DSGVO: Verzeichnis von Verarbeitungstätigkeiten im Datenschutz

Zu den Neuerungen der 2018 wirksam gewordenen Datenschutz-Grundverordnung (DSGVO) zählt das Verzeichnis von Verarbeitungstätigkeiten (VVT). Doch was verbirgt sich hinter diesem sperrigen Begriff? Und wer muss dieses Verzeichnis führen? Wir erklären Ihnen im Folgenden nicht nur, was in das VVT hineingehört – sondern zeigen Ihnen auch, warum in der Erstellung eine Chance liegen kann.

  • Die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) ist im Normalfall Pflicht.

  • Das erstmalige Erstellen ist mit Aufwand verbunden, erleichtert aber anschließend den Umgang mit personenbezogenen Daten und den Datenschutz im Unternehmen.

  • Die Weitergabe von personenbezogenen Daten in ein Drittland bedarf besonderer Sorgfalt.

Was ist gemäß DSGVO ein Verzeichnis von Verarbeitungstätigkeiten?

Das Wichtigste zuerst: Das Führen eines Verzeichnisses von Verarbeitungstätigkeiten ist vom Gesetzgeber im Rahmen der europäischen Datenschutz-Grundverordnung vorgeschrieben. Nach Artikel 30 DSGVO ist jeder Verantwortliche verpflichtet, diese schriftliche Dokumentation und Übersicht über Verfahren zu führen, bei denen personenbezogene Daten verarbeitet werden.

Der Begriff der Verarbeitung ist dabei weit gefasst: Dazu zählt unter anderem das Erheben, Speichern, Löschen, Verändern, Zusammenfügen, Auslesen oder Abgleichen von Daten. All das sind Prozesse, die in dem Verzeichnis erfasst werden.

Enthalten sein müssen im VVT Angaben zu den verarbeiteten Datenkategorien, Kontaktdaten der Verantwortlichen, Kontaktdaten des Datenschutzbeauftragten, dem Kreis der betroffenen Personen, der Zweck der Verarbeitung der personenbezogenen Daten und die jeweiligen Datenempfänger. Im besten Fall gilt es, Angaben zu den technischen und organisatorische Maßnahmen (TOM) und den vorgesehenen Löschfristen zu ergänzen. Ganz neu ist diese Art der Dokumentation nicht: Das Verzeichnis von Verarbeitungstätigkeiten löst das bisherige Verfahrensverzeichnis ab.

Das Verzeichnis von Verarbeitungstätigkeiten gibt schnell Auskunft darüber, welche Verarbeitungsvorgänge es im Unternehmen gibt. Außerdem hilft es generell dabei, sich einen Überblick über die Prozesse im Unternehmen zu verschaffen und zu ermitteln, ob diese noch zeitgemäß sind. Durch das Erkennen von Strukturen wird darüber hinaus klar, wo gegebenenfalls Änderungen notwendig sind.

On-demand Webinar zum Verzeichnis von Verarbeitungstätigkeiten On-demand Webinar zum Verzeichnis von Verarbeitungstätigkeiten

On-Demand-Webinar zur Einführung in das VTT

Schauen Sie sich unser kostenloses On-Demand-Webinar an und erhalten Sie einen ganzheitlichen Überblick über das VVT. 

Webinar jetzt ansehen

Welches Ziel verfolgt das Verzeichnis von Verarbeitungstätigkeiten im Datenschutz?

Im Verzeichnis von Verarbeitungstätigkeiten dokumentieren Sie alles, was Sie erledigen. Es erinnert an ein Auditprotokoll, doch hier halten Sie sowohl die Handlungen fest, die Sie am Computer, als auch die, die Sie „analog“ ausführen.

Wenn Sie beispielsweise einen Bericht ausdrucken und an Ihre Kunden schicken, könnten Sie jeden einzelnen Schritt in einem VVT festhalten – vom Zugriff auf die Datei auf Ihrem Computer über den Druckvorgang bis hin zum Versenden. 

