Verzeichnis von Verarbeitungstätigkeiten gemäß DSGVO: Das ist das VVT

Zu den Neuerungen der 2018 wirksam gewordenen Datenschutz-Grundverordnung (DSGVO) zählt das Verzeichnis von Verarbeitungstätigkeiten (VVT). Doch was verbirgt sich hinter diesem sperrigen Begriff? Und wer muss dieses Verzeichnis führen? Wir erklären Ihnen im Folgenden nicht nur, was in das VVT hineingehört – sondern zeigen Ihnen auch, warum in der Erstellung eine Chance liegen kann.

  • Die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) ist im Normalfall Pflicht.

  • Das erstmalige Erstellen ist mit Aufwand verbunden, erleichtert aber anschließend den Umgang mit personenbezogenen Daten im Unternehmen.

  • Das Verzeichnis liefert einen umfassenden Überblick über die Verarbeitung personenbezogener Daten im Unternehmen.

  • Die Weitergabe von personenbezogenen Daten in ein Drittland bedarf besonderer Sorgfalt.

  • Das Verzeichnis liefert einen Mehrwert, da es alle Vorgänge im Unternehmen auf den Prüfstand stellt.

Was ist gemäß DSGVO ein Verzeichnis von Verarbeitungstätigkeiten?

Das Wichtigste zuerst: Das Führen eines Verzeichnisses von Verarbeitungstätigkeiten ist vom Gesetzgeber im Rahmen der europäischen Datenschutz-Grundverordnung vorgeschrieben. Nach Artikel 30 DSGVO ist jeder Verantwortliche verpflichtet, diese schriftliche Dokumentation und Übersicht über Verfahren zu führen, bei denen personenbezogene Daten verarbeitet werden.

Der Begriff der Verarbeitung ist dabei weit gefasst: Dazu zählt unter anderem das Erheben, Speichern, Löschen, Verändern, Zusammenfügen, Auslesen oder Abgleichen von Daten. All das sind Prozesse, die in dem Verzeichnis erfasst werden.

Enthalten sein müssen im VVT Angaben zu den verarbeiteten Datenkategorien, Kontaktdaten der Verantwortlichen, Kontaktdaten des Datenschutzbeauftragten, dem Kreis der betroffenen Personen, der Zweck der Verarbeitung der personenbezogenen Daten und die jeweiligen Datenempfänger. Im besten Fall gilt es, Angaben zu den technischen und organisatorische Maßnahmen (TOM) und den vorgesehenen Löschfristen zu ergänzen. Ganz neu ist diese Art der Dokumentation nicht: Das Verzeichnis von Verarbeitungstätigkeiten löst das bisherige Verfahrensverzeichnis ab.

Das Verzeichnis von Verarbeitungstätigkeiten gibt schnell Auskunft darüber, welche Verarbeitungsvorgänge es im Unternehmen gibt. Außerdem hilft es generell dabei, sich einen Überblick über die Prozesse im Unternehmen zu verschaffen und zu ermitteln, ob diese noch zeitgemäß sind. Durch das Erkennen von Strukturen wird darüber hinaus klar, wo gegebenenfalls Änderungen notwendig sind.

 

Welches Ziel verfolgt das Verzeichnis von Verarbeitungstätigkeiten?

Im Verzeichnis von Verarbeitungstätigkeiten dokumentieren Sie alles, was Sie erledigen. Es erinnert an ein Auditprotokoll, doch hier halten Sie sowohl die Handlungen fest, die Sie am Computer, als auch die, die Sie „analog“ ausführen.

Wenn Sie beispielsweise einen Bericht ausdrucken und an Ihre Kunden schicken, könnten Sie jeden einzelnen Schritt in einem VVT festhalten – vom Zugriff auf die Datei auf Ihrem Computer über den Druckvorgang bis hin zum Versenden. 

Zweck dieser Dokumentation ist es, zu zeigen, dass Ihre Organisation geeignete Maßnahmen eingeführt hat, um die Einhaltung der DSGVO zu gewährleisten. Das Verzeichnis sollte Folgendes enthalten: 

  • Beschreibung der Verarbeitungstätigkeiten
  • Belege für die Zustimmung zur Verarbeitung
  • Angaben zur rechtlichen Grundlage für die Verarbeitung
  • Angaben zu technischen und organisatorischen Sicherheitsmaßnahmen, die zur Verhinderung unberechtigten Zugriffs auf personenbezogene Daten ergriffen werden
  • Informationen über die Speicherungsdauer personenbezogener Daten
  • Informationen darüber, ob automatisierte Entscheidungsfindungsprozesse eingeführt wurden und ob diese die Anforderungen der DSGVO erfüllen

Mithilfe des VVT können Sie auch dokumentieren, welche Dateien von einem Ordner in einen anderen verschoben oder von Ihrer Festplatte gelöscht wurden. Außerdem können Sie erkennen, ob jemand unberechtigterweise Ihren Computer verwendet oder versucht hat, sich Zugriff zu verschaffen.

