Ja, das ist nicht der Job von Datenschutz-Beauftragten im Sinne von Art. 39 DSGVO.
Die praktische Erfahrung wird so manchen aber schon etwas anderes gelehrt haben. Wenn der DSB nicht zumindest einen Entwurf erstellt, wird es nicht gemacht oder nur irgendwas zusammen kopiert.
Und da kann es sich nach Ansicht des OLG München (OLG München, Beschluss v. 03.03.2023 – 6 W 1491/22) sogar in Richtung Urheberrecht bewegen!
Kostenpflichtig geht alles
Richtig schön haben es da die DSBs, die ein professionelles Datenschutz-Managementsystem benutzen. Wenn das Verarbeitungsverzeichnis sauber gepflegt ist, kann man Datenschutz-Hinweise für die unterschiedlichen Verarbeitungen bzw. Betroffenen-Kategorien im besten Fall auf Knopfdruck erstellen.
Aber viele DSBs (oder Verantwortliche) kommen eben nicht in den Genuss einer solchen Software(-Plattform) und stehen vor der Herausforderung, Datenschutzhinweise „per Hand“ zu erstellen.
Klar – es gibt Generatoren. Ich habe auch bereits diese Möglichkeit für Webseiten von Kunden genutzt und 100 Euro bei Dr. Schwenke (externer Link, Dr. Schwenke) gelassen. Ist es auch wert, meiner persönlichen Meinung nach (und ich bekomme keine Provision oder so etwas für diese Aussage!).
Nur passen Generatoren nicht für alle Fälle, sind oft speziell auf Webseiten ausgerichtet, es ändern sich häufig Verarbeitungen, Verantwortliche wollen kein Geld für ein Jahres-Abo ausgeben, die eigene Verarbeitung ist so speziell, dass sie im Generator nicht enthalten ist, etc.
Also gehen wir mal von einer größtenteils manuellen Erstellung aus.
Mit Copy/Paste Zeit sparen
Der Datenschutz-Experte (oder die Expertin) wird bereits festgestellt haben, dass sich die Anforderungen an die Informations-Pflichtangaben nach Art. 13 DSGVO mit denen an ein Verarbeitungsverzeichnis (VVT) nach Art. 30 DSGVO überschneiden.
Wenn man nun den pragmatischen Ansatz verfolgt, erstellt man seine (Einzel-)VVTs so, dass die Angaben für die Pflichtinformationen nach Art. 13 DSGVO zuerst eingetragen werden und danach die noch zusätzlich erforderlichen nach Art. 30 DSGVO.
Die Reihenfolge dürfte den Aufsichtsbehörden herzlich egal sein, Hauptsache es ist alles Erforderliche enthalten.
Bei der Erstellung des VVT für die Verarbeitungen kann man gleich die Formulierung für Datenschutzhinweise mitdenken.
Die Pflichtangaben-Module für Art. 13/14 kann man per copy/paste einfach für die Datenschutzhinweise verwenden. Wenn eine neue Verarbeitung dazu kommt oder sich eine ändert, dann nimmt man das neue bzw. geänderte Modul der Pflichtangaben aus dem VVT und ersetzt das alte in den Datenschutz-Hinweisen.
Und die gleich bleibenden Bestandteile der Datenschutzhinweise wie Betroffenenrechte, etc. kann man als „Rumpf-Vorlage immer wieder verwenden.
Mit Vorlagen Zeit sparen!
Also – ran an die Arbeit und das VVT umbauen!
Oder einfach meine Vorlage nutzen. Ich habe mir die Arbeit gemacht, eine entsprechende VVT-Vorlage und eine Anleitung zu den Datenschutz-Hinweisen per copy/paste dazu zu erstellen, die man hier finden kann (kostenpflichtig, 15 Euro netto, datenschutzdocs.de).