

Projektverwaltung

Zwecke der Verarbeitung

Verwaltung von Projekten im Unternehmen

Beschreibung der Kategorien personenbezogener Daten

  • Vorname
  • Nachname
  • Name des Unternehmens
  • Anschrift (geschäftlich)
  • E-Mail-Adresse
  • Telefonnummer
  • Faxnummer
  • Position
  • Branche
  • Termindaten
  • Vertragsdaten
  • Kommunikationsdaten
  • Umsatzdaten

Beschreibung der Kategorien betroffener Personen

  • Beschäftigte
  • Kunden
  • Dienstleister
  • Dritte

Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden

Betriebsrat

Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Keine

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Bei personenbezogenen Daten der Projektverwaltung wird nach Ablauf von vier Jahren zum Ende des jeweiligen Kalenderjahres geprüft, ob eine weitere Speicherung erforderlich ist. Sollte eine Erforderlichkeit nicht bestehen, werden die Daten gelöscht.
Ausgenommen hiervon sind Daten, die als Geschäftsbriefe i.S.d. HGB bzw. als buchhaltungsrelevante Daten einzuordnen sind. Hier gelten die jeweiligen gesetzlichen Aufbewahrungspflichten.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO

Siehe Datensicherheitskonzept.

Bezeichnung der Verarbeitung

Zeiterfassung

Zwecke der Verarbeitung

Erfassung von Arbeits-, Anwesenheits-, Abwesenheits- und Urlaubszeiten

Beschreibung der Kategorien personenbezogener Daten

  • Vorname
  • Nachname
  • E-Mail-Adresse
  • Arbeitszeiten
  • Urlaubszeiten
  • Krankheitstage

Beschreibung der Kategorien betroffener Personen

  • Beschäftigte
  • Leiharbeiter

Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden

Betriebsrat
Steuerberater
Wirtschaftsprüfer

Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Keine

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Überstunden: 2 Jahre
Steuerrelevante Daten der Arbeitszeiterfassung werden nach den Vorgaben der Abgabenordnung mindestens 10 Jahre gespeichert.
Alle anderen Daten werden für einen Zeitraum von zwei Jahren gespeichert. Zum Ablauf des Kalenderjahres wird geprüft, ob eine weitere Speicherung erforderlich ist. Sollte dies nicht der Fall sein, werden die Daten gelöscht.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO

Siehe Datensicherheitskonzept.

Bezeichnung der Verarbeitung

Kontaktverwaltung

Zwecke der Verarbeitung

Verwaltung und Bereitstellung von Kontaktmöglichkeiten von Personen, Unternehmen oder öffentlichen Stellen

Beschreibung der Kategorien personenbezogener Daten

  • Vorname
  • Nachname
  • Name des Unternehmens
  • Anschrift (geschäftlich)
  • Anschrift (privat)
  • Rechnungsanschrift
  • Internetadresse
  • E-Mail-Adresse
  • Telefonnummer
  • Faxnummer
  • Position
  • Branche
  • Kundennummer
  • Kundenart
  • Kontaktdaten
  • Kontakthistorie
  • Termindaten

Beschreibung der Kategorien betroffener Personen

  • Beschäftigte
  • Kunden
  • Interessenten
  • Dienstleister
  • Dritte

Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden

Interne Abteilungen bzw. Personen in Abteilungen.
Dienstleister
Kooperationspartner
Dritte

Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Keine

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Bei personenbezogenen Daten der Kontaktverwaltung wird nach Ablauf von vier Jahren zum Ende des jeweiligen Kalenderjahres geprüft, ob eine weitere Speicherung erforderlich ist. Sollte eine Erforderlichkeit nicht bestehen, werden die Daten gelöscht.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO

Siehe Datensicherheitskonzept.

Bezeichnung der Verarbeitung

Terminverwaltung

Zwecke der Verarbeitung

Planung und Verwaltung von Terminen

Beschreibung der Kategorien personenbezogener Daten

  • Vorname
  • Nachname
  • Name des Unternehmens
  • Anschrift (geschäftlich)
  • Anschrift (privat)
  • E-Mail-Adresse
  • Telefonnummer
  • Position
  • Kontaktdaten
  • Termindaten

Beschreibung der Kategorien betroffener Personen

  • Beschäftigte
  • Kunden
  • Interessenten
  • Dienstleister
  • Dritte

Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden

Weitere Teilnehmer an Terminen

Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Keine

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Bei personenbezogenen Daten der Terminverwaltung wird nach Ablauf von vier Jahren zum Ende des jeweiligen Kalenderjahres geprüft, ob eine weitere Speicherung erforderlich ist. Sollte eine Erforderlichkeit nicht bestehen, werden die Daten gelöscht.
Ausgenommen hiervon sind Daten, die als Geschäftsbriefe i.S.d. HGB bzw. als buchhaltungsrelevante Daten einzuordnen sind. Hier werden die gesetzlichen Aufbewahrungspflichten berücksichtigt.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO

Siehe Datensicherheitskonzept.