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten führen?

Auf den ersten Blick scheint klar zu sein, wer gemäß DSGVO ein Verzeichnis von Verarbeitungstätigkeiten führen muss. Der Gesetzgeber definiert in Art. 30 (5) DSGVO, dass Unternehmen mit weniger als 250 Mitarbeitern nicht verpflichtet sind, ein Verzeichnis zu führen. Es sei denn, eine der folgenden drei Ausnahmen trifft zu:

  1. Die Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen.
  2. Die Verarbeitung erfolgt nicht nur gelegentlich, sondern regelmäßig.
  3. Die Verarbeitung umfasst besondere Datenkategorien, zum Beispiel Gesundheitsdaten, Informationen zur Religion oder politischen Meinungen.

Eine dieser Ausnahmen ist fast immer gegeben: Denn die meisten Unternehmen führen zum Beispiel eine Personalakte. In der werden eine ganze Reihe von personenbezogener Daten der Mitarbeiter gespeichert, gelesen, verändert oder gelöscht und somit verarbeitet. Das bedeutet, dass eigentlich jeder ein Verzeichnis führen muss – unabhängig von der Größe des Unternehmens.

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten erstellen?

Wenn es in Ihrer Organisation einen Datenschutzbeauftragten (DSB) gibt, ist dieser für die kontinuierliche Dokumentation der Verarbeitung zuständig. Gibt es keinen DSB, kommt auch ein Mitarbeiter mit den dafür notwendigen Kenntnissen für diese Aufgabe in Frage.

 Ebenfalls ist es üblich, externe Berater oder ein darauf spezialisiertes Dienstleistungsunternehmen damit zu beauftragen, ein erstes VVT zu entwerfen und die Tätigkeiten eines DSB zu übernehmen.

Wer darf in das Verzeichnis von Verarbeitungstätigkeiten Einsicht nehmen?

Das Verzeichnis von Verarbeitungstätigkeiten ist nicht öffentlich. Das heißt, es ist nicht jedem zugänglich und muss auch Betroffenen nicht auf Verlangen zugänglich gemacht werden. Einsicht nehmen dürfen der Datenschutzbeauftragte, der bereits bei der VVT-Erstellung eine wichtige Rolle spielt, sowie das Management des Unternehmens. Darüber hinaus ist das VVT den Aufsichtsbehörden auf Verlangen vorzulegen.

Was passiert, wenn ich kein VVT habe?

Wenn Sie kein Verzeichnis von Verarbeitungstätigkeiten führen, wird die Aufsichtsbehörde bei einer Prüfung den Grund dafür wissen wollen. Wer zudem schon einmal gegen eine Auflage oder eine Verpflichtung im Rahmen der DSGVO verstoßen hat, dem drohen in diesem Fall nicht unerhebliche Bußgelder.

In manchen Fällen wird die Behörde Ihnen die Möglichkeit geben, das Verzeichnis von Verarbeitungstätigkeiten innerhalb von zwei bis drei Wochen nachzureichen – verlassen sollten Sie sich darauf aber lieber nicht.

Top 6 Datenschutzfehler

Wie sollte ein VVT aufgebaut sein?

Prinzipiell sind Sie im Aufbau Ihres Verzeichnisses frei. Es gibt keine vorgegebene Form oder Formulare, die einfach ausgefüllt werden. Dennoch gilt es, bestimmte Mindestanforderungen zu erfüllen.

Hier ein grober Musteraufbau:

  • Deckblatt: Das Deckblatt nennt das betreffende Unternehmen sowie die Kontaktdaten des Datenschutzbeauftragten. Zudem stehen dort Informationen über die Kontaktdaten des Verantwortlichen sowie etwaige mit Ihm gemeinsame Verantwortliche.
  • Hauptteil: Hier werden alle Vorgänge der Datenverarbeitung einzeln beschrieben, analysiert und dokumentiert.
  • Technische und organisatorische Maßnahmen (TOM): Dies ist die Darstellung der Gebäude- und IT-Sicherheit, der Regelungen, Arbeitsanweisungen und Betriebsvereinbarungen, die für einen adäquaten Stand der Datensicherheit sorgen. Diese sind in der Regel bereits gesondert dokumentiert und können dem VVT einfach beigelegt werden.

