Die Erfolgsaussichten hängen stark vom Einzelfall ab – grob gesagt sind sie **oft nicht schlecht**, wenn das Unternehmen sauber nachweisen kann, dass (1) der Auftragsverarbeiter gegen DSGVO...
Braucht HR ein eigenes Verzeichnis von Verarbeitungstätigkeiten (VVZ) für die Erfüllung von Betroffenenrechten, wenn der Prozess abweicht?
Antwort vomJa—HR sollte in der Regel ein eigenes Verzeichnis von Verarbeitungstätigkeiten (VVZ) für die Erfüllung von Betroffenenrechten führen, wenn der Prozess in HR tatsächlich anders ausgestaltet ist (andere Zwecke, Abläufe, Systeme, Empfänger, Fristen/Workflows, Verantwortlichkeiten oder Kategorien von Daten/Betroffenen). Wichtig ist dabei: - **VVZ ist pro Verarbeitungstätigkeit, nicht pro Abteilung.** Ein eigenes HR‑VVZ ist dann sinnvoll, wenn es **eine eigenständige Verarbeitungstätigkeit** darstellt (z. B. „Bearbeitung von Betroffenenanfragen im Beschäftigungskontext“), nicht nur eine organisatorische Variante desselben Prozesses. - **Wenn es nur Varianten eines einheitlichen Prozesses sind**, kann es auch **eine gemeinsame Verarbeitungstätigkeit** geben, in der HR als **separater Prozesspfad** sauber dokumentiert wird (z. B. abweichende Systeme/Empfänger/Fristen/Prüfschritte). - **Praktischer Maßstab:** Sobald sich mindestens eines der VVZ‑Kernelemente unterscheidet (Zweck, Kategorien, Rechtsgrundlagen, Empfänger/Drittland, Aufbewahrung, TOMs, eingesetzte Systeme), ist ein **separater Eintrag** meist die bessere, prüfungssichere Lösung. Minimal sollte der HR‑Eintrag (oder der HR‑Teil im gemeinsamen Eintrag) die HR‑Spezifika abbilden: betroffene Personengruppen (Bewerber/Mitarbeitende/Ehemalige), typische Datenkategorien (Personalakte, Leistungs-/Abwesenheitsdaten etc.), HR‑Systeme, interne Empfänger (Payroll, Legal, Betriebsrat falls einschlägig), Aufbewahrungslogik und die konkreten organisatorischen/technischen Maßnahmen.
Verwandte Fragen
Ist es sinnvoll, Bewerberdaten nach 6 Monaten zu löschen, aber bei einer Löschaufforderung sofort?
Ja, das macht in der Regel Sinn – und ist datenschutzrechtlich oft sogar der sauberere Ansatz. - **6 Monate Aufbewahrung** nach Abschluss des Bewerbungsverfahrens ist ein gängiger Zeitraum...
Ist es datenschutzrechtlich zulässig, dass ein Kunde nach Abmeldung vom Newsletter keine Updates mehr erhält?
Ja, das ist datenschutzrechtlich zulässig und sogar erforderlich. Wenn sich ein Kunde von Newslettern abmeldet (Opt-out), darf ihm aus datenschutzrechtlichen Gründen keine weitere werbliche...
Wie lange müssen telefonische Einwilligungen zu Post Repair-Umfragen im Kundendatenbanksystem aufbewahrt werden?
Die Aufbewahrungsdauer von telefonischen Einwilligungen zu Post Repair-Umfragen richtet sich in Deutschland nach den Vorgaben der Datenschutz-Grundverordnung (DSGVO) und ggf. branchenspezifischen Rege...
Ist Social Media Listening datenschutzkonform?
Ob Social Media Listening datenschutzkonform ist, hängt von verschiedenen Faktoren ab, insbesondere davon, wie die Daten erhoben, verarbeitet und genutzt werden. Grundsätzlich ist Social Med...
Dürfen Veranstalter bei Social Media-Gewinnspielen datenschutzrechtlich verlangen, dass Teilnehmer Freunde taggen?
Das Bitten der Teilnehmer, einen Freund zu taggen, ist aus datenschutzrechtlicher Sicht problematisch. Beim Taggen wird eine dritte Person (der getaggte Freund) ohne deren vorherige Einwilligung in ei...
Müssen bei Art. 15 DSGVO die Empfängerkategorien allgemein oder nur konkret für den Einzelfall benannt werden?
Nach Art. 15 Abs. 1 lit. c DSGVO muss die betroffene Person Auskunft über die Empfänger oder Kategorien von Empfängern erhalten, gegenüber denen personenbezogene Daten offengelegt...
Seit wann gelten die DSGVO und die Deklaration von Helsinki?
Die Datenschutz-Grundverordnung (DSGVO) gilt seit dem 25. Mai 2018 in der gesamten Europäischen Union. Sie regelt den Schutz personenbezogener Daten und die Rechte von Betroffenen. Die Deklarati...
Wie funktioniert eine Bestandsdatenabfrage bei GMX?
Eine Bestandsdatenabfrage bei GMX bezieht sich in der Regel auf die Anfrage von sogenannten Bestandsdaten, also personenbezogenen Daten wie Name, Adresse, Geburtsdatum oder Vertragsdaten eines Nutzers...
Welche Voraussetzungen machen einen Auftragsverarbeitungsvertrag (AV-Vertrag) erforderlich?
Die wichtigsten Merkmale, die die Notwendigkeit eines Auftragsverarbeitungsvertrags (AV-Vertrag) gemäß Art. 28 DSGVO begründen, sind: 1. **Verarbeitung personenbezogener Daten im Auft...