Bezeichnung der Verarbeitung

E-Mail

Zwecke der Verarbeitung

Elektronische Kommunikation

Beschreibung der Kategorien personenbezogener Daten

  • Name
  • E-Mail-Adresse
  • Nutzungsdaten
  • Verkehrsdaten

Beschreibung der Kategorien betroffener Personen

  • Beschäftigte
  • Kunden
  • Interessenten
  • Dienstleister
  • Dritte
  • Bewerber

Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden

Dienstleister
Weitere Personen innerhalb des Unternehmens
ggf. Dritte

Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Nicht geplant.
Gleichwohl ist beim Versand von E-Mails über das Internet nie ausgeschlossen, dass eine Weiterleitung über einen Drittstaat erfolgt.

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

E-Mails werden für mindestens 6 Jahre aufbewahrt, um den handelsrechtlichen Aufbewahrungspflichten für Geschäftsbriefe nachzukommen.

Nach Ablauf von 6 Jahren wird zum Ende des jeweiligen Kalenderjahres geprüft, ob eine weitere Speicherung erforderlich ist. Sollte eine Erforderlichkeit nicht bestehen, werden die Daten gelöscht.
Ausgenommen hiervon sind Daten, die als buchhaltungsrelevante Daten einzuordnen sind. Hier gelten die jeweiligen steuerrechtlichen Aufbewahrungspflichten.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO

Siehe Datensicherheitskonzept.

Bezeichnung der Verarbeitung

Videoüberwachung

Zwecke der Verarbeitung

Wahrnehmung des Hausrechts, Geltendmachung von Ansprüchen, Verfolgung von Straftaten

Beschreibung der Kategorien personenbezogener Daten

  • Name
  • Videos

Beschreibung der Kategorien betroffener Personen

  • Beschäftigte
  • Kunden
  • Interessenten
  • Dienstleister
  • Besucher

Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden

Rechtsanwälte
Strafverfolgungsbehörden

Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Keine

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Videoaufzeichnungen werden nach spätestens 10 Tagen gelöscht.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO

Siehe Datensicherheitskonzept.

Bezeichnung der Verarbeitung

Controlling

 

Zwecke der Verarbeitung

Planung, Steuerung und Kontrolle aller Unternehmensbereiche

Beschreibung der Kategorien personenbezogener Daten

  • Vorname
  • Nachname
  • Name des Unternehmens
  • Anschrift (geschäftlich)
  • Rechnungsanschrift
  • E-Mail-Adresse
  • Telefonnummer
  • Faxnummer
  • Position
  • Branche
  • Kundennummer
  • Kundenart
  • Kontaktdaten
  • Kontakthistorie
  • Vertragsdaten
  • Bestandsdaten
  • Nutzungsdaten
  • Umsatzdaten

Beschreibung der Kategorien betroffener Personen

  • Beschäftigte
  • Kunden
  • Dienstleister
  • Dritte

Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden

Wirtschaftsprüfer
Steuerberater
Betriebsrat
Unternehmensleitung

Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Keine

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Daten, die für Zwecke des Controllings verarbeitet werden, werden grundsätzlich für einen Zeitraum von 10 Jahren gespeichert.
Nach Ablauf dieser Zeit wird zum Ende des jeweiligen Kalenderjahres geprüft, ob eine weitere Speicherung erforderlich ist. Sollte eine Erforderlichkeit nicht bestehen, werden die Daten gelöscht.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO

Siehe Datensicherheitskonzept.