Zweck dieser Dokumentation ist es, zu zeigen, dass Ihre Organisation geeignete Maßnahmen eingeführt hat, um die Einhaltung der DSGVO zu gewährleisten. Das Verzeichnis sollte Folgendes enthalten: 

  • Beschreibung der Verarbeitungstätigkeiten
  • Belege für die Zustimmung zur Verarbeitung
  • Angaben zur rechtlichen Grundlage für die Verarbeitung
  • Angaben zu technischen und organisatorischen Sicherheitsmaßnahmen, die zur Verhinderung unberechtigten Zugriffs auf personenbezogene Daten ergriffen werden
  • Informationen über die Speicherungsdauer personenbezogener Daten
  • Informationen darüber, ob automatisierte Entscheidungsfindungsprozesse eingeführt wurden und ob diese die Anforderungen der DSGVO erfüllen

Mithilfe des VVT können Sie auch dokumentieren, welche Dateien von einem Ordner in einen anderen verschoben oder von Ihrer Festplatte gelöscht wurden. Außerdem können Sie erkennen, ob jemand unberechtigterweise Ihren Computer verwendet oder versucht hat, sich Zugriff zu verschaffen.

Das könnte Sie auch interssieren: 7 Tipps, um Kundendaten in Beratungsunternehmen richtig zu schützen.

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten führen?

Auf den ersten Blick scheint klar zu sein, wer gemäß DSGVO ein Verzeichnis von Verarbeitungstätigkeiten führen muss. Der Gesetzgeber definiert in Art. 30 (5) DSGVO, dass Unternehmen mit weniger als 250 Mitarbeitern nicht verpflichtet sind, ein Verzeichnis zu führen. Es sei denn, eine der folgenden drei Ausnahmen trifft zu:

  1. Die Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen.
  2. Die Verarbeitung erfolgt nicht nur gelegentlich, sondern regelmäßig.
  3. Die Verarbeitung umfasst besondere Datenkategorien, zum Beispiel Gesundheitsdaten, Informationen zur Religion oder politischen Meinungen.

Eine dieser Ausnahmen ist fast immer gegeben: Denn die meisten Unternehmen führen zum Beispiel eine Personalakte. In der werden eine ganze Reihe von personenbezogener Daten der Mitarbeiter gespeichert, gelesen, verändert oder gelöscht und somit verarbeitet. Das bedeutet, dass eigentlich jeder ein Verzeichnis führen muss – unabhängig von der Größe des Unternehmens. 

Neben dem VVT gibt es zahlreiche weitere Dokumente und Dokumentationen, die die DSGVO bestimmten Unternehmen vorschreibt. Erfahren Sie in dieser Checkliste welche Datenschutzdokumente die DSGVO insgesamt fordert

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten erstellen?

Wenn es in Ihrer Organisation einen Datenschutzbeauftragten (DSB) gibt, ist dieser für die kontinuierliche Dokumentation der Verarbeitung zuständig. Gibt es keinen DSB, kommt auch ein Mitarbeiter mit den dafür notwendigen Kenntnissen für diese Aufgabe in Frage.

Ebenfalls ist es üblich, externe Berater oder ein darauf spezialisiertes Dienstleistungsunternehmen damit zu beauftragen, ein erstes VVT zu entwerfen und die Tätigkeiten eines DSB zu übernehmen.

Wer darf in das Verzeichnis von Verarbeitungstätigkeiten Einsicht nehmen?

Das Verzeichnis von Verarbeitungstätigkeiten ist nicht öffentlich. Das heißt, es ist nicht jedem zugänglich und muss auch Betroffenen nicht auf Verlangen zugänglich gemacht werden. Einsicht nehmen dürfen der Datenschutzbeauftragte, der bereits bei der VVT-Erstellung eine wichtige Rolle spielt, sowie das Management des Unternehmens. Darüber hinaus ist das VVT den Aufsichtsbehörden auf Verlangen vorzulegen.

