„Jeder Verantwortliche führt ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen.“ (Art. 31 Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates)
Was für Unternehmen europaweit gem. Art. 30 DSGVO gilt, gilt ebenfalls für Organe, Einrichtungen und sonstige Stellen der Europäischen Union: Prozesse, in denen personenbezogene Daten verarbeitet werden, sind in ein sogenanntes „Verzeichnis der Verarbeitungstätigkeiten“ aufzunehmen.
Legt man nun die Normen hinsichtlich der zu dokumentierenden Aspekte nebeneinander, stellt man fest, dass diese dem Wortlaut nach nahezu deckungsgleich ausfallen. Die Anforderungen unterscheiden sich nicht.
Da der European Data Protection Supervisor (kurz: EDPS) – zu Deutsch: Europäischer Datenschutzbeauftragter (kurz: EDSB) – sein Verzeichnis der Verarbeitungstätigkeiten veröffentlicht hat, kann dieses nun in Umfang, Aufteilung und Spezifizierung als Beispiel dienen, welche Prozesse auf welche Weise ihren Weg in die Verzeichnisse so mancher Unternehmen finden könnten oder gar sollten.
Insgesamt sind 58 Verarbeitungstätigkeiten, aufgeteilt in 11 Kategorien aufgeführt.
Administrative and Human Resources
(in Kursiv die Kurzbeschreibung aus dem Verzeichnis des EDPS)
- Selection of staff (Auswahl der Mitarbeiter)
Auswahl der Mitarbeiter für das Sekretariat des EDPS und des EDPB. - Recruitment of staff and trainees (Einstellung von Personal und Praktikanten)
Einstellung von Personal und Praktikanten für das Sekretariat des EDPS und des EDPB. - Selection of Seconded National Experts (Auswahl der abgeordneten nationalen Sachverständigen)
Auswahl der abgeordneten nationalen Sachverständigen für das Sekretariat des EDPS und des EDPB. - Recruitment of Seconded National Experts (Auswahl der abgeordneten nationalen Sachverständigen)
Einstellung von abgeordneten nationalen Sachverständigen für das Sekretariat des EDPS und des EDPB. Diese haben Anspruch auf bestimmte Rechte, Leistungen und Zulagen sobald sie eingestellt sind. - Anti-harassment procedure (Anti-Belästigungs-Verfahren)
Vorbeugung und wirksames sowie effizientes Vorgehen gegen tatsächliche oder potenzielle Fälle von Mobbing oder sexueller Belästigung am Arbeitsplatz. - Whistleblowing procedure (Whistleblowing-Verfahren)
Zweck der Verarbeitung ist die Durchführung des Verfahrens, das in dem Beschluss des EDPS vom 14. Juni 2016 zur Aufnahme von Regeln für die Meldung der Mitarbeiter von etwaigen Missständen. - Underperformance procedure (Verfahren bei unzureichender Leistung)
Verfahren zur rechtzeitigen und angemessenen Ermittlung, Behandlung und Behebung von Fällen von Inkompetenz in angemessener Weise. - Administrative inquiries and disciplinary procedure (Verwaltungsuntersuchungen und Disziplinarverfahren)
Wenn der EDPS über eine Situation mit einer möglichen disziplinarischen Dimension informiert wird, leitet er die verfügbaren Informationen nach einer Vorabprüfung zur Beurteilung weiter. - Lodging appeals by the EDPS Appointing Authority (Einlegung von Rechtsmitteln durch die Anstellungsbehörde des EDPS)
Maßnahmen, sollte das Personal des EDPS eine Beschwerde bei der Anstellungsbehörde einreichen oder diese auffordern eine bestimmte Entscheidung zu treffen. - Staff appraisal, promotion and certification procedures (Verfahren zur Beurteilung, Beförderung und Zertifizierung des Personals)
Für alle fest Angestellten und Angestellten auf Zeit des EDPS und des Sekretariats des EDPB wird jährlich ein schriftlicher Leistungsbericht erstellt. - Management of flexitime requests from staff (Verwaltung der Gleitzeitanträge des Personals)
Der Zweck ist die Gewährung von Erholungstagen gemäß dem Beschluss des EDSB zur Gleitzeit. - Enrolment to the Early Childhood Centre (Einschreibung in die Kindertagesstätte)
Mit Anmeldung werden alle erforderlichen Informationen erfasst, um die Priorität der Aufnahme, die Betreuungszeiten, den Elternbeitrag und die Betreuung des Kindes zu bestimmen. - Leaves and special leaves (Urlaub und Sonderurlaub)
Der Zweck ist die Verwaltung der Ansprüche auf Jahresurlaub und Sonderurlaub. - Sick leaves (Krankschreibungen)
Zweck der Verarbeitung ist die Verwaltung von Krankheitsurlauben oder Unfällen für das Personal des EDPS. - Telework requests (Anträge zu mobilem Arbeiten)
