Sofern Sie einen Prozess planen, in dessen Rahmen personenbezogene Daten verarbeitet werden, empfiehlt es sich, den externen Datenschutzbeauftragten darüber zu informieren und möglichst viele Informationen zum konkreten Kontext mitzuteilen. Sie erreichen den Datenschutzbeauftragten unter datenschutz@fu-berlin.de. 

Wichtig sind dabei folgende Informationen:

• Welche personenbezogenen Daten werden verarbeitet?
• Wessen personenbezogene Daten werden verarbeitet?
• Zu welchem Zweck verarbeiten Sie die Daten?
• Setzen Sie einen Dienstleister bzw. eine Software ein?
• Werden die betroffenen Personen über die Datenverarbeitung informiert?
• Welche Datenströme findet statt?

Vor Ablage der Dokumente und Abschluss der Verträge sollte eine datenschutzrechtliche Prüfung durch den Datenschutzbeauftragten stattfinden. Lassen Sie dem Datenschutzbeauftragten daher immer zumindest die finale Version der folgenden Dokumente zukommen.

• Ein Verzeichnis über die Verarbeitungstätigkeiten (VzV). Dort wird unter anderem festgehalten, wessen Daten auf welcher Rechtsgrundlage zu welchem Zweck verarbeitet werden und wie lange Sie die Daten aufbewahren dürfen.
• Eine Liste der technisch-organisatorischen Maßnahmen zum Schutz der Daten (meist als Anhang oder Referenz zum VzV).
• Wenn ein neuer Datenverarbeitungsprozess angelegt wird, auf den die betroffenen Personen nicht bereits im Datenschutzhinweis hingewiesen werden, muss dieser erstellt oder ergänzt werden.
• Wenn Sie eine Datenverarbeitung auf die Einwilligung der Betroffenen nach Art. 6 Abs. 1 lit. a DSGVO stützen, müssen Sie diese nachweisbar eingeholt haben. Hierzu benötigen Sie eine dokumentierte/dokumentierbare Einwilligungserklärung.
• Einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, falls Sie einen Dienstleister für den neuen Prozess beauftragen. Daneben ist eine Liste der technisch-organisatorischen Maßnahmen des Auftragnehmers und eine Liste der Unterauftragnehmer erforderlich.
• Falls personenbezogene Daten in ein Land außerhalb der EU oder des Europäischen Wirtschaftsraumes (sog. Drittländern) „gesendet“ werden, müssen Garantien nach Artt. 44 ff DSGVO eingehalten werden. Dies können Standardvertragsklauseln, Verweise auf Angemessenheitsbeschlüsse der EU-Kommission oder weitere Garantien sein.

Ein Drittlandtransfer kann bspw. bereits dann vorliegen, falls der Server, auf dem die betroffenen personenbezogenen Daten gespeichert werden, außerhalb der EU oder des EWR steht. Des Weiteren reicht es aus, wenn ein Dienstleister mit Sitz in einem Drittland möglicherweise Zugriff auf die Daten erhalten kann (z.B. über Fernwartung).

• Mithilfe des ausgefüllten VzV (siehe oben) prüft der externe Datenschutzbeauftragte, ob eine sog. Datenschutzfolgeabschätzung nach Art. 35 DSGVO notwendig ist.
• Weitere Dokumente wie einen Vertrag über die Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO oder die Erstellung eines Transfer Impact Assessments können nach Absprache mit dem Datenschutzbeauftragten ebenfalls erforderlich sein.

Die datenschutzrechtlichen Nachweispflichten können nur eingehalten werden, wenn bekannt ist, wo die Dokumentation abgelegt ist. Die Ablage der Dokumente und Verträge findet in Verantwortung der einzelnen Projektleiter statt.