Internet benutzt werden. Aber auch herkömmliche Verbreitungswege
wie das „Schwarze Brett“ und Aushänge kommen in Frage.

Es ist zu empfehlen, dass der Datenschutzbeauftragte regelmäßig (ggf.
jährlich) seiner Leitung einen Bericht über Datenschutzfragen vorlegt.
Dabei geht es nicht nur darum, den Datenschutz in das Bewusstsein zu
rücken, sondern auch darum, Probleme und Entwicklungen aufzu-
zeigen und auf mögliche Fehlentwicklungen frühzeitig hinzuweisen.
Ein solcher Bericht hat daher eine Beratungsfunktion und sollte keine
„Geheimsache“ sein.

Die Durchführung von Schulungen ist nach der Konzeption des
Datenschutzrechts eine Aufgabe des Verantwortlichen, deren Durch-
führung vom Datenschutzbeauftragten zu überwachen ist, vgl. Art. 39
Abs. 1 lit. b) DSGVO, § 7 Abs. 1 Nr. 2 BDSG. Unabhängig davon kann
der Datenschutzbeauftragte aber auch seinerseits Schulungen bei
Beschäftigten durchführen, die mit der Verarbeitung personenbezo-
gener Daten tätigen sind. Dies ergibt sich zwar nicht ausdrücklich aus
Art. 39 DSGVO, § 7 BDSG, ist aber wichtiger und selbstverständlicher
Bestandteil seiner Beratungsaufgabe. Angesichts seiner unabhängigen
Stellung entscheidet der Datenschutzbeauftragte eigenständig, ob, in
welchem Umfang und in welcher Art und Weise er selbst Schulungen
durchführt. Dabei wird er seine eigenen Ressourcen berücksichtigen
und sinnvolle Prioritäten setzen.

Merke: Der Verantwortliche muss Schulungen durchführen, der Da-
tenschutzbeauftragte darf Schulungen durchführen.

Auch bei Schulungen ist zu berücksichtigen, dass unterschiedliche
Zielgruppen in geeigneter Weise mit auf sie abgestimmten Methoden
erreicht werden müssen. Eine Schulung darf daher nicht nach dem
Prinzip „Gießkanne“ erfolgen. Wer bereits seit Jahren mit der Verarbei-
tung personenbezogener Daten zu tun und sich hinsichtlich der daten-
schutzrechtlichen Vorschriften kundig gemacht hat, bedarf keiner Ein-
führungsschulung. Wer ganz frisch mit datenschutzrechtlichen Fragen
konfrontiert wird, ist ggf. mit speziellen Fragestellungen überfordert.
Auch knappe personelle Ressourcen des Datenschutzbeauftragten oder
begrenzte Sachmittel für externe und interne Schulungen erfordern
Prioritätensetzung.




                                                             BfDI – Info 4   31

Aufgaben


     Eine grundlegende Schulung benötigen die Personen, die in der IT-Be-
     treuung und IT-Administration unmittelbar mit der automatisierten
     Datenverarbeitung beschäftigt sind. Hierzu zählen auch diejenigen die
     in der Personaldatenverarbeitung eingesetzt sind. Im Übrigen sollten
     alle Mitarbeiterinnen und Mitarbeiter mit den wichtigsten Bestim-
     mungen im Umgang mit personenbezogenen Daten vertraut gemacht
     werden. Dabei können die Schwerpunkte sehr unterschiedlich sein, je
     nachdem, wo der Mitarbeiter eingesetzt ist, sei es in der Gesundheits-
     behörde, in der Arztpraxis oder in der Direktmarketingabteilung eines
     Unternehmens. Je nach Standort und Erfahrung kommen daher

     →   die Einweisung neuer Mitarbeiterinnen und Mitarbeiter,

     →   Schulungen im Rahmen der allgemeinen Aus- und Fortbildung der
         Beschäftigten,

     →   Vorträge oder Referate für einzelne Abteilungen oder Mitarbeiter-
         gruppen,

     →   Ausgabe von Merkblättern, die nach Bedarf aktualisiert werden
         können,

     →   Mitteilungen am Schwarzen Brett,

     →   Mitteilungen in Besprechungen,

     →   Berichte bei Mitarbeiterversammlungen,

     →   Beiträge in Hauszeitschriften und sonstigen internen Mitteilungs-
         blättern,

     →   Verteilung von Informationsmaterial sowie die Nutzung des behör-
         den- oder unternehmenseigenen Intranets in Betracht.