Was passiert, wenn ich kein VVT habe?

Wenn Sie kein Verzeichnis von Verarbeitungstätigkeiten führen, wird die Aufsichtsbehörde bei einer Prüfung den Grund dafür wissen wollen. Wer zudem schon einmal gegen eine Auflage oder eine Verpflichtung im Rahmen der DSGVO verstoßen hat, dem drohen in diesem Fall nicht unerhebliche Bußgelder.

In manchen Fällen wird die Behörde Ihnen die Möglichkeit geben, das Verzeichnis von Verarbeitungstätigkeiten innerhalb von zwei bis drei Wochen nachzureichen – verlassen sollten Sie sich darauf aber lieber nicht.

Top 6 Datenschutzfehler

Wie sollte ein VVT aufgebaut sein?

Prinzipiell sind Sie im Aufbau Ihres Verzeichnisses frei. Es gibt keine vorgegebene Form oder Formulare, die einfach ausgefüllt werden. Dennoch gilt es, bestimmte Mindestanforderungen zu erfüllen.

Hier ein grober Musteraufbau:

  • Deckblatt: Das Deckblatt nennt das betreffende Unternehmen sowie die Kontaktdaten des Datenschutzbeauftragten. Zudem stehen dort Informationen über die Kontaktdaten des Verantwortlichen sowie etwaige mit Ihm gemeinsame Verantwortliche.
  • Hauptteil: Hier werden alle Vorgänge der Datenverarbeitung einzeln beschrieben, analysiert und dokumentiert.
  • Technische und organisatorische Maßnahmen (TOM): Dies ist die Darstellung der Gebäude- und IT-Sicherheit, der Regelungen, Arbeitsanweisungen und Betriebsvereinbarungen, die für einen adäquaten Stand der Datensicherheit sorgen. Diese sind in der Regel bereits gesondert dokumentiert und können dem VVT einfach beigelegt werden.

Einige Landesdatenschutzbehörden bieten Muster an, die sehr übersichtlich sind und gut als erster Anhaltspunkt verwendet werden können. Besonders hervorzuheben ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), welches sehr übersichtliche Vorlagen für kleine und mittelständische Unternehmen sowie Vereine zur Verfügung stellt.

Was braucht eine Organisationen für die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten?

Wenn Sie sich auf die Erstellung des VVT vorbereiten, müssen Sie sicherstellen, dass Ihre Dokumentation exakt und vollständig ist.

Es genügt nicht, einen Teil der Informationen zu dokumentieren, die das Gesetz fordert – alle erforderlichen Informationen müssen enthalten sein. Sie müssen auch nachweisen können, dass Ihre Tätigkeiten rechtskonform sind. So können Sie sich auf die Erstellung des VVT vorbereiten:  

  • Bewahren Sie alle Dokumente, die mit Ihrem Verzeichnis von Verarbeitungstätigkeiten in Verbindung stehen, an einem Ort auf. So können Sie diese leichter wiederfinden. Stellen Sie sicher, dass Sie über alle benötigten Unterlagen verfügen. Wenn Sie Dokumente per Post verschicken müssen, stellen Sie vor dem Absenden sicher, dass sie strukturiert und zum Versand bereit sind.
  • Notieren Sie, wie viel Zeit Sie für welche Tätigkeiten aufwenden. Wenn jeder Arbeitsschritt eine Stunde oder mehr in Anspruch nimmt, können Sie leicht aus den Augen verlieren, was noch zu tun bleibt.
  • Es ist wichtig, dass Sie Ihr Verzeichnis sicher aufbewahren, damit es nicht verloren geht oder beschädigt wird.
  • Stellen Sie sicher, dass alle, die an der Verarbeitung der Dokumente beteiligt sind, wissen, was wo aufbewahrt wird. Wenn jemand vergisst, wo sich etwas befindet, wird er/sie es wahrscheinlich auch bei Bedarf nicht finden können, was zu Verärgerung oder Frustration führen kann.