Bezeichnung der Verarbeitung

Revision / Compliance

Zwecke der Verarbeitung

Überprüfung der Rechtskonformität von Geschäftsprozessen im Unternehmen

Beschreibung der Kategorien personenbezogener Daten

  • Name
  • Vorname
  • E-Mail-Adresse
  • Telefonnummer
  • Geburtsdatum
  • Familienstand
  • Position
  • Kontaktdaten
  • Kontakthistorie
  • Termindaten
  • Bankverbindung
  • Umsatzsteueridentifikationsnummer
  • Daten zu gekauften Waren oder Dienstleistungen
  • Vertragsdaten
  • Bestandsdaten
  • Nutzungsdaten
  • Inhaltsdaten
  • Kommunikationsdaten
  • Sozialversicherungsdaten
  • Arbeitszeiten
  • Lohn- und Gehaltsdaten
  • Angaben zu Steuerklassen
  • Religionszugehörigkeit
  • Angaben zum Beruf
  • Angaben zur beruflichen Laufbahn
  • Daten zu Vorstrafen bzw. Eintragungen im Bundeszentralregister
  • Daten zu beruflichen Fortbildungen

Beschreibung der Kategorien betroffener Personen

  • Beschäftigte
  • Kunden
  • Dienstleister
  • Dritte

Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden

Wirtschaftsprüfer
Steuerberater
Betriebsrat
Unternehmensleitung

Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Keine

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Daten, die für Zwecke der Revision bzw. Compliance verarbeitet werden, werden grundsätzlich für einen Zeitraum von 10 Jahren gespeichert.
Nach Ablauf dieser Zeit wird zum Ende des jeweiligen Kalenderjahres geprüft, ob eine weitere Speicherung erforderlich ist. Sollte eine Erforderlichkeit nicht bestehen, werden die Daten gelöscht.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO

Siehe Datensicherheitskonzept.

Bezeichnung der Verarbeitung

Einkauf

Zwecke der Verarbeitung

Einkauf von Waren oder Dienstleistungen

Beschreibung der Kategorien personenbezogener Daten

  • Vorname
  • Nachname
  • Name des Unternehmens
  • Anschrift (geschäftlich)
  • Rechnungsanschrift
  • E-Mail-Adresse
  • Telefonnummer
  • Faxnummer
  • Position
  • Kontakthistorie
  • Bankverbindung
  • Umsatzsteueridentifikationsnummer
  • Daten zu gekauften Waren oder Dienstleistungen
  • Vertragsdaten
  • Umsatzdaten

Beschreibung der Kategorien betroffener Personen

  • Beschäftigte
  • Dienstleister
  • Dritte
  • Kreditoren

Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden

Interne Abteilungen, die Waren oder Dienstleistungen in Anspruch nehmen
Betriebsrat
Ggf. Dritte

Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Keine

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Für Daten aus dem Einkauf werden die handelsrechtlichen Aufbewahrungspflichten von 6 Jahren beachtet. Nach Ablauf von 6 Jahren werden die Daten geprüft. Sofern keine Erforderlichkeit für die weitere Speicherung besteht, werden die Daten gelöscht.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO

Siehe Datensicherheitskonzept.

Bezeichnung der Verarbeitung

IT

Zwecke der Verarbeitung

Bereitstellung, Wartung und Pflege von IT-Systemen

Beschreibung der Kategorien personenbezogener Daten

  • Vorname
  • Nachname
  • Titel
  • E-Mail-Adresse
  • Telefonnummer
  • Position
  • Kontakthistorie
  • Nutzungsdaten
  • Verkehrsdaten
  • Telekommunikationsdaten
  • Kommunikationsdaten

Beschreibung der Kategorien betroffener Personen

  • Beschäftigte
  • Kunden
  • Dienstleister
  • Dritte

Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden

Beschäftigte mit Personalverantwortung
Betriebsrat

Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Keine.

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Bei personenbezogenen Daten, die im Bereich IT verarbeitet werden, gibt es viele unterschiedliche Speicherfristen. Dies hängen von der jeweiligen Applikation bzw. vom IT-System ab und differieren.

Bei IT-Systemen, mit denen personenbezogene Daten verarbeitet werden, gibt es in der Regel eine Protokollierungsfunktion, mit der nachvollzogen werden kann, „wer“ zu „welchem Zeitpunkt“ „welche Daten“ „eingegeben, verändert oder gelöscht hat. Dieses Protokoll wird in der Regel ab der Löschung des jeweiligen Datensatzes für weitere 4 Jahre gespeichert. Zum Ende eines Kalenderjahres wird jeweils geprüft, ob eine Löschung von Daten erfolgen kann.