     Sinnvoll ist es, einen Fortbildungsplan, abgestimmt auf die jeweiligen
     Zielgruppen, zu entwickeln. Die Herstellung von Bezügen zum aktu-
     ellen Geschehen ist erfahrungsgemäß geeignet, Interesse an daten-
     schutzrechtlichen Fragestellungen zu wecken. Dies können Bezüge zu
     allgemeinen aktuellen politischen und gesellschaftlichen Entwicklun-
     gen, aber auch aktuelle Bezüge zur Tätigkeit der Beschäftigten sein.

     Um eine Optimierung der Schulungsangebote zu erreichen, emp-
     fiehlt es sich auch, wie in anderen Fortbildungsbereichen üblich,
     Feedback-Systeme einzuführen. Die Einbeziehung der Beschäftigten



32   BfDI – Info 4

und die Aufnahme ihrer Verbesserungsvorschläge sollten dann dazu
führen, dass ein Fortbildungssystem nicht statisch bleibt sondern
angemessen weiterentwickelt wird.


3.2 Überwachung
Der Datenschutzbeauftragte hat auch nachträglich die Einhaltung der
datenschutzrechtlichen Vorschriften zu überwachen. Dies bedeutet,
dass der Datenschutzbeauftragte bereits länger integrierte Verarbei-
tungsprozesse überprüfen darf. Die ihm durch Art. 38 Abs. 2 DSGVO
und § 6 Abs. 2 BDSG eingeräumten Zugangs- und Einsichtsrechte
beinhalten deswegen auch das Recht auf jederzeitige – auch unange-
kündigte – Kontrolle. Hierzu muss der Datenschutzbeauftragte Zugang
zum Rechenzentrum sowie den Dienst- bzw. Geschäftsräumen haben.
Ferner muss er alle Unterlagen einsehen können, die mit der Verarbei-
tung personenbezogener Daten im Zusammenhang stehen. Ihm steht
auch Einblick in die gespeicherten personenbezogenen Daten zu.

Im Gegensatz zur früheren Rechtslage steht dem Datenschutzbeauf-
tragten ein Kontrollrecht gegenüber dem Betriebs- oder Personalrat
zu. Für ein solches Kontrollrecht spricht die mit der DSGVO geänderte
Rechtslage. Die alte Auffassung, dass eine Kontrollbefugnis gegenüber
dem Betriebs- bzw. Personalrat nicht besteht, basierte auf nationalem
Betriebsverfassungsrecht. Die DSGVO hingegen kennt keine kontroll-
freien Verarbeitungen und dementsprechend auch keine kontrollf-
reien Verarbeitungen durch den Betriebs- bzw. Personalrat. Art. 39
Abs. 1 lit. b) DSGVO, der eine vollumfängliche Überwachung jeglicher
Verarbeitung vorsieht, geht dem nationalen Betriebsverfassungs- und
Personalvertretungsrecht vor. Eine Öffnungsklausel existiert nicht. Der
Betriebs- oder Personalrat ist nicht als eigenständiger Verantwortli-
cher, sondern datenschutzrechtlich als Teil der gesamten Organisation
zu betrachten, sodass der Datenschutzbeauftragte der Stelle auch für
die Personalvertretung zuständig ist.

Gleichermaßen besteht ein Kontrollrecht gegenüber der Gleichstel-
lungsbeauftragten sowie der Schwerbehindertenvertretung. Diese sind
ebenfalls Teil des Verantwortlichen und agieren nicht eigenverantwort-
lich.




                                                             BfDI – Info 4   33

Aufgaben


     Ebenfalls zu den Aufgaben des Datenschutzbeauftragten gehört es, die
     Durchführung von notwendigen Schulungen durch den Verantwort-
     lichen zu überwachen. Er sollte dem Verantwortlichen Anregungen
     geben und darauf hinwirken, dass zielgruppenorientiert geeignete
     Schulungen durchgeführt werden. Auf dieser Basis kann der Daten-
     schutzbeauftragte entscheiden, welche Schulungen er im Rahmen
     seiner Beratungsaufgabe noch selbst durchführen möchte (vgl. 3.1).

     Der Datenschutzbeauftragte ist frei darin, zu bestimmen, wann und in
     welcher Form er die Kontrollen durchführt. Neben dem Nachgehen
     von Beschwerden, die Anlass zu einer gezielten Kontrolle in dem be-
     troffenen Bereich geben, müssen regelmäßige Kontrollen stattfinden.