Wenn jemand Sie nach dem Verzeichnis von Verarbeitungstätigkeiten fragt, fordert er/sie einen Nachweis dafür, dass Ihr Vorgehen korrekt ist. Darum ist es wichtig, so viele Informationen wie möglich in Ihrem Verzeichnis zu erfassen.

 

DataGuard Newsletter

Sichern Sie Ihren Erfolg.

Abonnieren Sie praxisnahe Experten-Tipps!

Schließen Sie sich 3.000+ Führungskräften an, die mit unserem monatlichen Newsletter zu dem Thema Informationssicherheit auf dem Laufenden bleiben.

Jetzt abonnieren

 

Wie ist ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen?

Verschaffen Sie sich zunächst einen Überblick darüber, welche personenbezogenen Daten Sie verarbeiten und wo diese gespeichert sind. Die folgenden drei Schritte können Sie dabei unterstützen:

  1. Kartierung von Informationssystemen: Um herauszufinden, über welche Informationen Ihre Organisation verfügt und wo sich diese befinden, können Sie zunächst die vorhandenen Informationssysteme und personenbezogenen Daten kartieren. Es ist von zentraler Bedeutung, dass viele Interessenvertreter Ihrer Organisation an diesem Prozess beteiligt sind.
  2. Erstellung einer Umfrage: Durch die Erstellung einer Umfrage können Sie auf Teile der Organisation zugreifen, die personenbezogene Daten verarbeiten. Stellen Sie einfache, nicht technische Fragen, um Informationen über die Bereiche zu erhalten, die dokumentiert werden müssen. Beispiele für Fragen sind:
    1. Wozu erfassen Sie persönliche Daten? 
    2. Über welche Kategorien liegen Ihnen Informationen vor? 
    3. Welche Informationen haben Sie über diese Kategorien? 
    4. Wen setzen Sie darüber in Kenntnis? 
    5. Wie lange speichern Sie die Daten? 
    6. Wie können Sie die Daten schützen?
  3. Binden Sie die Führungsebene mit ein: So stellen Sie sicher, dass Sie in der Organisation Rückhalt für Ihre Kartierung bekommen und dass alle Interessenvertreter ein Bewusstsein für das Thema entwickeln. 

Keine Frage, die Erstellung des VVT ist eine schwierige Aufgabe. Sie wird viel Zeit, Geld und Zusammenarbeit mit Interessenvertretern und anderen Beteiligten erfordern. Doch die Einhaltung der Vorschriften sind die Mühe wert.

Was muss im Verzeichnis von Verarbeitungstätigkeiten enthalten sein?

Zweck der Verarbeitung von Daten

Zuerst sollten Sie darauf eingehen, zu welchem Zweck Sie persönliche Daten verarbeiten. Nehmen Sie zum Beispiel das Führen einer Personalakte – das wäre der Zweck. Sie müssen die Kontaktdaten des Verantwortlichen angeben, also wer genau die Daten verarbeitet. Dabei kann es auch gemeinsame Verantwortliche geben.

Datenkategorien und betroffene Personen

Essenziell ist die Angabe der Datenkategorien und der betroffenen Personen. Bei einer Personalakte ist die „betroffene Person“ z. B. der Beschäftigte. Bei den Datenkategorien handelt es sich um die Art der Informationen, die im Fall von Beschäftigten z. B. zur ordnungsgemäßen Durchführung des Beschäftigungsverhältnisses benötigt werden, wie Vor- und Nachname, Sozialversicherungsnummer, Kirchensteuermerkmal, Krankenkasse etc.