Darüber hinaus gilt für allgemein anfallende Daten im Bereich IT (Abwicklung von Aufträgen, Anforderungen etc.), dass bei diesen Daten nach Ablauf von vier Jahren zum Ende des jeweiligen Kalenderjahres geprüft wird, ob eine weitere Speicherung erforderlich ist. Sollte eine Erforderlichkeit nicht bestehen, werden die Daten gelöscht.
Ausgenommen hiervon sind Daten, die als Geschäftsbriefe i.S.d. HGB bzw. als buchhaltungsrelevante Daten einzuordnen sind. Hier gelten die jeweiligen gesetzlichen Aufbewahrungspflichten.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO

Siehe Datensicherheitskonzept.

Bezeichnung der Verarbeitung

Verwaltung

Zwecke der Verarbeitung

Allgemeine Verwaltung des Unternehmens (Organisation, Büroorganisation, Empfang etc.)

Beschreibung der Kategorien personenbezogener Daten

  • Vorname
  • Nachname
  • Titel
  • Name des Unternehmens
  • Anschrift (geschäftlich)
  • E-Mail-Adresse
  • Telefonnummer
  • Position
  • Kontaktdaten
  • Kontakthistorie
  • Vertragsdaten

Beschreibung der Kategorien betroffener Personen

  • Beschäftigte
  • Kunden
  • Interessenten
  • Dienstleister
  • Dritte
  • Besucher

Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden

Interne Abteilungen
Dienstleister
ggf. Dritte

Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Keine

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Bei personenbezogenen Daten der allgemeinen Verwaltung wird nach Ablauf von vier Jahren zum Ende des jeweiligen Kalenderjahres geprüft, ob eine weitere Speicherung erforderlich ist. Sollte eine Erforderlichkeit nicht bestehen, werden die Daten gelöscht.
Ausgenommen hiervon sind Daten, die als Geschäftsbriefe i.S.d. HGB bzw. als buchhaltungsrelevante Daten einzuordnen sind. Hier gelten die jeweiligen gesetzlichen Aufbewahrungspflichten.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO

Siehe Datensicherheitskonzept.

Bezeichnung der Verarbeitung

Fuhrparkmanagement

Zwecke der Verarbeitung

Verwaltung der vom Unternehmen genutzten Fahrzeuge

Beschreibung der Kategorien personenbezogener Daten

  • Vorname
  • Nachname
  • Anschrift (geschäftlich)
  • Anschrift (privat)
  • E-Mail-Adresse
  • Telefonnummer
  • Geburtsdatum
  • Position
  • Führerscheindaten

Beschreibung der Kategorien betroffener Personen

  • Beschäftigte

Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden

Eigentümer von Fahrzeugen (z.B. Leasingggeber)
Unfallbeteiligte
KfZ-Haftpflichtversicherer
ggf. Dritte

Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Keine

 

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Daten von Beschäftigten, die Fahrzeuge aus dem Fuhrpark nutzen oder nutzen können, werden für die Dauer des Beschäftigungsverhältnisses gespeichert. Die Daten von Betroffenen werden grundsätzlich 4 Jahre nach Beendigung eines Beschäftigungsverhältnisses zum Ende eines Kalenderjahres gelöscht.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO

Siehe Datensicherheitskonzept.

Bezeichnung der Verarbeitung

Facility Management

Zwecke der Verarbeitung

Pflege und Wartung von Immobilien und Gebäuden, die vom Unternehmen genutzt werden.

Beschreibung der Kategorien personenbezogener Daten

  • Vorname
  • Nachname
  • Name des Unternehmens
  • Anschrift (geschäftlich)
  • E-Mail-Adresse
  • Telefonnummer
  • Faxnummer
  • Kontaktdaten
  • Kontakthistorie
  • Termindaten
  • Vertragsdaten
  • Fotos

Beschreibung der Kategorien betroffener Personen

  • Beschäftigte
  • Dienstleister
  • Dritte

Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden

Dienstleister, die Leistungen im Bereich des Facility Managements übernehmen.
Ggf. sonstige Dritte.

Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Keine.

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Daten über vorgenommen Wartungs- und Pflegearbeiten werden für einen Zeitraum von 4 Jahren gespeichert. Nach Ablauf von vier Jahren wird zum Ende des jeweiligen Kalenderjahres geprüft, ob eine weitere Speicherung erforderlich ist. Sollte eine Erforderlichkeit nicht bestehen, werden die Daten gelöscht.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO

Siehe Datensicherheitskonzept.

Bezeichnung der Verarbeitung

Marketing

Zwecke der Verarbeitung

Marketing/Werbung für Waren oder Dienstleistungen und für das Unternehmen insgesamt.