     Für die Durchführung von Prüfungen gibt es verschiedene Ansätze. In
     Betracht kommt eine gezielte Prüfung der technisch-organisatorischen
     Maßnahmen und ihrer Einhaltung. Die Prüfung kann auf die Kontrolle
     eines bestimmten Verfahrens oder das Verfolgen eines Bearbeitungs-
     vorganges ausgerichtet sein. Hierzu zählt die materiell-rechtliche Prü-
     fung, Einhaltung der Zweckbindung, Beachtung der Rechtsgrundlage
     usw. sowie eine Kombination der angesprochenen Vorgehensweisen.

     Für die praktische Durchführung in speziellen Bereichen gibt es
     zahlreiche Checklisten. Es wird insoweit auf die Veröffentlichungen
     der Datenschutzaufsichtsbehörden verwiesen. Auch das Grundschutz-
     handbuch des BSI bietet eine gute Arbeitshilfe für die Durchführung
     von Prüfungen.


     3.3 Datenschutz-Folgenabschätzung
     Gem. Art. 39 Abs. 1 lit. c DSGVO und § 7 Abs. 1 Nr. 3 BDSG gehört es
     auch zu den Aufgaben des Datenschutzbeauftragten, den Verantwort-
     lichen auf Anfrage bei der Durchführung einer Datenschutz-Folgenab-
     schätzung (DSFA) zu beraten. Es ist hingegen – anders als bei der nach
     früherem Recht in bestimmten Fällen durchzuführenden Vorabkont-
     rolle – nicht seine Aufgabe, die DSFA selbst vorzunehmen.

     Eine DSFA ist grundsätzlich durchzuführen, wenn sich aus einem Ver-
     arbeitungsvorgang hohe Risiken ergeben. Der BfDI und die Aufsichts-
     behörden für den nichtöffentlichen Bereich haben gem. Art. 35 Abs. 3
     DSGVO Listen herausgegeben, in welchen Fällen eine DSFA durchzu-
     führen ist.


34   BfDI – Info 4

Ein Beispiel zur Durchführung einer DSFA bei einer Bundesbehörde
finden Sie in der BfDI-Broschüre „Die DSGVO in der Bundesverwal-
tung“. Zudem hat der Europäische Datenschutzausschuss Leitlinien zur
Datenschutz-Folgenabschätzung herausgegeben, die auf der Home-
page des BfDI veröffentlicht sind.


3.4 Verzeichnis von Verarbeitungstätigkeiten
Die Behörden und öffentlichen Stellen des Bundes führen ebenso
wie die Verantwortlichen im nichtöffentlichen Bereich gemäß Art. 30
DSGVO eine Übersicht über alle ihrer Zuständigkeit betreffenden
Verarbeitungstätigkeiten. Das Verzeichnis ist schriftlich zu führen, was
auch in elektronischer Form erfolgen kann. Die Führung des Ver-
zeichnisses ist keine originäre Aufgabe des Datenschutzbeauftragten.
Im Rahmen seiner Beratungs- und Überwachungsaufgaben sollte er
jedoch auf eine geeignete Umsetzung der gesetzlichen Anforderungen
hinwirken.

Dieses Verzeichnis über die Verarbeitungstätigkeiten erfüllt mehrere
Funktionen. Zum einen soll mit der Führung ein Nachweis der Einhal-
tung der datenschutzrechtlichen Vorschriften erfolgen. Zum anderen
ist jeder Verantwortliche bzw. jeder Auftragsverarbeiter dazu verpflich-
tet, mit der Aufsichtsbehörde zusammenzuarbeiten. Auf Anfrage ist
das entsprechende Verzeichnis vorzulegen, damit die betreffenden
Verarbeitungsvorgänge entsprechend kontrolliert werden können.

Sehr bedeutsam ist hier die Festlegung der Zweckbestimmung der Da-
tenverarbeitung des Verfahrens. Die Zweckbestimmung ist bereits bei
der erstmaligen Verarbeitung für das gesamte Verfahren festzulegen.
Somit kann die Zweckbindung der jeweiligen Verarbeitung nachvollzo-
gen und deren Einhaltung geprüft werden.

Zugleich ist das Verzeichnis von Verarbeitungstätigkeiten eine wichtige
Übersicht für den Datenschutzbeauftragten, wobei dieser natürlich
nicht gehindert ist, über das vorgeschriebene Verzeichnis hinaus eine
eigene weitere Übersicht mit zusätzlichen Angaben zu führen, die er
für seine Aufgabenerfüllung benötigt.

