Hilfe für den Datenschutzbeauftragten

Symbolbild betrieblicher Datenschutzbeauftragter

Das Fundament auf dem der gesamte betriebliche Datenschutz ruht

Das Verzeichnis von Verarbeitungstätig­keiten (VVT) ist das zentrale Element der Datenschutz-Grund­­­ve­r­ordnung. Ohne ein ausführliches, aktuelles und vollständiges Verzeichnis ist die rechtskonforme Umsetzung der DS-GVO im Unternehmen faktisch nicht möglich. Beim VVT handelt sich um eine schriftliche Dokumentation, die vom Verantwortlichen gemäß Artikel 30 der DS-GVO zwingend für alle Verarbeitungen von personenbezogenen Daten ausgearbeitet werden muss.

Die Erstellung eines VVT in Eigenleistung ist sehr zeitaufwändig

Setzt ein Unternehmen den eigenen Datenschutzbeauftragten für die komplette Erstellung eines rechtskonformen Verzeichnisses von Verarbeitungstätigkeiten (VVT) in vollständiger Eigenleistung ein, ohne zu wissen, dass es die Möglichkeit gibt, geeignete Muster und Vorlagen zu nutzen, entsteht dafür (berechnet auf der Basis statistischer Erhebungen) der folgende Zeitaufwand:
 
VVT für den BereichUnternehmenHinSchG Betriebsrat
Dokumentierte Verarbeitungstätigkeiten 564 130 61
Zeitaufwand pro VT in Stunden* 3,5 5 3
Erforderliche Arbeitsstunden 1692 520 152
* Der genannte Zeitaufwand für die rechtskonforme Dokumentation von Verarbeitungstätigkeiten und deren Anzahl basieren auf der praktischen Erfahrung aus bisher über dreißig durchgeführten Datenschutzprojekten.

Die Erstellung eines VVT auf der Basis von Vorlagen spart viel Zeit

Setzt ein Unternehmen eigene Beschäftigte für die komplette Erstellung eines rechtskonformen Verzeichnisses von Verarbeitungstätigkeiten (VVT) in Eigenleistung ein und verwendet dabei geeignete Muster und Vorlagen, kann es den Kostenaufwand erheblich senken:
 
VVT für den BereichUnternehmenHinSchG Betriebsrat
Dokumentierte Verarbeitungstätigkeiten 564 130 61
Zeitaufwand pro VT in Minuten* 20 10 10
Erforderliche Arbeitsstunden 188 22 10
* Der genannte Zeitaufwand für die rechtskonforme Dokumentation von Verarbeitungstätigkeiten und deren Anzahl basieren auf der praktischen Erfahrung aus bisher über dreißig durchgeführten Datenschutzprojekten.

Das Problem von betrieblichen Datenschutzbeauftragten: Die rechtssichere Dokumentation von Verarbeitungstätigkeiten erfordert spezielles Fachwissen aus den unterschiedlichsten Bereichen und sehr viel Zeit

Um die einzelnen Verarbeitungstätigkeiten (auch Verarbeitungen, Aufgaben, Abläufe, Prozesse oder Tätigkeiten genannt) für das Verzeichnis von Verarbeitungstätigkeiten (VVT) rechtssicher beschreiben zu können, ist es für den betrieblichen Datenschutzbeauftragten erforderlich – verbunden mit sehr viel Arbeitszeit – sich intensiv in die unterschiedlichsten Fachgebiete und Spezialthemen einzuarbeiten bzw. die vorhandenen Kenntnisse entsprechend zu ergänzen und zu vertiefen.

Betriebliche Datenschutzbeauftragte haben oft Zeit- und Ressourcenmangel

Betriebliche Datenschutzbeauftragte haben in der Regel viel zu wenig Zeit, um ihre Aufgaben vollständig rechtskonform erfüllen zu können. Dies führt oft zu einer Überlastung und beeinträchtigt die Qualität der Da­ten­schutzmaßnahmen. Darüber hinaus kann der Mangel an ausreichender Zeit und Ressourcen dazu führen, dass wichtige Daten­schutzteilprojekte und -initiativen verzögert oder vernachlässigt werden.
In der betrieblichen Datenschutzpraxis kommen in vielen Fällen noch die folgenden Probleme hinzu:
  • Mangelnde Ressourcen
    Oft fehlen den Datenschutzbeauftragten die notwendigen personellen und finanziellen Ressourcen, um ihre Aufgaben effektiv zu erfüllen.
  • Komplexität der Datenschutzgesetze
    Die Vielzahl und Komplexität der Datenschutzgesetze und -vorschriften machen es schwierig, stets auf dem neuesten Stand zu bleiben und alle Anforderungen zu erfüllen.
  • Fehlende Unterstützung durch die Geschäftsführung
    Ohne die volle Unterstützung und das Engagement der Geschäftsführung können Datenschutzbeauftragte ihre Aufgaben nicht effektiv umsetzen.
  • Unzureichende Schulung und Weiterbildung
    Datenschutzbeauftragte benötigen kontinuierliche Schulung und Weiterbildung, um mit den sich ständig ändernden Datenschutzanforderungen Schritt zu halten.
  • Konflikte mit anderen Aufgaben
    Datenschutzbeauftragte haben oft zusätzliche Aufgaben, die zu Interessenkonflikten führen und ihre Unabhängigkeit beeinträchtigen können.
Diese Herausforderungen machen es den betrieblichen Datenschutzbeauftragten sehr schwer, ihre Aufgaben rechtskonform und effektiv zu erfüllen.