Einige Landesdatenschutzbehörden bieten Muster an, die sehr übersichtlich sind und gut als erster Anhaltspunkt verwendet werden können. Besonders hervorzuheben ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), welches sehr übersichtliche Vorlagen für kleine und mittelständische Unternehmen sowie Vereine zur Verfügung stellt.

Wie können sich Organisationen auf die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten vorbereiten?

Wenn Sie sich auf die Erstellung des VVT vorbereiten, müssen Sie sicherstellen, dass Ihre Dokumentation exakt und vollständig ist.

Es genügt nicht, einen Teil der Informationen zu dokumentieren, die das Gesetz fordert – alle erforderlichen Informationen müssen enthalten sein. Sie müssen auch nachweisen können, dass Ihre Tätigkeiten rechtskonform sind. So können Sie sich auf die Erstellung des VVT vorbereiten:  

  • Bewahren Sie alle Dokumente, die mit Ihrem Verzeichnis von Verarbeitungstätigkeiten in Verbindung stehen, an einem Ort auf. So können Sie diese leichter wiederfinden. Stellen Sie sicher, dass Sie über alle benötigten Unterlagen verfügen. Wenn Sie Dokumente per Post verschicken müssen, stellen Sie vor dem Absenden sicher, dass sie strukturiert und zum Versand bereit sind.
  • Notieren Sie, wie viel Zeit Sie für welche Tätigkeiten aufwenden. Wenn jeder Arbeitsschritt eine Stunde oder mehr in Anspruch nimmt, können Sie leicht aus den Augen verlieren, was noch zu tun bleibt.
  • Es ist wichtig, dass Sie Ihr Verzeichnis sicher aufbewahren, damit es nicht verloren geht oder beschädigt wird.
  • Stellen Sie sicher, dass alle, die an der Verarbeitung der Dokumente beteiligt sind, wissen, was wo aufbewahrt wird. Wenn jemand vergisst, wo sich etwas befindet, wird er/sie es wahrscheinlich auch bei Bedarf nicht finden können, was zu Verärgerung oder Frustration führen kann.

Wenn jemand Sie nach dem Verzeichnis von Verarbeitungstätigkeiten fragt, fordert er/sie einen Nachweis dafür, dass Ihr Vorgehen korrekt ist. Darum ist es wichtig, so viele Informationen wie möglich in Ihrem Verzeichnis zu erfassen.

 

Wie ist ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen?

Verschaffen Sie sich zunächst einen Überblick darüber, welche personenbezogenen Daten Sie verarbeiten und wo diese gespeichert sind. Die folgenden drei Schritte können Sie dabei unterstützen:

  1. Kartierung von Informationssystemen: Um herauszufinden, über welche Informationen Ihre Organisation verfügt und wo sich diese befinden, können Sie zunächst die vorhandenen Informationssysteme und personenbezogenen Daten kartieren. Es ist von zentraler Bedeutung, dass viele Interessenvertreter Ihrer Organisation an diesem Prozess beteiligt sind.
  2. Erstellung einer Umfrage: Durch die Erstellung einer Umfrage können Sie auf Teile der Organisation zugreifen, die personenbezogene Daten verarbeiten. Stellen Sie einfache, nicht technische Fragen, um Informationen über die Bereiche zu erhalten, die dokumentiert werden müssen. Beispiele für Fragen sind:
    1. Wozu erfassen Sie persönliche Daten? 
    2. Über welche Kategorien liegen Ihnen Informationen vor? 
    3. Welche Informationen haben Sie über diese Kategorien? 
    4. Wen setzen Sie darüber in Kenntnis? 
    5. Wie lange speichern Sie die Daten? 
    6. Wie können Sie die Daten schützen?
  3. Binden Sie die Führungsebene mit ein: So stellen Sie sicher, dass Sie in der Organisation Rückhalt für Ihre Kartierung bekommen und dass alle Interessenvertreter ein Bewusstsein für das Thema entwickeln. 

Keine Frage, die Erstellung des VVT ist eine schwierige Aufgabe. Sie wird viel Zeit, Geld und Zusammenarbeit mit Interessenvertretern und anderen Beteiligten erfordern. Doch die Einhaltung der Vorschriften sind die Mühe wert.