Die Datenschutzkonferenz hat ein Kurzpapier zum Verzeichnis von
Verarbeitungstätigkeiten herausgegeben, um eine einheitliche Hand-
habung bei der Führung des Verzeichnisses zu erreichen. Das Kurz-


                                                               BfDI – Info 4   35

Aufgaben


     papier (Stand: Dezember 2018) ist im Internet auf der Seite des BfDI
     veröffentlicht: www.bfdi.bund.de/kurzpapiere.

     Dies hilft nicht nur dem Datenschutzbeauftragten, sondern auch der
     Datenschutzaufsicht bei Prüfungen. Die Tätigkeit des Datenschutz­
     beauftragten kann durch den Einsatz geeigneter automatisierter
     Verzeichnisse weiter erleichtert werden.

     Das Bundesministerium der Finanzen hat in fachlicher Zusammenar-
     beit mit dem BfDI eine menügesteuerte IT-Anwendung zur Führung
     eines elektronischen Verzeichnisses der Verarbeitungstätigkeiten für
     den Bereich der Bundesverwaltung entwickelt. Das Produkt „DAT-
     SCHA“ (Datenschutzanwendung in der Bundesfinanzverwaltung) steht
     den Behörden des Bundes kostenfrei zur Verfügung. Informationen
     zum Verfahren finden Sie auf der Internetseite des Bundesministeri-
     ums der Finanzen (www.bundesfinanzministerium.de). Entsprechende
     Entwicklungen haben auch Unternehmen für den nichtöffentlichen
     privatwirtschaftlichen Bereich vorgenommen.

     Als Beispiele für Verarbeitungstätigkeiten können danach Personal-
     verwaltungs-, Betreuungs- und Abrechnungssysteme, Verfahren zur
     Abwicklung von Kundenaufträgen, Telekommunikationssysteme und
     sonstige Systeme, die eine geschlossene Struktur von Verarbeitungen
     umfassen, genannt werden.

     Der Inhalt des Verzeichnisses von Verarbeitungstätigkeiten für Verant-
     wortliche ergibt sich aus Art. 30 Abs. 1 DSGVO. Für Auftragsverarbeiter
     ergibt sich der Inhalt aus Art. 30 Abs. 2 DSGVO. Das Verzeichnis muss
     z. B. folgende Angaben enthalten:

     →   den Namen und die Kontaktdaten des Verantwortlichen,

     →   dem Zweck der Verarbeitung,

     →   eine Beschreibung der Kategorien betroffener Personen und der
         Kategorien personenbezogener Daten,

     →   wenn möglich, eine allgemeine Beschreibung der technischen und
         organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO.

     Verantwortliche, die bereits nach bisherigem Recht über ein struktu-
     riertes Verfahrensverzeichnis oder eine strukturierte Datenschutzdo-




36   BfDI – Info 4

kumentation zu den Verfahren verfügen, sollten mit den geforderten
Pflichtangaben der DSGVO keine Probleme haben.

Die Übersicht mit den in Art. 30 Abs. 1 und 2 DSGVO genannten
Angaben ist nach Art. 30 Abs. 4 DSGVO den Aufsichtsbehörden zur
Verfügung zu stellen. Das Verfahrensverzeichnis muss immer aktu-
ell und vollständig sein. Es ist sicherzustellen, dass neue Verfahren
und Verfahrensänderungen unverzüglich zum Verfahrensverzeichnis
gemeldet werden.

Ohnehin muss aber der Datenschutzbeauftragte, wie bereits an an-
derer Stelle ausgeführt, schon frühzeitig in der Planungsphase neuer
Verfahren beteiligt werden, um bei einer etwaigen Datenschutz-Fol-
genabschätzung ggf. beraten zu können.


3.5 Verbündete
Um den Datenschutz in ihren Beschäftigungsstellen erfolgreich und
effizient voranzubringen, benötigen die Datenschutzbeauftragten Ver-
bündete. Eine enge Zusammenarbeit mit dem IT-Sicherheitsbeauftrag-
ten, der die Aufgabe hat, für die Datensicherheit zu sorgen, ist ratsam.
Die Zusammenarbeit mit dem Organisationsreferat in der Behörde
oder der Revision im Unternehmen ist zu empfehlen. Zum Beispiel
können auch Datenschutzkontrollen – nach Vorgabe des Datenschutz-
beauftragten – in Prüfungen der Revisionsabteilungen einbezogen
werden. Vorausgesetzt ist, dass der Datenschutzbeauftragte sich seiner
Aufgabe nicht im Wesentlichen durch Delegation entledigen darf und
auch der erforderliche Abstand (Unabhängigkeit) gegenüber den zu
Kontrollierenden bei den Prüfungen gewahrt bleibt. Eine gute Zusam-
menarbeit sollte der Datenschutzbeauftragte mit der Personalvertre-
tung suchen, die ebenso wie der Datenschutzbeauftragte der Wahrung
der Datenschutzrechte der Beschäftigten gesetzlich verpflichtet ist.