Beschreibung der Kategorien personenbezogener Daten

  • Vorname
  • Nachname
  • Titel
  • Name des Unternehmens
  • Anschrift (geschäftlich)
  • Internetadresse
  • E-Mail-Adresse
  • Telefonnummer
  • Faxnummer
  • Position
  • Branche
  • Kundennummer
  • Kundenart
  • Kontakthistorie
  • Termindaten
  • Daten zu Interessen
  • Daten zu gekauften Waren oder Dienstleistungen
  • Vertragsdaten
  • Fotos
  • Videos

Beschreibung der Kategorien betroffener Personen

  • Beschäftigte
  • Kunden
  • Interessenten
  • Dritte

Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden

Dienstleister, die für Werbung/Marketing eingesetzt werden
Kooperationspartner
ggf. sonstige Dritte

Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Keine

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Bei personenbezogenen Daten, die für Zwecke der Werbung verarbeitet werden, werden grundsätzlich zum Ablauf eines Kalenderjahres Prüfungen im Hinblick auf ein weiteres Erfordernis für die weitere Verarbeitung der Daten vorgenommen.
Abhängig vom Ergebnis werden Daten weiter gespeichert oder gelöscht.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO

Siehe Datensicherheitskonzept.

Bezeichnung der Verarbeitung

Produktion

Zwecke der Verarbeitung

Produktion von Waren oder Dienstleistungen

Beschreibung der Kategorien personenbezogener Daten

  • Name
  • Name des Unternehmens
  • Anschrift (geschäftlich)
  • Anschrift (privat)
  • Rechnungsanschrift
  • E-Mail-Adresse
  • Telefonnummer
  • Faxnummer
  • Position
  • Branche
  • Kundennummer
  • Kundenart
  • Arbeitszeiten
  • Umsatzdaten

Beschreibung der Kategorien betroffener Personen

  • Beschäftigte
  • Kunden
  • Interessenten
  • Dienstleister
  • Dritte

Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden

Kooperationspartner
Zulieferer
Kunden
Vertriebspartner
Handelsvertreter

Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Keine

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Daten, die im Zusammenhang mit der Produktion anfallen werden für einen Zeitraum von 6 Jahren gespeichert. Grundlage für die Speicherfrist ist, dass Daten aus der Produktion in Verbindung mit Gewährleistungs- und Garantieansprüchen stehen können und für die Abwehr von Forderungen oder für die Prüfung von Ansprüchen erforderlich sein können.
Zudem können Daten aus der Produktion als Geschäftsbrief den Aufbewahrungspflichten aus dem HGB unterliegen.
Die Speicherung der Daten wird im Hinblick auf Datenklassifikationen mindestens jährlich überprüft und angepasst.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO

Siehe Datensicherheitskonzept.

Bezeichnung der Verarbeitung

Finanzbuchhaltung

Zwecke der Verarbeitung

Ermittlung und Verwaltung aller Einnahmen und Ausgaben, insbesondere für Zwecke der Ermittlung und Abfuhr von Steuern und Abgaben.

Beschreibung der Kategorien personenbezogener Daten

  • Vorname
  • Nachname
  • Name des Unternehmens
  • Rechnungsanschrift
  • E-Mail-Adresse
  • Telefonnummer
  • Kundennummer
  • Kundenart
  • Bankverbindung
  • Umsatzsteueridentifikationsnummer
  • Daten zu gekauften Waren oder Dienstleistungen
  • Vertragsdaten
  • Umsatzdaten

Beschreibung der Kategorien betroffener Personen

  • Beschäftigte
  • Kunden
  • Debitoren
  • Kreditoren

Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden

Finanzverwaltung
Steuerberater
Wirtschaftsprüfer

Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Keine

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Finanzbuchhaltungsdaten werden nach den Vorgaben der Abgabenordnung (AO) mindestens 10 Jahre gespeichert. Für den Beginn der Frist gilt § 147 Abs. 4 AO.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO

Siehe Datensicherheitskonzept.

Bezeichnung der Verarbeitung

Bewerbermanagement

Zwecke der Verarbeitung

Zweck des Bewerbermanagements ist die Personalbeschaffung. Dazu gehört das Finden von passenden Bewerbern und die Auswahl der Bewerber mit den besten Fähigkeiten für die jeweilige Stelle.

Beschreibung der Kategorien personenbezogener Daten

  • Vorname
  • Nachname
  • Titel
  • Lebenslauf
  • Schulabschluss
  • Berufsabschluss
  • Studium

Beschreibung der Kategorien betroffener Personen

  • Bewerber

Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden

Betriebsrat
Interne Stellen, die für die Einstellung der jeweiligen Person verantwortlich sind.

Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Nicht geplant.

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Bewerberdaten werden grundsätzlich nach Ablauf von 6 Monaten nach Vergabe der der jeweiligen Stelle gelöscht.
Ausgenommen hiervon sind die Daten der Bewerber, die eine Einwilligung zur weiteren Speicherung der Daten im Bewerberdatenpool erteilt haben.
Bei diesen Daten wird nach Ablauf von zwei Jahren geprüft, ob ein Erfordernis für eine weitere Speicherung besteht. Ansonsten werden die Daten gelöscht.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO

Siehe Datensicherheitskonzept.

Bezeichnung der Verarbeitung

Lohnbuchhaltung

Zwecke der Verarbeitung

Ermittlung von Lohn & Gehalt, Abrechnung und Auszahlung von Lohn & Gehalt

Beschreibung der Kategorien personenbezogener Daten

  • Vorname
  • Nachname
  • Titel
  • Anschrift (privat)
  • Telefonnummer
  • Geburtsdatum
  • Familienstand
  • Angaben zu Angehörigen (z.B. Kindern)
  • Bankverbindung
  • Vertragsdaten
  • Sozialversicherungsdaten
  • Arbeitszeiten
  • Lohn- und Gehaltsdaten
  • Angaben zu Steuerklassen
  • Religionszugehörigkeit
  • Angaben zu Lohnpfändungen

Beschreibung der Kategorien betroffener Personen

  • Beschäftigte

Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden

Betriebsrat
Steuerberater
Wirtschaftsprüfer
Sozialversicherungsstellen und Krankenkassen
Finanzverwaltung
Versicherer für betriebliche Altersversorgung
Abteilungsleiter bzw. Personen mit Personalverantwortung
Unternehmensleitung

Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Keine.

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Zwei Jahre für die Aufzeichnung von Überstunden
Steuerrelevante Daten werden nach den Vorgaben der Abgabenordnung mindestens 10 Jahre gespeichert. Für den Beginn der Frist gilt § 147 Abs. 4 AO.
Alle anderen Daten werden für einen Zeitraum von zwei Jahren gespeichert; zum Ablauf des Kalenderjahres wird geprüft, ob eine weitere Speicherung erforderlich ist. Sollte ein Erfordernis bestehen, wird jeweils jährlich zum Ende eines Kalenderjahres wieder die Erforderlichkeit überprüft.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO

Siehe Datensicherheitskonzept.

Bezeichnung der Verarbeitung

Personal / HR

Zwecke der Verarbeitung

Personaldatenverarbeitung
Personalentwicklung

Beschreibung der Kategorien personenbezogener Daten

  • Vorname
  • Nachname
  • Titel
  • Anschrift (privat)
  • E-Mail-Adresse
  • Telefonnummer
  • Geburtsdatum
  • Familienstand
  • Angaben zu Angehörigen (z.B. Kindern)
  • Gesundheitsdaten
  • Daten zu Interessen
  • Bankverbindung
  • Vertragsdaten
  • Fotos
  • Sozialversicherungsdaten
  • Arbeitszeiten
  • Lohn- und Gehaltsdaten
  • Angaben zu Steuerklassen
  • Religionszugehörigkeit
  • Angaben zum Beruf
  • Angaben zur beruflichen Laufbahn
  • Angaben zu Lohnpfändungen
  • Urlaubszeiten
  • Daten zum beruflichen Eingliederungsmanagement (BEM)
  • Schulabschluss
  • Berufsabschluss
  • Studium
  • Krankheitstage
  • Daten zu Vorstrafen bzw. Eintragungen im Bundeszentralregister
  • Daten zu beruflichen Fortbildungen

Beschreibung der Kategorien betroffener Personen

  • Beschäftigte

Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden

Betriebsrat
Sozialversicherungsstellen und Krankenkassen
Finanzverwaltung
Versicherer für betriebliche Altersversorgung
Abteilungsleiter bzw. Personen mit Personalverantwortung
Unternehmensleitung

Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Keine

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Abmahnungen: 36 Monate
Ansonsten wird nach Ablauf von 10 Jahren nach Beendigung des Beschäftigungsverhältnisses geprüft, ob Löschung erfolgen kann. Eine Löschung wird nicht erfolgen, wenn der Beschäftigte eine betriebliche Altersversorgung in Anspruch nehmen möchte oder nimmt.

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO

Siehe Datensicherheitskonzept.