Was muss im Verzeichnis von Verarbeitungstätigkeiten enthalten sein?

Zweck der Verarbeitung von Daten

Zuerst sollten Sie darauf eingehen, zu welchem Zweck Sie persönliche Daten verarbeiten. Nehmen Sie zum Beispiel das Führen einer Personalakte – das wäre der Zweck. Sie müssen die Kontaktdaten des Verantwortlichen angeben, also wer genau die Daten verarbeitet. Dabei kann es auch gemeinsame Verantwortliche geben.

Datenkategorien und betroffene Personen

Essenziell ist die Angabe der Datenkategorien und der betroffenen Personen. Bei einer Personalakte ist die „betroffene Person“ z. B. der Beschäftigte. Bei den Datenkategorien handelt es sich um die Art der Informationen, die im Fall von Beschäftigten z. B. zur ordnungsgemäßen Durchführung des Beschäftigungsverhältnisses benötigt werden, wie Vor- und Nachname, Sozialversicherungsnummer, Kirchensteuermerkmal, Krankenkasse etc.

Empfänger

Sie müssen auch die Empfänger der Daten benennen. Empfänger sind die Personen, die Zugriff auf die verarbeiteten personenbezogenen Daten haben, diese also einsehen können. Das ist bei Beschäftigten z. B. vermutlich jeder, der in der Personalabteilung arbeitet, ein beauftragtes Lohn- oder Steuerbüro sowie darüber hinaus natürlich die Geschäftsführung, auch wenn diese vielleicht keinen Gebrauch von dieser Möglichkeit macht.

Fristen zur Löschung

Eine weitere Pflichtangabe sind die Fristen zur Löschung der personenbezogenen Daten und der entsprechenden Kategorien. Bei einer Personalakte ist klar, dass diese solange geführt wird, wie das Arbeitsverhältnis besteht. Die Frage ist: Was passiert danach? Weitere Informationen dazu finden Sie im Beitrag zum Löschkonzept gemäß DSGVO. Generell lässt sich dabei sagen, dass Sie immer Fristen angeben sollten.

Welche obligatorischen Anforderungen für ein Verzeichnis von Verarbeitungstätigkeiten gibt es?

Nach Art. 30 Abs. 1 der DSGVO muss das Verzeichnis von Verarbeitungstätigkeiten nachfolgende Informationen zwingend enthalten. Die Informationen müssen klar und präzise formuliert sein und dürfen keine grammatischen oder sonstigen typografischen Fehler enthalten. 

Als Datenverantwortlicher muss Ihre Organisation laut Art. 30 der DSGVO mindestens Folgendes dokumentieren: 

  • Name und Kontaktdaten des Verantwortlichen und gegebenenfalls der gemeinsam mit ihm Verantwortlichen
  • Name und Kontaktdaten des Datenschutzbeauftragten der Organisation, falls ein solcher ernannt wurde
  • Kategorien betroffener Personen (z. B. Mitarbeiter, Kunden und Kontaktpersonen bei Anbietern)
  • Kategorien der verarbeiteten personenbezogenen Daten (z. B. Daten, welche die Identifikation von Personen ermöglichen, Kontaktdaten sowie Gesundheitsdaten)
  • Kategorien der Empfänger personenbezogener Daten (z. B. Partner, Dritte, Behörden und Geschäftsführung)
  • Zwecke der Verarbeitung – wofür Sie die personenbezogenen Daten verwenden (Kundendienst, Beschäftigungsverhältnisse, Marketing, Produktentwicklung und Vertrieb)
  • gegebenenfalls eine Liste von Drittländern oder internationalen Organisationen, denen die personenbezogenen Daten zur Verfügung gestellt werden
  • bei etwaiger Übermittlung personenbezogener Daten an ein Drittland: Angaben zu der Übermittlung, wie z. B. Name des Drittlands, Umstände und Garantien der Übermittlung
  • Fristen für die Löschung der verschiedenen Kategorien personenbezogener Daten
  • Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen (z. B. Verschlüsselung, Mitarbeiterschulungen, Zugriffsbeschränkungen für Dokumente und sonstige personenbezogene Daten, Anonymisierung)

Artikel 30 der DSGVO fordert außerdem, dass Verarbeitende ein Verzeichnis über alle Datenverarbeitungsvorgänge führen. Die folgenden Angaben sollten in eine solche Dokumentation einfließen: 