3.6 Erfahrungsaustausch
Unbedingt zu empfehlen ist die Teilnahme des Datenschutzbeauftrag-
ten an einem Erfahrungsaustausch mit Kolleginnen und Kollegen.
Hierfür bieten sich vielfältige Möglichkeiten. Im Bereich der Bun-
desbehörden findet ein Erfahrungsaustausch zwischen den Daten-
schutzbeauftragten der Obersten Bundesbehörden mit dem BfDI statt.


                                                               BfDI – Info 4   37

Aufgaben


     Gleiches ist auch für die nachgeordneten Behörden auf ihrer Ebene
     sinnvoll. In der Privatwirtschaft gibt es ebenfalls verschiedene Er-
     fahrungsaustauschkreise über die Gesellschaft für Datenschutz und
     Datensicherung e. V., zum Teil auch über Industrie- und Handelskam-
     mern und andere Stellen.


     3.7 „Fahrplan“
     Der folgende „Fahrplan“ geht auf den vielfach geäußerten Wunsch von
     Teilnehmerinnen und Teilnehmern in Datenschutzseminaren zurück.
     Dieser ist rein fiktiv und soll Ihnen eine kleine Anregung geben:

     1. Station: Ein schöner Frühlingstag in der Firma Müller

     Frau Schmitz trifft auf dem Flur ihre Chefin, Frau Müller. Frau Müller
     bittet zum Gespräch in ihr Büro. „Nach der neuen Datenschutz-Grund-
     verordnung brauchen wir eine Datenschutzbeauftragte. Frau Schmitz,
     Sie haben doch schon in der IT-Abteilung gearbeitet und gute Kennt-
     nisse in der Informationstechnik. Sie sollen unsere neue Datenschutz-
     beauftragte werden. Überlegen Sie sich bitte, ob Sie bereit sind, die
     Aufgabe zu übernehmen.“

     Frau Schmitz geht in sich und erkundigt sich zunächst bei der Auf-
     sichtsbehörde, was die Aufgaben einer Datenschutzbeauftragten sind.
     Schließlich sagt sie zu.

     2. Station: Frau Schmitz bildet sich

     Nachdem Frau Schmitz sich kundig gemacht hat, welche Anforderun-
     gen an eine Datenschutzbeauftragte zu stellen sind, weiß sie, dass sie
     die notwendigen Informationstechnikkenntnisse durch ihre frühere
     Tätigkeit in der Firma bereits mitbringt. Auch die Struktur der Organi-
     sation ist ihr als langjährigem Firmenmitglied vertraut. Was ihr nach
     ihrer Feststellung noch fehlt, sind die datenschutzrechtlichen Kennt-
     nisse. Sie erkundigt sich nach fundierten Fortbildungsangeboten und
     findet eine geeignete Schulung, die sie wahrnimmt.

     3. Station: Eine Datenschutzbeauftragte wird geboren

     Frau Schmitz fühlt sich jetzt gerüstet und nimmt von ihrer Chefin
     das schriftliche Benennungsschreiben entgegen. Bekannt für ihre


38   BfDI – Info 4

Ordnungsliebe hat Frau Schmitz sich für ihre Fortbildungsaktivitä-
ten bereits einen entsprechenden Ordner angelegt und nimmt jetzt
zunächst die organisatorischen Fragen ihrer künftigen Tätigkeit in
Angriff. Sie sorgt dafür, dass ihr für ihre vertraulichen Besprechungen
als Datenschutzbeauftragte ein Einzelzimmer zur Verfügung steht. Ein
eigenes Postfach wird für sie eingerichtet, damit ihre Post als Daten-
schutzbeauftragte nicht mit der übrigen Firmenpost geöffnet wird. In
der Fortbildung hat sie auch einige Anstöße für die Beschaffung von
Fachliteratur erhalten. Mit dem Budgetverantwortlichen klärt sie die
Anschaffung von Literatur und Fachzeitschriften ab, auf die sie künftig
in ihrer Arbeit zurückgreifen möchte.