Empfänger

Sie müssen auch die Empfänger der Daten benennen. Empfänger sind die Personen, die Zugriff auf die verarbeiteten personenbezogenen Daten haben, diese also einsehen können. Das ist bei Beschäftigten z. B. vermutlich jeder, der in der Personalabteilung arbeitet, ein beauftragtes Lohn- oder Steuerbüro sowie darüber hinaus natürlich die Geschäftsführung, auch wenn diese vielleicht keinen Gebrauch von dieser Möglichkeit macht.

Fristen zur Löschung

Eine weitere Pflichtangabe sind die Fristen zur Löschung der personenbezogenen Daten und der entsprechenden Kategorien. Bei einer Personalakte ist klar, dass diese solange geführt wird, wie das Arbeitsverhältnis besteht. Die Frage ist: Was passiert danach? Weitere Informationen dazu finden Sie im Beitrag zum Löschkonzept gemäß DSGVO. Generell lässt sich dabei sagen, dass Sie immer Fristen angeben sollten.

Welche Anforderungen gibt es an ein VVT?

Nach Art. 30 Abs. 1 der DSGVO muss das Verzeichnis von Verarbeitungstätigkeiten nachfolgende Informationen zwingend enthalten. Die Informationen müssen klar und präzise formuliert sein und dürfen keine grammatischen oder sonstigen typografischen Fehler enthalten. 

Als Datenverantwortlicher muss Ihre Organisation laut Art. 30 der DSGVO mindestens Folgendes dokumentieren: 

  • Name und Kontaktdaten des Verantwortlichen und gegebenenfalls der gemeinsam mit ihm Verantwortlichen
  • Name und Kontaktdaten des Datenschutzbeauftragten der Organisation, falls ein solcher ernannt wurde
  • Kategorien betroffener Personen (z. B. Mitarbeiter, Kunden und Kontaktpersonen bei Anbietern)
  • Kategorien der verarbeiteten personenbezogenen Daten (z. B. Daten, welche die Identifikation von Personen ermöglichen, Kontaktdaten sowie Gesundheitsdaten)
  • Kategorien der Empfänger personenbezogener Daten (z. B. Partner, Dritte, Behörden und Geschäftsführung)
  • Zwecke der Verarbeitung – wofür Sie die personenbezogenen Daten verwenden (Kundendienst, Beschäftigungsverhältnisse, Marketing, Produktentwicklung und Vertrieb)
  • gegebenenfalls eine Liste von Drittländern oder internationalen Organisationen, denen die personenbezogenen Daten zur Verfügung gestellt werden
  • bei etwaiger Übermittlung personenbezogener Daten an ein Drittland: Angaben zu der Übermittlung, wie z. B. Name des Drittlands, Umstände und Garantien der Übermittlung
  • Fristen für die Löschung der verschiedenen Kategorien personenbezogener Daten
  • Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen (z. B. Verschlüsselung, Mitarbeiterschulungen, Zugriffsbeschränkungen für Dokumente und sonstige personenbezogene Daten, Anonymisierung)

Artikel 30 der DSGVO fordert außerdem, dass Verarbeitende ein Verzeichnis über alle Datenverarbeitungsvorgänge führen. Die folgenden Angaben sollten in eine solche Dokumentation einfließen: 

  • Name und Kontaktdaten des Datenschutzbeauftragten, falls ein solcher ernannt wurde
  • Name und Kontaktdaten des Verarbeitenden, seiner Verantwortlichen und der Unterauftragsverarbeiter
  • bei etwaiger Übermittlung personenbezogener Daten an ein Drittland: die Kategorien, die im Auftrag des Verantwortlichen verarbeitet werden, Angaben zu der Übermittlung, wie z. B. Name des Drittlands, Umstände und Garantien der Übermittlung
  • Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen (z. B. Verschlüsselung, Personalschulungen, Zugriffsbeschränkungen für Dokumente und sonstige personenbezogene Daten, Anonymisierung)

Ist die Rechtsgrundlage für die Verarbeitung der Daten ein „berechtigtes Interesse“ (Art. 6 DSGVO), sollte dieses zusammen mit einer Beschreibung der konkreten Interessen im Verzeichnis von Verarbeitungstätigkeiten angeführt werden.

