Ein Beispiel zur Durchführung einer DSFA bei einer Bundesbehörde
finden Sie in der BfDI-Broschüre „Die DSGVO in der Bundesverwal-
tung“. Zudem hat der Europäische Datenschutzausschuss Leitlinien zur
Datenschutz-Folgenabschätzung herausgegeben, die auf der Home-
page des BfDI veröffentlicht sind.


3.4 Verzeichnis von Verarbeitungstätigkeiten
Die Behörden und öffentlichen Stellen des Bundes führen ebenso
wie die Verantwortlichen im nichtöffentlichen Bereich gemäß Art. 30
DSGVO eine Übersicht über alle ihrer Zuständigkeit betreffenden
Verarbeitungstätigkeiten. Das Verzeichnis ist schriftlich zu führen, was
auch in elektronischer Form erfolgen kann. Die Führung des Ver-
zeichnisses ist keine originäre Aufgabe des Datenschutzbeauftragten.
Im Rahmen seiner Beratungs- und Überwachungsaufgaben sollte er
jedoch auf eine geeignete Umsetzung der gesetzlichen Anforderungen
hinwirken.

Dieses Verzeichnis über die Verarbeitungstätigkeiten erfüllt mehrere
Funktionen. Zum einen soll mit der Führung ein Nachweis der Einhal-
tung der datenschutzrechtlichen Vorschriften erfolgen. Zum anderen
ist jeder Verantwortliche bzw. jeder Auftragsverarbeiter dazu verpflich-
tet, mit der Aufsichtsbehörde zusammenzuarbeiten. Auf Anfrage ist
das entsprechende Verzeichnis vorzulegen, damit die betreffenden
Verarbeitungsvorgänge entsprechend kontrolliert werden können.

Sehr bedeutsam ist hier die Festlegung der Zweckbestimmung der Da-
tenverarbeitung des Verfahrens. Die Zweckbestimmung ist bereits bei
der erstmaligen Verarbeitung für das gesamte Verfahren festzulegen.
Somit kann die Zweckbindung der jeweiligen Verarbeitung nachvollzo-
gen und deren Einhaltung geprüft werden.

Zugleich ist das Verzeichnis von Verarbeitungstätigkeiten eine wichtige
Übersicht für den Datenschutzbeauftragten, wobei dieser natürlich
nicht gehindert ist, über das vorgeschriebene Verzeichnis hinaus eine
eigene weitere Übersicht mit zusätzlichen Angaben zu führen, die er
für seine Aufgabenerfüllung benötigt.

Die Datenschutzkonferenz hat ein Kurzpapier zum Verzeichnis von
Verarbeitungstätigkeiten herausgegeben, um eine einheitliche Hand-
habung bei der Führung des Verzeichnisses zu erreichen. Das Kurz-


                                                               BfDI – Info 4   35

Aufgaben


     papier (Stand: Dezember 2018) ist im Internet auf der Seite des BfDI
     veröffentlicht: www.bfdi.bund.de/kurzpapiere.

     Dies hilft nicht nur dem Datenschutzbeauftragten, sondern auch der
     Datenschutzaufsicht bei Prüfungen. Die Tätigkeit des Datenschutz­
     beauftragten kann durch den Einsatz geeigneter automatisierter
     Verzeichnisse weiter erleichtert werden.

     Das Bundesministerium der Finanzen hat in fachlicher Zusammenar-
     beit mit dem BfDI eine menügesteuerte IT-Anwendung zur Führung
     eines elektronischen Verzeichnisses der Verarbeitungstätigkeiten für
     den Bereich der Bundesverwaltung entwickelt. Das Produkt „DAT-
     SCHA“ (Datenschutzanwendung in der Bundesfinanzverwaltung) steht
     den Behörden des Bundes kostenfrei zur Verfügung. Informationen
     zum Verfahren finden Sie auf der Internetseite des Bundesministeri-
     ums der Finanzen (www.bundesfinanzministerium.de). Entsprechende
     Entwicklungen haben auch Unternehmen für den nichtöffentlichen
     privatwirtschaftlichen Bereich vorgenommen.

     Als Beispiele für Verarbeitungstätigkeiten können danach Personal-
     verwaltungs-, Betreuungs- und Abrechnungssysteme, Verfahren zur
     Abwicklung von Kundenaufträgen, Telekommunikationssysteme und
     sonstige Systeme, die eine geschlossene Struktur von Verarbeitungen
     umfassen, genannt werden.

