Datenschutz ohne Illusionen: Warum 100 Verarbeitungstätigkeiten nicht ausreichen

Allgemein, Gesetzgebung: DS-GVO, Verzeichnis von Verarbeitungstätigkeiten (VVT)

Auch im achten Jahr der Datenschutz-Grundverordnung (DS-GVO) halten sich hartnäckig falsche Behauptungen selbsternannter „Datenschutz-Experten“. Noch immer wird verbreitet, dass kleine und mittelständische Unternehmen lediglich 50 bis 100 Verarbeitungstätigkeiten (VT) dokumentieren müssten. Wer dieser irreführenden Einschätzung folgt, setzt sein Unternehmen erheblichen Risiken aus. Die Realität zeigt ein völlig anderes Bild: In vielen Unternehmen sind es tatsächlich zwischen 700 und 1.000 Verarbeitungstätigkeiten, die korrekt erfasst und dokumentiert werden müssen.
 
Diese Zahlen basieren auf fundierten Analysen und praktischen Erfahrungen aus zahlreichen Datenschutzprojekten. Die falschen Zahlen der Möchtegern-Experten hingegen entstehen durch oberflächliche Analysen und mangelndes Verständnis der Datenschutz-Grundverordnung (DS-GVO).
 
Jeder einzelne Prozess, in dem personenbezogene Daten verarbeitet werden – sei es Kundenanfragen, Rechnungsstellung, Buchhaltung, Personalverwaltung oder Management – stellt eine Verarbeitungstätigkeit dar und unterliegt der zwingenden gesetzlichen Dokumentationspflicht.

Datenschutz-Fehleinschätzungen: Die Realität sieht anders aus!

Wer diese fundamentale Vorgabe der Datenschutz-Grundverordnung (DS-GVO) herunterspielt, ignoriert oder gar bewusst falsch darstellt, handelt grob fahrlässig und setzt sein Unternehmen erheblichen rechtlichen und finanziellen Risiken aus. Datenschutz ist kein Bereich, in dem Halbwissen genügt – er verlangt fundierte Kenntnisse und eine präzise Umsetzung.

Pflicht zur vollständigen Dokumentation gilt auch für kleine Unternehmen

Die Größe eines Unternehmens spielt für die Einhaltung der Datenschutz-Grundverordnung (DS-GVO) keine Rolle – alle Unternehmen sind uneingeschränkt verpflichtet, die darin festgelegten Bestimmungen umzuset­zen. Ein Betrieb mit nur 20 Beschäftigten unterliegt daher denselben Pflichten wie ein Großunternehmen mit mehreren zehntausend Angestellten.
 
Gemäß Artikel 30 Absatz 1 Satz 1 der Datenschutz-Grundverordnung (DS-GVO) ist jeder Verantwortliche dazu verpflich­tet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, die in seinen Zuständigkeitsbereich fallen.
 

Warum 100 Verarbeitungstätigkeiten niemals ausreichen

Entgegen der Behauptung der Möchtegern-Experten muss das Verzeichnis von Verarbeitungstätigkeiten (VVT) für ein kleines mittelständisches Unternehmen nicht nur „maximal 50 bis 100“ Verarbeitungstätigkeiten enthalten, sondern sämtliche im Un­ternehmen durchgeführte Verarbeitungsvorgänge lückenlos dokumentieren und zudem ge­mäß Artikel 30 Absatz 1 Buchstaben a) bis g) DS-GVO zu jeder Verarbeitungstätigkeit mindestens die folgenden detaillier­ten Informationen bereitstellen:
  • Name und Kontaktdaten des Verantwortlichen
  • Zwecke der Verarbeitung
  • Beschreibung der Kategorien betroffener Personen und personenbezogener Daten
  • Kategorien von Empfängern, an die personenbezogene Daten offengelegt wurden oder werden, ein­schließlich Empfänger in Drittländern oder internationalen Organisationen
  • (falls möglich) die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  • (falls möglich) eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
Um seiner in Artikel 5 Absatz 2 DS-GVO auferlegten Rechenschaftspflicht nachzukommen, muss der Verant­wortliche nachweisen, dass er die folgenden in Artikel 5 Absatz 1 Buchstaben a) bis f) DS-GVO verankerten Grundsätze einhält:
  • Rechtmäßigkeit
  • Verarbeitung nach Treu und Glauben
  • Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit
Um diese dem Verantwortlichen auferlegte Rechenschaftspflicht überhaupt erfüllen zu können, ist es zwingend notwendig, zu den einzelnen im Verzeichnis von Ver­ar­beitungstätigkei­ten (VVT) enthaltenen Ver­­ar­­beitungstätigkeiten (VT) weitere detaillierte Informationen zu dokumentieren (mehr zu diesem Anforderungen in einem späteren Blogbeitrag) .