Wenn das Hinzufügen von Informationen, die nicht in den oben aufgeführten Anforderungen enthalten sind, den Überblick über die Verarbeitungstätigkeiten und die Einhaltung der Vorschriften erleichtert, ist dies unbedingt empfehlenswert.

Was ist bei der Datenverarbeitung in einem Drittland zu beachten?

Wenn die Daten in einem Drittland verarbeitet werden – ob intern im Unternehmen oder von einem externen Dienstleister –, müssen Sfie den Empfänger ausnahmsweise konkret namentlich benennen. Eine Nennung der Kategorie – wie z. B. IT-Administrator – reicht also nicht aus.

Dabei ist zu prüfen, ob für das Drittland ein Angemessenheitsbeschluss (nach Art. 45 DSGVO) oder geeignete Garantien (nach Art. 46 DSGVO) vorliegen. Dadurch soll das Datenschutzniveau auch in diesen Fällen gewährleistet werden.

Wie kann der DSB bei der Erstellung des VVT unterstützen?

Der Datenschutzbeauftragte kann im Wesentlichen zwei Wege beschreiten, um das Verzeichnis von Verarbeitungstätigkeiten zu erstellen:

1. Sich selbst ein Bild machen

Der Datenschutzbeauftragte sollte sich zuerst selbst einen Einblick in alle Prozesse verschaffen. Dazu hat er die Befugnis und ihm muss dabei auch Auskunft erteilt werden. Am besten kontaktiert er jede Abteilung und lässt sich dort den Umgang mit personenbezogenen Daten erklären. Mögliche Standardfragen dabei lauten unter anderem: „Was macht ihr genau?“, „Wer arbeitet hier?“, „Welche Programme nutzt ihr?“ oder: „Von wem bekommt ihr die Daten und wo schickt ihr sie anschließend hin?“

2. Gezielt Unterstützung anfordern

Natürlich kann der Datenschutzbeauftragte die einzelnen Abteilungen auch um Mithilfe und Aufbereitung der Informationen bitten. Er muss sicher nicht mit jedem Mitarbeiter einzeln sprechen. Ziel ist, dass er einen detaillierten Überblick über das Geschehen im Unternehmen und die Verarbeitung der Daten erhält. Dabei kann es sinnvoll sein, sich von externen Beratern unterstützen zu lassen, da diese vorhandene Prozesse oft genauer hinterfragen, gängige Problemfelder kennen und außerdem nicht „betriebsblind“ sind und Problemfelder kennen. Die Unterstützung eines externen Datenschutzbeauftragten ist bei der Erstellung eines VVT immer ratsam. 

Weshalb sollte das VVT kontinuierlich aktualisiert werden?

Es ist wichtig, das Verzeichnis jederzeit auf dem aktuellen Stand zu halten, damit es alle Arbeitsschritte widerspiegelt. Falls etwas schiefläuft, können so alle, die darauf zugreifen müssen, genau nachvollziehen, was passiert ist, und die notwendigen Maßnahmen zur Vermeidung künftiger Fehler einleiten. 

Sollte das Verzeichnis nicht deutlich und strukturiert geführt und nicht regelmäßig aktualisiert werden, nähme es viel Zeit und Mühe in Anspruch, die Dinge wieder zurechtzurücken.

VVT: großer Aufwand oder große Chance?

Die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten ist aufwendig – das fertige Dokument kann schon mal 80 Seiten lang werden. Aber das sollte Sie nicht abschrecken. Denn viele Dokumente, die bereits vorliegen, müssen nicht neu erstellt werden, sondern fließen in das Verzeichnis mit ein, wie zum Beispiel das Datenschutzkonzept oder die technischen und organisatorischen Maßnahmen.