  • Name und Kontaktdaten des Datenschutzbeauftragten, falls ein solcher ernannt wurde
  • Name und Kontaktdaten des Verarbeitenden, seiner Verantwortlichen und der Unterauftragsverarbeiter
  • bei etwaiger Übermittlung personenbezogener Daten an ein Drittland: die Kategorien, die im Auftrag des Verantwortlichen verarbeitet werden, Angaben zu der Übermittlung, wie z. B. Name des Drittlands, Umstände und Garantien der Übermittlung
  • Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen (z. B. Verschlüsselung, Personalschulungen, Zugriffsbeschränkungen für Dokumente und sonstige personenbezogene Daten, Anonymisierung)

Ist die Rechtsgrundlage für die Verarbeitung der Daten ein „berechtigtes Interesse“ (Art. 6 DSGVO), sollte dieses zusammen mit einer Beschreibung der konkreten Interessen im Verzeichnis von Verarbeitungstätigkeiten angeführt werden.

Wenn das Hinzufügen von Informationen, die nicht in den oben aufgeführten Anforderungen enthalten sind, den Überblick über die Verarbeitungstätigkeiten und die Einhaltung der Vorschriften erleichtert, ist dies unbedingt empfehlenswert.

Was ist bei der Datenverarbeitung in einem Drittland zu beachten?

Wenn die Daten in einem Drittland verarbeitet werden – ob intern im Unternehmen oder von einem externen Dienstleister –, müssen Sfie den Empfänger ausnahmsweise konkret namentlich benennen. Eine Nennung der Kategorie – wie z. B. IT-Administrator – reicht also nicht aus.

Dabei ist zu prüfen, ob für das Drittland ein Angemessenheitsbeschluss (nach Art. 45 DSGVO) oder geeignete Garantien (nach Art. 46 DSGVO) vorliegen. Dadurch soll das Datenschutzniveau auch in diesen Fällen gewährleistet werden.

Wie kann der DSB bei der Erstellung des VVT unterstützen?

Der Datenschutzbeauftragte kann im Wesentlichen zwei Wege beschreiten, um das Verzeichnis von Verarbeitungstätigkeiten zu erstellen:

1. Sich selbst ein Bild machen

Der Datenschutzbeauftragte sollte sich zuerst selbst einen Einblick in alle Prozesse verschaffen. Dazu hat er die Befugnis und ihm muss dabei auch Auskunft erteilt werden. Am besten kontaktiert er jede Abteilung und lässt sich dort den Umgang mit personenbezogenen Daten erklären. Mögliche Standardfragen dabei lauten unter anderem: „Was macht ihr genau?“, „Wer arbeitet hier?“, „Welche Programme nutzt ihr?“ oder: „Von wem bekommt ihr die Daten und wo schickt ihr sie anschließend hin?“

2. Gezielt Unterstützung anfordern

Natürlich kann der Datenschutzbeauftragte die einzelnen Abteilungen auch um Mithilfe und Aufbereitung der Informationen bitten. Er muss sicher nicht mit jedem Mitarbeiter einzeln sprechen. Ziel ist, dass er einen detaillierten Überblick über das Geschehen im Unternehmen und die Verarbeitung der Daten erhält. Dabei kann es sinnvoll sein, sich von externen Beratern unterstützen zu lassen, da diese vorhandene Prozesse oft genauer hinterfragen, gängige Problemfelder kennen und außerdem nicht „betriebsblind“ sind und Problemfelder kennen. Wie Ihnen ein externer Datenschutzbeauftragter helfen kann, erfahren Sie hier im Detail. 

 

Weshalb sollte das VVT kontinuierlich aktualisiert werden?

Es ist wichtig, das Verzeichnis jederzeit auf dem aktuellen Stand zu halten, damit es alle Arbeitsschritte widerspiegelt. Falls etwas schiefläuft, können so alle, die darauf zugreifen müssen, genau nachvollziehen, was passiert ist, und die notwendigen Maßnahmen zur Vermeidung künftiger Fehler einleiten. 

Sollte das Verzeichnis nicht deutlich und strukturiert geführt und nicht regelmäßig aktualisiert werden, nähme es viel Zeit und Mühe in Anspruch, die Dinge wieder zurechtzurücken.

VVT: großer Aufwand oder große Chance?

Die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten ist aufwendig – das fertige Dokument kann schon mal 80 Seiten lang werden. Aber das sollte Sie nicht abschrecken. Denn viele Dokumente, die bereits vorliegen, müssen nicht neu erstellt werden, sondern fließen in das Verzeichnis mit ein, wie zum Beispiel das Datenschutzkonzept oder die technischen und organisatorischen Maßnahmen.