     Der Inhalt des Verzeichnisses von Verarbeitungstätigkeiten für Verant-
     wortliche ergibt sich aus Art. 30 Abs. 1 DSGVO. Für Auftragsverarbeiter
     ergibt sich der Inhalt aus Art. 30 Abs. 2 DSGVO. Das Verzeichnis muss
     z. B. folgende Angaben enthalten:

     →   den Namen und die Kontaktdaten des Verantwortlichen,

     →   dem Zweck der Verarbeitung,

     →   eine Beschreibung der Kategorien betroffener Personen und der
         Kategorien personenbezogener Daten,

     →   wenn möglich, eine allgemeine Beschreibung der technischen und
         organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO.

     Verantwortliche, die bereits nach bisherigem Recht über ein struktu-
     riertes Verfahrensverzeichnis oder eine strukturierte Datenschutzdo-




36   BfDI – Info 4

kumentation zu den Verfahren verfügen, sollten mit den geforderten
Pflichtangaben der DSGVO keine Probleme haben.

Die Übersicht mit den in Art. 30 Abs. 1 und 2 DSGVO genannten
Angaben ist nach Art. 30 Abs. 4 DSGVO den Aufsichtsbehörden zur
Verfügung zu stellen. Das Verfahrensverzeichnis muss immer aktu-
ell und vollständig sein. Es ist sicherzustellen, dass neue Verfahren
und Verfahrensänderungen unverzüglich zum Verfahrensverzeichnis
gemeldet werden.

Ohnehin muss aber der Datenschutzbeauftragte, wie bereits an an-
derer Stelle ausgeführt, schon frühzeitig in der Planungsphase neuer
Verfahren beteiligt werden, um bei einer etwaigen Datenschutz-Fol-
genabschätzung ggf. beraten zu können.


3.5 Verbündete
Um den Datenschutz in ihren Beschäftigungsstellen erfolgreich und
effizient voranzubringen, benötigen die Datenschutzbeauftragten Ver-
bündete. Eine enge Zusammenarbeit mit dem IT-Sicherheitsbeauftrag-
ten, der die Aufgabe hat, für die Datensicherheit zu sorgen, ist ratsam.
Die Zusammenarbeit mit dem Organisationsreferat in der Behörde
oder der Revision im Unternehmen ist zu empfehlen. Zum Beispiel
können auch Datenschutzkontrollen – nach Vorgabe des Datenschutz-
beauftragten – in Prüfungen der Revisionsabteilungen einbezogen
werden. Vorausgesetzt ist, dass der Datenschutzbeauftragte sich seiner
Aufgabe nicht im Wesentlichen durch Delegation entledigen darf und
auch der erforderliche Abstand (Unabhängigkeit) gegenüber den zu
Kontrollierenden bei den Prüfungen gewahrt bleibt. Eine gute Zusam-
menarbeit sollte der Datenschutzbeauftragte mit der Personalvertre-
tung suchen, die ebenso wie der Datenschutzbeauftragte der Wahrung
der Datenschutzrechte der Beschäftigten gesetzlich verpflichtet ist.


3.6 Erfahrungsaustausch
Unbedingt zu empfehlen ist die Teilnahme des Datenschutzbeauftrag-
ten an einem Erfahrungsaustausch mit Kolleginnen und Kollegen.
Hierfür bieten sich vielfältige Möglichkeiten. Im Bereich der Bun-
desbehörden findet ein Erfahrungsaustausch zwischen den Daten-
schutzbeauftragten der Obersten Bundesbehörden mit dem BfDI statt.


                                                               BfDI – Info 4   37

Aufgaben


     Gleiches ist auch für die nachgeordneten Behörden auf ihrer Ebene
     sinnvoll. In der Privatwirtschaft gibt es ebenfalls verschiedene Er-
     fahrungsaustauschkreise über die Gesellschaft für Datenschutz und
     Datensicherung e. V., zum Teil auch über Industrie- und Handelskam-
     mern und andere Stellen.