Umfassendes Wissen in vielen Fachgebieten erforderlich

Um die einzelnen Verarbeitungstätigkeiten (auch Verarbeitungen, Aufgaben, Abläufe, Prozesse oder Tätigkeiten genannt) für das Verzeichnis von Verarbeitungstätigkeiten (VVT) rechtssicher beschreiben zu können, ist es für den betrieblichen Datenschutzbeauftragten erforderlich – verbunden mit sehr viel Arbeitszeit – sich intensiv in die unterschiedlichsten Fachgebiete und Spezialthemen einzuarbeiten bzw. die vorhandenen Kenntnisse entsprechend zu ergänzen und zu vertiefen.
 
Dazu gehören im Wesentlichen die folgenden Themen und Fachgebiete:
  • gute betriebswirtschaftliche Kenntnisse
    Gute betriebswirtschaftliche Kenntnisse umfassen eine Vielzahl von Fähigkeiten und Wissen, die für das Management und den Betrieb eines Unternehmens unerlässlich sind. Hier sind einige der wichtigsten Bereiche: Personalmanagement, Marketing und Vertrieb, Operationsmanagement, Informationsmanagement und Finanzmanagement (z. B. Kenntnisse in Buchhaltung, Budgetierung und Kostenkontrolle)
  • fundierte Kenntnisse der relevanten Bestimmungen der Datenschutzgrundverordnung (DS-GVO)
    und weiterer für den Datenschutz relevanten Gesetze (unter anderem BDSG, SBGG, HinSchG, TDDDG, DDG, OWiG, AGG, BetrVG, KI-VO)
  • gute Kenntnisse im Bereich der Informations-Sicherheit
    Schwerpunkt technische und organisatorische Maßnahmen und IT-Grundschutz. Der IT-Grundschutz ist eine frei verfügbare Methode zur Umsetzung eines ganzheitlichen Informationssicherheits-Mana­ge­ment­sys­tems (ISMS) in Institutionen wie Behörden, Unternehmen und Organisationen. Die Methode wurde (und wird) vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt. Der IT-Grundschutz bietet eine umfassende Methodik zur Planung, Umsetzung und Dokumentation der Informationssicherheit.
  • anforderungsgerechte Schreibkompetenz
    Die Fähigkeit, komplexe rechtliche und technische Themen für die jeweiligen Zielgruppen klar und verständlich zu formulieren und das Beherrschen von Stil und Grammatik.
  • sehr gute Recherchefähigkeiten
    Der Ersteller des VVT muss dazu in der Lage sein, gründlich zu recherchieren und fachliche Sachverhalte rechtssicher auf ihre Datenschutzrelevanz bewerten können.
  • gute Kenntnisse im Projektmanagement
    Gute Kenntnisse im Projektmanagement sind sehr wichtig, denn bei der Umsetzung der DS-GVO in die betriebliche Praxis handelt es sich um ein anspruchsvolles und komplexes Projektvorhaben.
  • gute Kommunikationsfähigkeiten
    Die zuständige Person muss gut mit Kollegen und Fachexperten (IT-Bereich, Datenschutz-Experten, Fachabteilungen) kom­munizieren können (dazu gehören Fähigkeiten wie "Aktives Zuhören", "Klarheit und Präzision", "Empathie" und "Anpassungsfähigkeit").
  • Kenntnisse im Umgang mit dem verwendeten Dokumentationssystem
    Die Dokumentation der Verarbeitungstätigkeiten erfordert sehr gute Kentnisse im Umgang mit dem verwendeten Dokumentationssystem.
Nur durch die Kombination dieser Fachkenntnisse und Kompetenzen kann hinreichend sichergestellt werden, dass die Dokumentation der einzelnen Verarbeitungstätigkeiten im VVT den gesetzlichen Anforderungen entspricht und dem Risiko von Bußgeldern sowie Schadenersatzansprüchen seitens der betroffenen Personen gegen den Verantwortlichen wegen Verletzung des Artikels 35 der DS-GVO wirksam begegnet wird.
 

Das Verzeichnis muss sehr detaillierte Angaben enthalten

Das Verzeichnis von Verarbeitungstätigkeiten muss sehr detaillierte Angaben über alle im Unternehmen vorhandenen Tätigkeiten, Verarbeitungen, Aufgaben, Ab­läufe und Pro­zesse enthalten, welche in irgend einer Form (Texte, Zahlen, Kennungen, Fotos etc.) personenbezogene Daten beinhalten (wie zum Beispiel in der Personalverwaltung, bei Lohn- und Gehaltsabrechnungen und bei Beurteilungen).