Verwaltung aller Aspekte des mobilen Arbeitens bei Beschäftigten. - Exceptional leaves, absences and permanencies (Außerordentlicher Urlaub, Abwesenheiten und Dauerabwesenheit)
Der Zweck besteht darin, den außerordentlichen Urlaub, einfache Abwesenheit sowie Dauerabwesenheit der Beschäftigten zu verwalten. - Transfer of data to Eurostat (Datenübermittlung an Eurostat)
Zweck der Verarbeitung ist die Übermittlung von Personaldaten an Eurostat. Das ist notwendig, um das Pensionssystem des europäischen öffentlichen Dienstes in seinen allgemeinen Funktionen zu gewährleisten. - Transfer of data to permanent representations (Übermittlung von Daten an ständige Vertretungen)
Auf Ersuchen der ständigen Vertretungen der Mitgliedstaaten der EU, der Botschaften und der Ministerien für auswärtige oder europäische Angelegenheiten sind personenbezogene Daten der Beschäftigten zu übermitteln. - Training of staff (Mitarbeiterschulungen)
Wir verarbeiten Daten, um Schulungsaktivitäten zu planen und zu organisieren, das Schulungsbudget und die Anzahl der Schulungstage pro Mitarbeiter zu überwachen und die Schulungshistorie des EDPS-Personals zu führen. - Impact 360
Zweck des Verfahrens besteht darin, der zu beurteilende angehende Führungskraft ein Feedback zu Management- und Führungsfähigkeiten geben und ihre Kompetenzen weiterzuentwickeln. - Vaccination campaigns (Impfkampagnen)
Die Verarbeitung personenbezogener Daten erfolgt im Rahmen von Impfkampagnen (saisonale Grippe und COVID-19), die von der Europäischen Kommission organisiert werden. - Access to building for staff during covid-19 pandemic (Zugang zum Gebäude für das Personal während der Covid-19-Pandemie)
Der EDPS hat ein Verfahren eingerichtet, um den Zugang zu seinem Gebäude während der Covid-19-Pandemie zu gewährleisten. - Manual contact tracing in the context of COVID-19 pandemic (Manuelle Kontaktverfolgung im Zuge der Covid-19-Pandemie)
Ziel dieser Verarbeitung ist der Schutz des Personals vor einer Ausbreitung des Coronavirus während der Pandemie. - Selection of trainees (Auswahl von Praktikanten)
Auswahl von Praktikanten für das Sekretariat des EDPS und des EDPB.
Communication
- EDPS website
Die Webseite des EDPS ist unser wichtigstes Kommunikationsinstrument. Hier kommunizieren wir unsere Arbeit mittels Stellungnahmen, Datenschutznachrichten und Informationen über Datenschutzrechte sowohl an die breite Öffentlichkeit als auch an unser Fachpublikum. - Request for information or advice (Anfrage für Information oder Beratung)
Die Verarbeitung personenbezogner Daten dient der Entgegennahme, Beantwortung und Archivierung aller der an den EDPS gerichteten Informations- und Beratungsanfragen. - Subscriptions to EDPS newsletters (Einschreibung in EDPS-Newsletter)
Die Verarbeitung der personenbezogenen Daten dient dem Zweck, eine Liste von E-Mail-Adressen zu erstellen, an die jede Ausgabe des Newsletters verschickt wird. - Journalists‘ mailing list (Journalisten-Mailadressen)
Die Verarbeitung personenbezogener Daten dient dem Zweck der Erstellung einer Liste von E-Mail-Adressen von Journalisten zu erstellen, an die die Pressemitteilungen des EDPS und die Einladungen zu Pressekonferenzen gesendet werden. - Quick news for DPO’s (Neuigkeiten für DSB)
Die Verarbeitung personenbezogener Daten dient dem Zweck, eine Liste von E-Mail-Adressen zu erstellen, an die monatlich eine E-Mail mit aktuellen Informationen zu datenschutzrelevanten Themen („Quick news“) versandt wird. - Organisation of online surveys (Organisation von Online-Umfragen)
Der Europäische Datenschutzbeauftragte führt in regelmäßigen Abständen Umfragen durch. - EDPS use of Social Media (Nutzung von sozialen Medien)
Der Zweck der Verarbeitung besteht darin, Informationen über unsere Aktivitäten in der Öffentlichkeit zu verbreiten und Online-Kommunikationsaktivitäten des EDPS über verschiedene Social-Media-Plattformen zu erleichtern. - EDPS Staff Ambassadors Employer Branding activities online and on social media (EDPS-Werbeaktivitäten für neue Arbeitnehmer online und in sozialen Medien)
Die Verarbeitung personenbezogener Daten dient dem Zweck, den EDPS als Arbeitgeber zu präsentieren und potenzielle Arbeitnehmer anzuwerben. - LinkedIn Network for EDPS trainees (LinkedIn-Netzwerk für Praktikanten des EDPS)
Um den informativen Austausch mit ehemaligen Praktikanten aufrechtzuerhalten, wird ein LinkedIn-Netzwerk der EDPS-Praktikanten unterhalten.