     3.7 „Fahrplan“
     Der folgende „Fahrplan“ geht auf den vielfach geäußerten Wunsch von
     Teilnehmerinnen und Teilnehmern in Datenschutzseminaren zurück.
     Dieser ist rein fiktiv und soll Ihnen eine kleine Anregung geben:

     1. Station: Ein schöner Frühlingstag in der Firma Müller

     Frau Schmitz trifft auf dem Flur ihre Chefin, Frau Müller. Frau Müller
     bittet zum Gespräch in ihr Büro. „Nach der neuen Datenschutz-Grund-
     verordnung brauchen wir eine Datenschutzbeauftragte. Frau Schmitz,
     Sie haben doch schon in der IT-Abteilung gearbeitet und gute Kennt-
     nisse in der Informationstechnik. Sie sollen unsere neue Datenschutz-
     beauftragte werden. Überlegen Sie sich bitte, ob Sie bereit sind, die
     Aufgabe zu übernehmen.“

     Frau Schmitz geht in sich und erkundigt sich zunächst bei der Auf-
     sichtsbehörde, was die Aufgaben einer Datenschutzbeauftragten sind.
     Schließlich sagt sie zu.

     2. Station: Frau Schmitz bildet sich

     Nachdem Frau Schmitz sich kundig gemacht hat, welche Anforderun-
     gen an eine Datenschutzbeauftragte zu stellen sind, weiß sie, dass sie
     die notwendigen Informationstechnikkenntnisse durch ihre frühere
     Tätigkeit in der Firma bereits mitbringt. Auch die Struktur der Organi-
     sation ist ihr als langjährigem Firmenmitglied vertraut. Was ihr nach
     ihrer Feststellung noch fehlt, sind die datenschutzrechtlichen Kennt-
     nisse. Sie erkundigt sich nach fundierten Fortbildungsangeboten und
     findet eine geeignete Schulung, die sie wahrnimmt.

     3. Station: Eine Datenschutzbeauftragte wird geboren

     Frau Schmitz fühlt sich jetzt gerüstet und nimmt von ihrer Chefin
     das schriftliche Benennungsschreiben entgegen. Bekannt für ihre


38   BfDI – Info 4

Ordnungsliebe hat Frau Schmitz sich für ihre Fortbildungsaktivitä-
ten bereits einen entsprechenden Ordner angelegt und nimmt jetzt
zunächst die organisatorischen Fragen ihrer künftigen Tätigkeit in
Angriff. Sie sorgt dafür, dass ihr für ihre vertraulichen Besprechungen
als Datenschutzbeauftragte ein Einzelzimmer zur Verfügung steht. Ein
eigenes Postfach wird für sie eingerichtet, damit ihre Post als Daten-
schutzbeauftragte nicht mit der übrigen Firmenpost geöffnet wird. In
der Fortbildung hat sie auch einige Anstöße für die Beschaffung von
Fachliteratur erhalten. Mit dem Budgetverantwortlichen klärt sie die
Anschaffung von Literatur und Fachzeitschriften ab, auf die sie künftig
in ihrer Arbeit zurückgreifen möchte.

4. Station: Jetzt sollen es alle wissen

Als Ansprechpartnerin für die Kolleginnen und Kollegen, aber auch für
die Kunden und Geschäftspartner der Firma in Datenschutzfragen soll
Frau Schmitz jetzt bekannt gemacht werden. Zunächst gibt die Chefin
eine Hausmitteilung heraus, mit der jetzt offiziell bekannt gemacht
wird, dass Frau Schmitz zur neuen Datenschutzbeauftragten der Firma
benannt wurde. Die Hausmitteilung wird auch in das firmeninterne
Netz eingestellt. In dieser Hausmitteilung sind auch die Kontaktdaten
der Datenschutzbeauftragten enthalten. Frau Schmitz lässt es sich
nicht nehmen, sich in der Firmenzeitung als neue Datenschutzbe-
auftragte den Kollegen und Kolleginnen außerdem persönlich vorzu-
stellen. Darüber hinaus soll ein Aushang am „Schwarzen Brett“ die
Beschäftigten ebenfalls informieren.

Sobald Frau Schmitz sich eingearbeitet hat, soll eine Information für
die Kunden erstellt werden, natürlich auch auf der firmeneigenen
Internetseite.