Chancen nutzen – Prozesse auf den Prüfstand stellen

Außerdem sollte der Blick statt auf den Aufwand eher darauf gerichtet werden, welche Chancen sich durch die Erstellung bieten. Denn durch das VVT sind Sie gezwungen, sich alle Prozesse im Unternehmen einmal zu vergegenwärtigen. Für manche Unternehmen ist es das erste Mal, dass sie genau hinschauen, wie eigentlich personenbezogene Daten im Betrieb verarbeitet werden.

Dieser genaue Blick gibt Ihnen deshalb die Chance, Ihre Prozesse zu hinterfragen und zu optimieren. Sind die Prozesse noch zeitgemäß, oder wird etwas nur so gemacht, weil es immer schon so gemacht wurde? Vielleicht finden Sie also durch das VVT heraus, dass der eine oder andere Empfänger von Daten diese gar nicht braucht, oder dass ein bestimmter Prozess ineffizient ist.

Gut gerüstet für alles, was kommt

Wenn Sie das Verzeichnis von Verarbeitungstätigkeiten erstellt haben, werden Sie genau wissen, wie und welche personenbezogenen Daten in Ihrem Unternehmen verarbeitet werden. Zum Beispiel können dadurch Betroffenenanfragen schneller geklärt werden. So haben Sie das Verzeichnis immer in der Schublade, wenn die Aufsichtsbehörde anklopft. Ein weiterer Vorteil ist, dass Sie die aufbereiteten Informationen nur noch aktualisieren müssen, wenn sich Ihre Verarbeitungsvorgänge ändern sollten.

Datenschutz und VVT

Das Verzeichnis der Verarbeitungstätigkeiten ist Pflicht. Natürlich macht es erst einmal viel Arbeit, bietet dann aber auch einen gewissen Mehrwert. Es liefert die vorgeschriebene Zusammenfassung und Sie entwickeln eine Sensibilität für den Umgang mit personenbezogenen Daten. Es dient daher letztendlich nicht nur der Nachweispflicht gegenüber den Behörden.

Sie brauchen Unterstützung bei der Erstellung des VVT? Wir stehen Ihnen gerne für eine kostenlose Erstberatung zur Verfügung.

Über den Autor

Boris Otterbach Boris Otterbach
Boris Otterbach

Principal Privacy

Boris Otterbach ist Jurist und zertifizierter Datenschutzbeauftragter mit über fünf Jahren Erfahrung in diesem Bereich. Bereits während seines Studiums hat er sich vertieft mit den Bereichen Europarecht, Völkerrecht und Menschenrechtsschutz beschäftigt. Dabei war auch das Thema Datenschutz ein zentraler Aspekt. Die DSGVO hilft dabei, gemeinsam europäische Rahmenbedingungen zu schaffen, damit alle denselben Schutz erfahren – und diese Rahmenbedingungen müssen mit pragmatischen, alltagsfähigen Lösungen befüllt werden. Bei DataGuard arbeitet Boris an der Entwicklung pragmatischer Lösungen für DSGVO-Schutzmaßnahmen, damit Unternehmen DSGVO-konform werden können. Die tägliche Arbeit durch mehr Automatisierung effektiver zu gestalten, treibt ihn an, bei DataGuard jeden Tag neue Herausforderungen zu meistern und sicherzustellen, dass Unternehmen aus datenschutzrechtlicher Sicht geschützt sind und neueste Technologien optimal genutzt werden. Als Berater betreute er vor allem Kunden aus den Bereichen Personalwesen, Hotel und Gastgewerbe. In seiner Rolle als Principal Professional Services bei DataGuard unterstützt er die Datenschutz- , Informationssicherheit- und Compliance- Teams mit seinem umfassenden Know-how und seiner Erfahrung, um die Menschen hinter den Daten zu schützen.

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren

Privacy
InfoSec
Consent Management
General enquiry
Whistleblowing
Compliance
0-25
26-250
251-500
501-2000
2001-10000
>10000