Die Datenschutzbehörde hat die Befugnis dazu, sich das Verzeichnis vom Verantwortlichen ohne jeden Anlass oder Begründung jederzeit vorlegen zu lassen (Art. 30 Abs. (4) DS-GVO).

An dieser Stelle bekommen dann sehr viele Unternehmen massive Probleme

Denn ist das Verzeichnis von Verarbeitungstätigkeiten unvollständig, stellt dies sowohl einen sehr schwerwiegenden Verstoß gegen die Dokumentationspflicht der DS-GVO dar, als auch (bei Verarbeitungen, welche nicht im Verzeichnis dokumentiert wurden) um eine verbotene Datenverarbeitung. Für beide Arten von Verstößen sieht die DS-GVO sehr hohe Bußgelder vor.

Die Lösung: Erweitern und optimieren des Verzeichnisses von Verarbeitungstätigkeiten unter Zuhilfenahme einer praxiserprobten VVT-Bibliothek

Wir verfügen über eine Bibliothek mit rund 800 Verarbeitungstätigkeiten, deren Nutzung wir betrieblichen Datenschutzbeauftragten im Rahmen unserer Dienstleistung ermöglichen können. Wir unterstützen die betrieblichen Datenschutzbeauftragte selbstredend im Rahmen unserer Dienstleistung auch bei der praktischen Anwendung unserer Bibliothek.
 
Die Vorteile liegen auf der Hand:
  • Der betriebliche Datenschutzbeauftragte (oder falls es diesen nicht gibt die für den Datenschutz zuständige Person (z. B. ein Datenschutzkoordinator)) kann durch die Nutzung der in unserer VVT-Bibliothek enthaltenen Verarbeitungs-Vorlagen seinen Zeitaufwand für die Dokumentation ganz erheblich reduzieren und dabei gleichzeitig die Dokumentationsqualität erheblich verbessern.
  • Der betriebliche Datenschutzbeauftragte ist anhand der in der Bibliothek vorhandenen umfassend ausgearbeiteten Mustervorlagen auch ohne fundierte Rechtskenntnisse dazu in der Lage, die relevanten Bestimmungen der Datenschutzgrundverordnung (DS-GVO) und weiterer für den Datenschutz relevanter Gesetze (unter anderem das BDSG, das SBGG, das HinSchG, und das TDDDG) angemessen bei seiner Dokumentation zu berücksichtigen.

Aus der betrieblichen Praxis für die betriebliche Praxis

Alle in der VVT-Bibliothek beschriebenen Verarbeitungstätigkeiten wurden von zwei hochqualifizierten und praxiserfahrenen Daten­schutz­beauftragten anhand konkreter betrieblicher Praxisfälle unter genauer Beachtung der gesetzlichen Anforderungen gemäß Artikel 30 DS-GVO – ergänzt um nützliche Hinweise und Kommentare – umfassend dokumentiert.
 
Danach wurden die dokumentierten Verarbeitungstätigkeiten von einem erfahrenen Redaktionsteam (welches über eine jahrelange Praxis im Bereich der technischen Dokumentation verfügt) für die Verwendung als Mustervorlagen zur rechtskonformen Umsetzung des Datenschutzes in die konkrete betriebliche Praxis aufbereitet.
 
In der VVT-Bibliothek steckt die fachliche Erfahrung aus über 30 Datenschutzprojekten. Insgesamt stecken in der Bibliothek (Stand Dezember 2024) bisher 17 Personenjahre an Entwicklungsaufwand.
 
Die Bibliothek enthält Mustervorlagen für die verschiedensten Abteilungen und Bereiche von Unternehmen (u. a. Personalbereich, Ausbildung, Rechnungswesen, Management, Verwaltung, Buchhaltung, Beschaffung, Marketing, Vertrieb, IT, Fuhrpark, Arbeitsschutz und Brandschutz) .

Unsere Handlungsempfehlung: Informieren sie sich umgehend

Gerne informieren wir Sie ausführlich über die umfassenden Möglichkeiten zur Nutzung der VVT-Bibliothek für das Verzeichnis von Verarbeitungstätigkeiten (VVT) Ihres Unternehmens. Unsere VVT-Bibliothek bietet Ihnen die Basis für eine strukturierte und rechtssichere Dokumentation aller Verarbeitungstätigkeiten, die in Ihrem Unternehmen durchgeführt werden.
 
Sie ermöglicht eine einfache Verwaltung und Aktualisierung der Daten, unterstützt Sie bei der Einhaltung der Datenschutz-Grundverordnung (DS-GVO) und hilft Ihnen, potenzielle Risiken frühzeitig zu erkennen und zu minimieren. Gemeinsam können wir sicherstellen, dass Ihr Unternehmen die Anforderungen der DS-GVO an das Verzeichnis von Verarbeitungstätigkeiten rechtssicher und vollständig erfüllt.
 
Hier unsere Kontaktdaten
  • Ihr Ansprechpartner: Wolfgang A. W. Franz
  • E-Mail: w.franz@datenschutz-ostalb.de
  • Festnetz: +049(0)5361/8912101