5. Station: Verbündete gesucht

Frau Schmitz will keine reine Einzelkämpferin sein und sucht sich Ver-
bündete. Auch der Betriebsrat hat die Aufgabe, über den Datenschutz
für die Belegschaft zu wachen. Frau Schmitz geht zum Betriebsrat und
bekundet ihre Bereitschaft und ihren Wunsch nach einer guten Zusam-
menarbeit. Auch in der IT-Abteilung, beim IT-Sicherheitsbeauftragten
der Firma, in der Revisionsabteilung und den Fachabteilungen stellt
sie sich vor.



                                                              BfDI – Info 4   39

Aufgaben


     6. Station: An ihr geht kein Weg vorbei

     Frau Schmitz, die nach ihrem jüngsten Antrittsbesuch in ihrer frühe-
     ren IT-Abteilung konkretere Vorstellungen darüber hat, welche perso-
     nenbezogenen Datenverarbeitungen aktuell in der Firma vorhanden
     sind, geht jetzt daran, einen Beteiligungskatalog aufzustellen. Bei der
     Datenschutz-Folgenabschätzung besonders risikoreicher Datenverar-
     beitungen muss sie bereits in der Planungsphase beteiligt werden. Dies
     gilt ebenso bei der Anschaffung neuer Datenverarbeitungs-Technik
     und Software. Aber auch sonst möchte sie bei allen wesentlichen Ver-
     fahren frühzeitig eingeschaltet werden. Nachdem die Geschäftsleitung
     ihrem Vorschlag für einen Beteiligungskatalog zugestimmt hat, wird
     dieser der IT-Abteilung und den anderen Fachabteilungen als verbind-
     lich bekannt gegeben. Im Organigramm der Firma ist dargestellt, dass
     Frau Schmitz unmittelbar der Chefin berichtet. Das Organigramm
     informiert auch über die Erreichbarkeit von Frau Schmitz. An Frau
     Schmitz geht so leicht kein Weg mehr vorbei. Sie steht als Ansprech-
     partnerin für alle im Hause sowie für Anfragen von außen zur Verfü-
     gung.

     7. Station: Das Verzeichnis von Verarbeitungstätigkeiten

     Frau Schmitz hat von der IT-Abteilung eine alte Übersicht über die per-
     sonenbezogenen Verfahren der automatisierten Datenverarbeitung,
     die Hard- und Software sowie die vorhandenen Zugriffsberechtigungen
     erhalten. Sie drängt darauf, dass ein aktuelles Verzeichnis von allen
     Verarbeitungstätigkeiten erstellt wird und bietet an, die Kollegen zu
     unterstützen und dabei ihr Wissen aus den Fortbildungen zu nutzen.
     Sie weist auf vorhandene Muster und IT-gestützte Verfahren für die
     Führung der Verzeichnisse hin.

     8. Station: Das Rad ist schon erfunden

     Frau Schmitz sucht den Erfahrungsaustausch mit anderen betriebli-
     chen Datenschutzbeauftragten. Sie vermittelt der Chefin, wie wichtig
     die Teilnahme an einem solchen Austausch für ihre Arbeit ist und dass
     es letztlich auch Zeit spart, von den Erfahrungen anderer profitieren
     zu können.




40   BfDI – Info 4

9. Station: Jetzt sind andere an der Reihe zu lernen

Frau Schmitz hat sich inzwischen einen guten Überblick sowohl über
die datenschutzrechtlichen Bestimmungen als auch über die konkret
anstehenden Datenschutzfragen in ihrer Firma verschafft. Sie fühlt
sich jetzt stark, auch Schulungen ihrer Kollegen anzugehen. Sie be-
ginnt mit der Erstellung eines Schulungskonzeptes und stimmt dieses
mit dem Schulungskonzept des Unternehmens ab. Dafür bindet sie
die Chefin mit ein, denn sie ist einerseits dafür verantwortlich, dass
Schulungen durchgeführt werden und andererseits müssen Schu-
lungen auch die Leitungsebene und die Abteilungsleiterinnen und
Abteilungsleiter umfassen. Auch der Betriebsrat wird beteiligt. Ideen
aus dem Betriebsrat, welche Datenschutzthemen für die Kolleginnen
und Kollegen besonders wichtig sind und wie man deren Interesse am
besten wecken kann, fließen in das Konzept ein.