Chancen nutzen – Prozesse auf den Prüfstand stellen

Außerdem sollte der Blick statt auf den Aufwand eher darauf gerichtet werden, welche Chancen sich durch die Erstellung bieten. Denn durch das VVT sind Sie gezwungen, sich alle Prozesse im Unternehmen einmal zu vergegenwärtigen. Für manche Unternehmen ist es das erste Mal, dass sie genau hinschauen, wie eigentlich personenbezogene Daten im Betrieb verarbeitet werden.

Dieser genaue Blick gibt Ihnen deshalb die Chance, Ihre Prozesse zu hinterfragen und zu optimieren. Sind die Prozesse noch zeitgemäß, oder wird etwas nur so gemacht, weil es immer schon so gemacht wurde? Vielleicht finden Sie also durch das VVT heraus, dass der eine oder andere Empfänger von Daten diese gar nicht braucht, oder dass ein bestimmter Prozess ineffizient ist.

Gut gerüstet für alles, was kommt

Wenn Sie das Verzeichnis von Verarbeitungstätigkeiten erstellt haben, werden Sie genau wissen, wie und welche personenbezogenen Daten in Ihrem Unternehmen verarbeitet werden. Zum Beispiel können dadurch Betroffenenanfragen schneller geklärt werden. So haben Sie das Verzeichnis immer in der Schublade, wenn die Aufsichtsbehörde anklopft. Ein weiterer Vorteil ist, dass Sie die aufbereiteten Informationen nur noch aktualisieren müssen, wenn sich Ihre Verarbeitungsvorgänge ändern sollten.

Fazit

Das Verzeichnis der Verarbeitungstätigkeiten ist Pflicht. Natürlich macht es erst einmal viel Arbeit, bietet dann aber auch einen gewissen Mehrwert. Es liefert die vorgeschriebene Zusammenfassung und Sie entwickeln eine Sensibilität für den Umgang mit personenbezogenen Daten. Es dient daher letztendlich nicht nur der Nachweispflicht gegenüber den Behörden.

Sie brauchen Unterstützung bei der Erstellung des VVT? Wir stehen Ihnen gerne für eine kostenlose Erstberatung zur Verfügung.

 

Image CTA Expert Male 1 Image CTA Expert Male 1

On-Demand-Webinar zur Einführung in das VTT

Schauen Sie sich unser kostenloses On-Demand-Webinar an und erhalten Sie einen ganzheitlichen Überblick über das VVT. 

Über den Autor

Boris Otterbach Boris Otterbach
Boris Otterbach

Principal Privacy

Boris Otterbach ist Jurist und zertifizierter Datenschutzbeauftragter. Bei DataGuard unterstützt er als Berater Kunden vorwiegend aus den Bereichen Personalwesen, Hotel und Gastronomie. Darüber hinaus leitet er als Principal ein Team von Juristen und Fachexperten. Bereits während seines Studiums beschäftigte er sich vertieft mit den Bereichen Europarecht, Völkerrecht und Menschenrechtsschutz. Dabei war auch das Thema Datenschutz ein zentraler Aspekt. Für Boris steht die DS-GVO für gemeinsame europäische Rahmenbedingungen, damit alle Menschen denselben Schutz erfahren – und diese Rahmenbedingungen möchte er mit pragmatischen, alltagsfähigen Lösungen befüllen. Vor seiner Beschäftigung bei DataGuard konnte er in verschiedenen Unternehmen vertiefte Erfahrungen im Bereich des Datenschutzes sammeln: Dabei war er unter anderem bei einem großen Finanzdienstleister und einer international engagierten Werbeagentur tätig.

Mehr Artikel ansehen

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile auf einen Blick

  • Datenschutz, Informationssicherheit und Compliance aus einer Hand
  • Individuelle Beratung durch qualifizierte Experten – ganz ohne Fachjargon
  • Zeitsparende Technologie zur Automatisierung repetitiver Aufgaben
  • Faire und transparente Preise für optimale Planbarkeit und Budgetierung

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Externer Informationssicherheitsbeauftragter (ISB) oder Expertenbetreuung auf Augenhöhe
  • Persönlicher Ansprechpartner
  • Vorbereitung auf Ihre Zertifizierung nach ISO 27001 & TISAX®️
  • 100+ Experten aus Recht, Wirtschaft & IT
 

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Jetzt Termin vereinbaren

ODER RUFEN SIE UNS AN:(089) 8967 551 000