Datenschutzbeauftragter, VVT und DSFA

Datenschutz funktioniert nicht von selbst. Hinter jedem gut funktionierenden Datenschutzsystem stehen drei Werkzeuge: eine verantwortliche Person (der Datenschutzbeauftragte), eine vollständige Dokumentation aller Verarbeitungen (das Verzeichnis von Verarbeitungstätigkeiten, VVT) und eine vorausschauende Risikobewertung für besonders heikle Verarbeitungen (die Datenschutzfolgenabschätzung, DSFA). Alle drei sind Instrumente der Rechenschaftspflicht – sie beweisen, dass ein Unternehmen Datenschutz ernst nimmt.

1) Der Datenschutzbeauftragte (DSB)

Der DSB ist die zentrale Ansprechperson für alle datenschutzrechtlichen Fragen – intern für Mitarbeitende und Geschäftsführung, extern für Betroffene und Aufsichtsbehörden. Er ist kein Kontrolleur, sondern ein Berater und Vermittler.

Datenschutzbeauftragter: Pflicht, Aufgaben, Schutz

📌

Wann ist ein DSB Pflicht?

Ab 20 Personen, die regelmäßig automatisiert personenbezogene Daten verarbeiten (§ 38 BDSG). Immer bei umfangreicher Verarbeitung sensibler Daten (Art. 9) oder systematischer Überwachung. Auch freiwillig möglich und oft sinnvoll.

🛡️

Aufgaben des DSB

Beratung bei datenschutzrechtlichen Fragen, Überwachung der DSGVO-Compliance, Schulung der Mitarbeitenden, Ansprechpartner für Aufsichtsbehörden und Betroffene, Mitarbeit bei DSFA und VVT.

⚖️

Unabhängigkeit & Schutz

Der DSB ist weisungsfrei – er darf keine Nachteile entstehen für seine Tätigkeit. Er kann intern oder extern sein. Kündigung wegen DSB-Tätigkeit ist unzulässig. Er haftet nicht persönlich für Datenschutzverstöße des Unternehmens.

Ein häufiger Fehler: Den DSB mit Aufgaben zu betrauen, die zu Interessenkonflikten führen – z.B. als IT-Leiter, der gleichzeitig DSB ist, seine eigenen Systeme überwachen soll. Das ist unzulässig, weil der DSB unabhängig sein muss.

2) Das Verzeichnis von Verarbeitungstätigkeiten (VVT)

Das VVT (Art. 30 DSGVO) ist die schriftliche Dokumentation aller Verarbeitungen personenbezogener Daten im Unternehmen. Es ist kein abstraktes Bürokratiedokument, sondern ein praxisnahes Inventar: Was verarbeiten wir, warum, wie und mit wem? Für die meisten Unternehmen ab 250 Mitarbeitenden ist es Pflicht – für kleinere bei Risikoverarbeitungen ebenfalls.

VVT – Pflichtfelder nach Art. 30 DSGVO (Beispiel: HR-Verarbeitung)

1Name des Verantwortlichen: Muster GmbH, Musterstraße 1, 10115 Berlin

2Zweck der Verarbeitung: Personalverwaltung, Gehaltsabrechnung, Bewerbermanagement

3Kategorien betroffener Personen: Beschäftigte, Bewerberinnen und Bewerber

4Kategorien personenbezogener Daten: Name, Adresse, Gehaltsdaten, Bankverbindung, Sozialversicherungsnummer, Krankmeldungen

5Empfänger / Weitergabe: Steuerberater (AVV), Krankenkassen (gesetzliche Pflicht), Finanzamt

6Drittlandübermittlung: Keine

7Löschfristen: Personaldaten 10 Jahre nach Austritt (steuerrechtliche Aufbewahrungspflicht), Bewerbungsunterlagen 6 Monate nach Absage

8TOMs: Verschlüsselter Zugriff auf HR-Software, RBAC (nur HR-Team), verschlüsselte Backups → Verweis auf TOM-Katalog

Das VVT muss auf Anfrage der Aufsichtsbehörde vorgelegt werden. Es ist auch die Grundlage für eine DSFA-Prüfung: Wenn eine Verarbeitungstätigkeit im VVT als hochriskant eingestuft wird, muss eine DSFA durchgeführt werden.

3) Datenschutzfolgenabschätzung (DSFA)

Die DSFA (Art. 35 DSGVO) ist eine vertiefte Risikoanalyse für Verarbeitungen, die „voraussichtlich ein hohes Risiko" für die Rechte und Freiheiten von Personen darstellen. Sie muss vor der Inbetriebnahme der Verarbeitung durchgeführt werden. Typische Auslöser sind systematische Überwachung öffentlicher Bereiche (Videoüberwachung), Verarbeitung besonderer Datenkategorien in großem Maßstab, oder neue Technologien mit unklarem Risikoprofil (z.B. KI-Systeme).

DSFA-Schritt	Was passiert
1. Beschreibung	Was wird verarbeitet, für wen, wie?
2. Notwendigkeit prüfen	Ist die Verarbeitung notwendig und verhältnismäßig?
3. Risikobewertung	Welche Risiken entstehen für Betroffene? Wie wahrscheinlich, wie schwerwiegend?
4. Maßnahmen	Welche TOMs reduzieren das Risiko auf ein akzeptables Niveau?
5. DSB konsultieren	DSB muss einbezogen werden
6. Ggf. Behörde konsultieren	Bei verbleibendem hohem Risiko: vorherige Konsultation der Aufsichtsbehörde (Art. 36)

Zusammenfassung

Der Datenschutzbeauftragte (DSB) ist ab 20 datenverarbeitenden Personen Pflicht, weisungsfrei und Ansprechpartner für alle Datenschutzfragen. Das VVT dokumentiert alle Verarbeitungstätigkeiten mit Zweck, Datenkategorien, Empfängern, Löschfristen und TOMs. Die DSFA bewertet vor der Einführung hochriskanter Verarbeitungen systematisch die Risiken und notwendigen Maßnahmen. Alle drei Instrumente dienen der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO – sie sind Nachweise, keine bloßen Absichtserklärungen.

Datenschutzbeauftragter, VVT und DSFA

1) Der Datenschutzbeauftragte (DSB)

2) Das Verzeichnis von Verarbeitungstätigkeiten (VVT)

3) Datenschutzfolgenabschätzung (DSFA)

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title