10. Station: Jetzt wird geplant, geschult und geprüft

Frau Schmitz ist jetzt in der Situation, ihre künftige Arbeit über einen
längeren Zeitraum planen zu können. Sie überlegt: Wie möchte ich
meine Beratungstätigkeit systematisch durchführen und wann sollen
Schulungen stattfinden? Wann und wo sehe ich stichprobenweise Prü-
fungen der Datenverarbeitung vor? In der Revisionsabteilung hat Frau
Schmitz Unterstützung gefunden. Neben von ihr selbst durchgeführten
Prüfungen sollen datenschutzrechtliche Fragestellungen mit ihrer Un-
terstützung auch von der Revisionsabteilung mit aufgegriffen werden.

11. Station: Wo der Datenschutz in der Firma steht, was erreicht wurde

Ein erstes Jahr als Datenschutzbeauftragte geht dem Ende zu. Frau
Schmitz zieht Bilanz, was sich im Datenschutz getan hat. Sie schreibt
einen Tätigkeitsbericht für die Firmenleitung. Darin gibt sie einen
Überblick, was sich verbessert hat, aber auch, wo es mit dem Daten-
schutz noch hapert. Den Beschäftigen stellt Frau Schmitz den Tätig-
keitsbericht auf der Betriebsversammlung ebenfalls vor.

12. Station: Ausblick auf ein Datenschutzkonzept

Die Bestandsaufnahme im Tätigkeitsbericht hat gezeigt, dass sich in
der Firma im Datenschutz einiges positiv entwickelt hat. Dies betrifft
sowohl das Wissen und Umsetzen bei Vorgesetzten und Beschäftigten


                                                                 BfDI – Info 4   41

Aufgaben


     sowie die technische Ausstattung. Manches läuft noch unkoordiniert
     nebeneinander. Für die zukünftige Arbeit denkt Frau Schmitz daran,
     mit der entsprechenden Unterstützung ihrer Chefin, aber auch mit der
     Personalvertretung und der IT-Abteilung ein Gesamtkonzept für den
     Datenschutz in Angriff zu nehmen.

     Ihr Fahrplan sieht ganz anders aus?

     Viel mehr Verspätungen, Umleitungen, Umwege – Sie mussten sogar
     einmal zurückfahren?

     Auch Rom wurde nicht an einem Tag erbaut, so hört man jedenfalls …




42   BfDI – Info 4

Anhang 1: Bestellung zur/zum behördlichen
          Datenschutzbeauftragten

Anhang 2: Bekanntmachung/Hausverfügung Datenschutz/
          Bestellung einer/s behördlichen Datenschutzbeauftragten
          sowie einer/s Vertreterin/Vertreters

Anhang 3: Kurzpapier Nr. 12

Anhang 4: Anschriften der unabhängigen Datenschutzbehörden
          des Bundes und der Länder




                                                         BfDI – Info 4   43

Anhang 1
     Benennung zur/zum Datenschutzbeauftragten
     der Behörde …

     Sehr geehrte(r) Frau/Herr

     mit Wirkung vom       benenne ich Sie als Datenschutzbeauf-
     tragte(n). In dieser Funktion sind Sie der Behördenleitung unmittelbar
     unterstellt.

     Die Tätigkeit des/der Datenschutzbeauftragten wird Ihnen (unter
     Freistellung Ihrer bisherigen Aufgaben) zu … % Ihrer Arbeitszeit zuge-
     wiesen.

     Ihre Aufgabe ist es, unbeschadet der eigenen Datenschutzverant-
     wortung der jeweiligen Organisationseinheiten, durch Beratung und
     jederzeitige auch unangemeldete Kontrolle auf die Einhaltung der
     Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzge-
     setzes (BDSG) sowie anderer Rechtsvorschriften über den Datenschutz
     hinzuwirken.

     Im Einzelnen ergeben sich die Aufgaben aus Art. 39 DSGVO und § 7
     BDSG. Sie sind bei der Erfüllung Ihrer Aufgabe von allen Mitarbeiterin-
     nen und Mitarbeitern zu unterstützen.

     Alle Mitarbeiterinnen und Mitarbeiter der Behörde können sich in
     Angelegenheiten des Datenschutzes ohne Einhaltung des Dienstweges
     an Sie wenden.

     Mit freundlichen Grüßen



     (Unterschrift)




44   BfDI – Info 4