Drei exemplarische Beispiele widerlegen die Möchtegern-Experten

Eine Auswertung von mehr als dreißig professionell durchgeführten Datenschutzprojekten zeigt eindrucksvoll, dass die Anzahl der Verarbeitungstätigkeiten in mittelständischen Unternehmen weit über den oft behaupteten „50 bis 100“ liegt.
 
Allein in den drei exemplarisch ausgewählten Bereichen ergibt sich folgende Anzahl von Verarbeitungstätigkeiten für das Verzeichnis der Verarbeitungstätigkeiten (VVT):
  • Personalbereich: 117 Verarbeitungstätigkeiten
  • Geschäftsleitung Arbeitgeberpflichten gemäß BetrVG: 33 Verarbeitungstätigkeiten
  • Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG): 159 Verarbeitungstätigkeiten
Insgesamt ergeben sich allein in diesen drei Bereichen bereits 309 Verarbeitungsvorgänge. Diese Zahlen widerlegen eindeutig die Fehleinschätzungen selbsternannter „Datenschutz-Experten“ und zeigen, dass eine realistische Dokumentation der Verarbeitungstätigkeiten essenziell ist, um den gesetzlichen Anforderungen gerecht zu werden.

Unzureichende Dokumentation: Hohe Bußgeldrisiken der DS-GVO

Die Datenschutz-Grundverordnung (DS-GVO) stellt hohe Anforderungen an die Verarbeitung personenbezogener Daten und verpflichtet Unternehmen zur lückenlosen Dokumentation sämtlicher Datenverarbeitungstätigkeiten. Wer diese Vorgaben unterschätzt oder sich auf oberflächliche Einschätzungen vermeintlicher „Experten“ verlässt, gefährdet die Rechtskonformität seines Unternehmens.
 
Die nachfolgenden Regelungen zeigen unmissverständlich, welche Sanktionen bei Verstößen gegen diese Pflichten drohen. Sie verdeutlichen zugleich, warum die vereinfachenden Behauptungen selbsternannter Datenschutz-Kenner nicht mit der betrieblichen Realität übereinstimmen – und welche gravierenden Konsequenzen Unternehmen drohen, die sich nicht an die gesetzlichen Vorgaben halten.
 
Gemäß Artikel 83 Absatz 4 Buchstabe a) DS-GVO kann ein Bußgeld von bis zu zwei Prozent des weltweit erzielten Jah­resumsatzes eines Unternehmens verhängt werden, wenn gegen die in Artikel 30 festgelegte Pflicht zur Füh­rung eines Verzeichnisses von Verarbeitungstätigkeiten verstoßen wird.
 
Gemäß Artikel 83 Absatz 5 Buchstabe a) DS-GVO kann zudem ein Bußgeld von bis zu vier Prozent des weltweit erzielten Jahresumsatzes eines Unternehmens verhängt werden, wenn gegen die in Artikel 5 DS-GVO genannten Grund­sätze für die Verarbeitung personenbezogener Daten verstoßen wird.

Fazit

Die Verarbeitung personenbezogener Daten ist ein komplexes und verantwortungsvolles Thema, das Unternehmen nicht unterschätzen dürfen. Die Datenschutz-Grundverordnung (DS-GVO) stellt klare und strenge Anforderungen an die Dokumentation von Verarbeitungstätigkeiten.
 
Wer sich auf Fehlinformationen verlässt oder den Umfang dieser Verpflichtungen unterschätzt, setzt sein Unternehmen unnötigen Risiken aus – rechtlich, finanziell und hinsichtlich der Reputation. Geschäftsführer müssen sich darüber im Klaren sein, dass Halbwissen im Datenschutz fatale Folgen haben kann. Deshalb ist eine fundierte und professionelle Herangehensweise unerlässlich.
 
Verlässliche Datenschutzexpertise und eine sorgfältige Umsetzung schützen nicht nur vor Sanktionen, sondern stärken das Vertrauen von Kunden, Partnern und Mitarbeitern. Unternehmen müssen ihre Verantwortung daher sehr ernst nehmen und sicherstellen, dass ihr Datenschutz den gesetzlichen Vorgaben entspricht – lückenlos, nachvollziehbar und rechtskonform.