Finance
- Missions management (Dienstreise-Management)
Die Datenverarbeitung dient der Organisation und Verwaltung von Dienstreisen. - Procurement procedure (Vergabeverfahren)
Ein Vergabeverfahren ist ein Prozess, der zum Abschluss eines öffentlichen Auftrags führt. - Financial management/transactions (Finanzmanagement)
Zweck dieses Prozesses ist die Ausführung des Haushaltsplans des EDPS. - Billing of telephone consumptions (Abrechnung der Telefondienstleistungen)
Zweck ist die Verwaltung und Abrechnung der Telefondienste, die dem EDPS zur Verfügung stehen. - Financial contribution to cost of subscriptions to public transport (Finanzielle Beteiligung an den Kosten für Abonnements für öffentliche Verkehrsmittel)
Ziel ist die teilweise Erstattung der Kosten für die Beförderung von Bediensteten mit öffentlichen Verkehrsmitteln. - Use of Corporate Credit Card by Staff (Nutzung der Firmenkreditkarte durch Mitarbeiter)
Im Rahmen von Dienstreisen können die Mitarbeiter des EDPS Firmenkreditkarten beantragen, die von einem Finanzunternehmen, nämlich der Lufthansa AirPlus Servicekarten GmbH, zur Verfügung gestellt werden.
Supervision by EDPS
- Complaints to the EDPS (Beschwerden an den EDPS)
Die personenbezogenen Daten werden für die Bearbeitung und Untersuchung der beim EDPS eingereichten Beschwerden verwendet. - EDPS audits
Personenbezogene Daten werden nur dazu verwendet, die Feststellungen des EDPS während der Inspektion zu dokumentieren. - Personal Data Breach Notifications by the EU Institutions (Meldung von Datenschutzverletzungen von EU-Institutionen)
Die Datenverarbeitung dient der Bearbeitung von gemeldeten Datenschutzverletzungen. - Personal data breaches at the EDPS (Datenschutzverletzungen beim EDPS)
Umgang mit Datenschutzverstößen beim EDPS.
IT
- Management of user accounts of the IT administrative infrastructure (Verwaltung der User-Accounts der IT-Infrastruktur)
Zweck der Verarbeitung ist die Bereitstellung von IT-Konten für alle Mitarbeiter des EDPS. - Mobile device management
Der Zweck der Verarbeitung ist die Bereitstellung von mobilen Geräten (Tablets und Mobiltelefone) und Laptops für die Mitarbeiter des EDPS. - Information Security Activities
Diese Aufzeichnung umfasst die Datenverarbeitungstätigkeiten, die im Rahmen der Informationssicherheit durchgeführt werden.
Physical Security
- Access to building and parking policy for staff (Zugang zum Gebäude und Parkplatz für Beschäftigte)
Der EDPS befindet sich in den Räumlichkeiten des Europäischen Parlaments. Dieses verwaltet unter anderem die Kontrolle des Zugangs zu seinen Gebäuden. - Access to building and parking policy for visitors (Zugang zum Gebäude und Parkplatz für Besucher)
Der EDPS befindet sich in den Räumlichkeiten des Europäischen Parlaments. Dieses verwaltet unter anderem die Kontrolle des Zugangs zu seinen Gebäuden.
Public Events
- Template record for events and conferences organised by the EDPS (Mustereintrag für vom EDPS organisierte Veranstaltungen und Konferenzen)
Verwaltung der vom EDPS organisierten Sitzungen, Konferenzen und sonstigen Veranstaltungen. - Data Protection Day events (Veranstaltungen rund um den Data Protection Day)
Anlässlich des jährlich stattfindenden Data Protection Day organisiert der EDPS verschiedene Veranstaltungen.
Access to documents
- Access to documents requests (Anfragen auf Zugang zu Dokumenten)
Der Zweck der Verarbeitung besteht darin, die angemessene Bearbeitung von Anträgen auf Zugang zu Dokumenten zu gewährleisten.
Staff Committee
- Staff Committee – general
In Ausübung seiner Funktion erhält und verarbeitet die Personalvertretung personenbezogene Daten über Mitglieder des Personals.
Case Management System
- Case Management System (CMS)
Das CMS soll sicherstellen, dass die im Rahmen der Tätigkeit des EDPS erstellten und erhaltenen Dokumente und Aufzeichnungen gemäß den geltenden Rechtsgrundlagen und internen Strategien und Verfahren verwaltet werden.
Management of the EDPS
- Business Continuity Plan (BCP)
Der Zweck des BCP und der zugehörigen Leitlinien ist es, dem EDSB einen strukturierten Ansatz und Leitlinien für die Business Continuity, denn wir müssen für unvorhergesehene Unterbrechungen unserer Tätigkeiten planen und uns darauf vorbereiten.
Fazit
Das Verzeichnis der Verarbeitungstätigkeiten des EDPS kann für Unternehmen allerdings lediglich ein Anhaltspunkt sein, denn der Unterschied in Aufgaben und Anforderungen muss sich auch im Verzeichnis der Verarbeitungstätigkeiten widerspiegeln. Viele aufgeführte Aspekte und die Detaillierung können dabei jedoch ein hilfreicher Ratgeber sein.
Der Beitrag Europäischer Datenschutzbeauftragter: Verzeichnis von Verarbeitungstätigkeiten erschien zuerst auf Das Datenschutz-Blog.