4. Station: Jetzt sollen es alle wissen

Als Ansprechpartnerin für die Kolleginnen und Kollegen, aber auch für
die Kunden und Geschäftspartner der Firma in Datenschutzfragen soll
Frau Schmitz jetzt bekannt gemacht werden. Zunächst gibt die Chefin
eine Hausmitteilung heraus, mit der jetzt offiziell bekannt gemacht
wird, dass Frau Schmitz zur neuen Datenschutzbeauftragten der Firma
benannt wurde. Die Hausmitteilung wird auch in das firmeninterne
Netz eingestellt. In dieser Hausmitteilung sind auch die Kontaktdaten
der Datenschutzbeauftragten enthalten. Frau Schmitz lässt es sich
nicht nehmen, sich in der Firmenzeitung als neue Datenschutzbe-
auftragte den Kollegen und Kolleginnen außerdem persönlich vorzu-
stellen. Darüber hinaus soll ein Aushang am „Schwarzen Brett“ die
Beschäftigten ebenfalls informieren.

Sobald Frau Schmitz sich eingearbeitet hat, soll eine Information für
die Kunden erstellt werden, natürlich auch auf der firmeneigenen
Internetseite.

5. Station: Verbündete gesucht

Frau Schmitz will keine reine Einzelkämpferin sein und sucht sich Ver-
bündete. Auch der Betriebsrat hat die Aufgabe, über den Datenschutz
für die Belegschaft zu wachen. Frau Schmitz geht zum Betriebsrat und
bekundet ihre Bereitschaft und ihren Wunsch nach einer guten Zusam-
menarbeit. Auch in der IT-Abteilung, beim IT-Sicherheitsbeauftragten
der Firma, in der Revisionsabteilung und den Fachabteilungen stellt
sie sich vor.



                                                              BfDI – Info 4   39

Aufgaben


     6. Station: An ihr geht kein Weg vorbei

     Frau Schmitz, die nach ihrem jüngsten Antrittsbesuch in ihrer frühe-
     ren IT-Abteilung konkretere Vorstellungen darüber hat, welche perso-
     nenbezogenen Datenverarbeitungen aktuell in der Firma vorhanden
     sind, geht jetzt daran, einen Beteiligungskatalog aufzustellen. Bei der
     Datenschutz-Folgenabschätzung besonders risikoreicher Datenverar-
     beitungen muss sie bereits in der Planungsphase beteiligt werden. Dies
     gilt ebenso bei der Anschaffung neuer Datenverarbeitungs-Technik
     und Software. Aber auch sonst möchte sie bei allen wesentlichen Ver-
     fahren frühzeitig eingeschaltet werden. Nachdem die Geschäftsleitung
     ihrem Vorschlag für einen Beteiligungskatalog zugestimmt hat, wird
     dieser der IT-Abteilung und den anderen Fachabteilungen als verbind-
     lich bekannt gegeben. Im Organigramm der Firma ist dargestellt, dass
     Frau Schmitz unmittelbar der Chefin berichtet. Das Organigramm
     informiert auch über die Erreichbarkeit von Frau Schmitz. An Frau
     Schmitz geht so leicht kein Weg mehr vorbei. Sie steht als Ansprech-
     partnerin für alle im Hause sowie für Anfragen von außen zur Verfü-
     gung.

     7. Station: Das Verzeichnis von Verarbeitungstätigkeiten

     Frau Schmitz hat von der IT-Abteilung eine alte Übersicht über die per-
     sonenbezogenen Verfahren der automatisierten Datenverarbeitung,
     die Hard- und Software sowie die vorhandenen Zugriffsberechtigungen
     erhalten. Sie drängt darauf, dass ein aktuelles Verzeichnis von allen
     Verarbeitungstätigkeiten erstellt wird und bietet an, die Kollegen zu
     unterstützen und dabei ihr Wissen aus den Fortbildungen zu nutzen.
     Sie weist auf vorhandene Muster und IT-gestützte Verfahren für die
     Führung der Verzeichnisse hin.

     8. Station: Das Rad ist schon erfunden

     Frau Schmitz sucht den Erfahrungsaustausch mit anderen betriebli-
     chen Datenschutzbeauftragten. Sie vermittelt der Chefin, wie wichtig
     die Teilnahme an einem solchen Austausch für ihre Arbeit ist und dass
     es letztlich auch Zeit spart, von den Erfahrungen anderer profitieren
     zu können.




40   BfDI – Info 4