Wer sollte bei Schwachstellen im Verfahrensverzeichnis-Audit welche Maßnahmen ergreifen?

**Die Maßnahmen muss nicht der Rechtsdienstleister „ergreifen“, sondern der jeweils zuständige interne Verantwortliche; der externe Dienstleister identifiziert, bewertet, priorisiert und begleitet höchstens die Umsetzung.** Die datenschutzrechtliche Verantwortung bleibt beim Verantwortlichen, also beim Unternehmen bzw. der zuständigen Leitung, nicht beim Berater. Art. 30 DSGVO verpflichtet zur Führung des Verzeichnisses von Verarbeitungstätigkeiten, und auch mit externer Unterstützung kann diese Pflicht nicht ausgelagert werden. ([bfdi.bund.de](https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO6.pdf?__blob=publicationFile&v=34)) ## Wer welche Maßnahmen umsetzt Bei Schwachstellen im Verfahrensverzeichnis-Audit sollte nach Art der Maßnahme getrennt werden: - **Rechtsabteilung / Datenschutzkoordination**: fehlende Rechtsgrundlagen, unklare Zwecke, falsche Löschfristen, unvollständige Angaben im Verzeichnis, fehlende AV-Verträge, unklare Rollenverteilung zwischen Verantwortlichem und Auftragsverarbeiter. ([bfdi.bund.de](https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO6.pdf?__blob=publicationFile&v=34)) - **Fachabteilungen**: inhaltliche Korrektur der tatsächlichen Prozesse, also welche Daten wofür verarbeitet werden, wer Zugriff hat, welche Empfänger beteiligt sind und wie lange Daten real genutzt werden. Das ist wichtig, weil das Verzeichnis nur dann belastbar ist, wenn es die Praxis korrekt abbildet. ([bfdi.bund.de](https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO6.pdf?__blob=publicationFile&v=34)) - **IT / Informationssicherheit**: technische und organisatorische Maßnahmen wie Berechtigungskonzepte, Zugriffsschutz, Verschlüsselung, Backup, Löschroutinen und Protokollierung. Diese Punkte folgen nicht aus dem Verzeichnis selbst, werden dort aber sichtbar, wenn Schutzmaßnahmen fehlen oder nicht zum Risiko passen. ([bfdi.bund.de](https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DokumenteBfDI/AccessForAll/2023/2023_Verzeichnis-Verarbeitungst%C3%A4tigkeiten.pdf?__blob=publicationFile&v=2)) - **Geschäftsführung / Bereichsleitung**: Priorisierung, Ressourcen, Fristen, Freigaben und Eskalation. Genau dort gehört die Entscheidung hin, wenn Schwachstellen Geld, Personal oder Prozessänderungen erfordern. Die Rechenschaftspflicht liegt letztlich auf Leitungsebene. ([bfdi.bund.de](https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO6.pdf?__blob=publicationFile&v=34)) - **Externer Rechtsdienstleister oder externer DSB**: Prüfung, Maßnahmenkatalog, rechtliche Bewertung, Formulierungshilfen, Nachkontrolle. Er kann Empfehlungen aussprechen und die Umsetzung begleiten, aber nicht anstelle des Unternehmens die operative Verantwortung übernehmen. ([haufe.de](https://www.haufe.de/recht/weitere-rechtsgebiete/wirtschaftsrecht/datenschutzbeauftragter/externer-datenschutzbeauftragter_210_626284.html)) ## Der entscheidende Unterschied Ein häufiger Fehler ist, alle Maßnahmen bei der Rechtsabteilung oder beim externen Berater „abzuladen“. Das funktioniert gerade beim Verfahrensverzeichnis nicht, weil die meisten Schwachstellen aus der **gelebten Verarbeitung** kommen, nicht aus dem Dokument selbst. Beispiel: Steht im Verzeichnis eine Löschfrist von 6 Monaten, das System löscht aber tatsächlich gar nicht, dann ist das **kein Dokumentationsfehler allein**, sondern ein Umsetzungsfehler der Fachseite und IT. Genau deshalb müssen Maßnahmen immer dem Prozess-Eigentümer zugeordnet werden, nicht nur dem Juristen. ## Sinnvolle Zuständigkeitsregel Am praktikabelsten ist diese Zuordnung: - **Rechtliche Mängel** → Rechtsabteilung / DSB - **Prozessmängel** → Fachabteilung - **Technische Mängel** → IT - **Steuerung, Budget, Fristen** → Management - **Prüfung und Qualitätssicherung** → externer Rechtsdienstleister Die beste Lösung ist also ein **Maßnahmenplan mit Verantwortlichem, Frist und Priorität pro Schwachstelle**. Ohne diese Zuordnung bleibt ein Auditbericht fast immer folgenlos.