28. Januar 2016 - Oft vernachlässigt, aber ein wichtiges Instrument

Verfahrensverzeichnis – Hintergründe, Ausgestaltung, Nutzung

Dafür, dass sich der Begriff nicht einmal im BDSG findet, macht das Verfahrensverzeichnis in der Praxis erstaunlich viele Probleme. Nicht selten fehlt es im Unternehmen ganz. Und wenn ein Verfahrensverzeichnis vorhanden ist, genügt der Inhalt oft nicht den gesetzlichen Vorgaben. Bevor der DSB deshalb ein schlechtes Gewissen bekommt, sollte er bedenken, dass nicht er, sondern das Unternehmen dieses Verzeichnis erstellen muss. Auf die Frage, was das Verfahrensverzeichnis enthalten muss, sollte er jedoch schon im Interesse seines professionellen Ansehens sofort antworten können.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation Das Verfahrensverzeichnis fehlt immer noch in vielen Unternehmen (Bild: Mathias Rosenthal / iStock / Thinkstock)

Das völlige Fehlen des Verfahrensverzeichnisses bzw. dessen mangelhafte Ausgestaltung nimmt auf der Hitliste der häufigsten Mängel, die die Datenschutz-Aufsichtsbehörden feststellen, oft der vorderem Plätze ein.

Ein Blick ins BDSG gibt einen ersten Hinweis, woran das liegen könnte: Die gesetzliche Regelung ist benutzerunfreundlich und arbeitet mit mehreren Verweisungen, die die Verständlichkeit der Vorschrift zusätzlich erschweren.

Der Begriff „Verfahrensverzeichnis“ selbst steht nicht im BDSG

Das Stichwort „Verfahrensverzeichnis“ taucht im BDSG überhaupt nicht auf. Die Rede ist dort in § 4g Abs. 2 vielmehr von einer „Übersicht über die in § 4e Satz 1 genannten Angaben sowie über zugriffsberechtigte Personen“.

Der gemeinsame Nenner sind automatisierte Verfahren

Versucht man, die neun in diesem § 4e Satz 1 detailliert aufgezählten Punkte unter einen Oberbegriff zu fassen, so gelangt man rasch zu dem Schluss, dass sie sich alle um die automatisierten Verfahren drehen, die in einem Unternehmen eingesetzt werden.

Das ist der Grund dafür, warum sich für das im Gesetz erwähnte „Verzeichnis“ in der Praxis und auch in der Datenschutzliteratur die exaktere Bezeichnung „Verfahrensverzeichnis“ durchgesetzt hat.

Der DSB muss das Verfahrensverzeichnis nicht selbst erstellen!

Viele Datenschutzbeauftragte meinen irrtümlich, sie müssten ein solches Verzeichnis selbst erstellen. Diesen Irrtum bestärkt die Überschrift des § 4g BDSG, in dessen Absatz 2 das Verfahrensverzeichnis geregelt ist. Die Überschrift lautet: „Aufgaben des Beauftragten für den Datenschutz“.

Analysiert man den maßgeblichen Absatz 2 der Vorschrift näher, zeigt sich jedoch Folgendes:

  1. Nach § 4g Abs. 2 Satz 1 BDSG hat die verantwortliche Stelle – also das Unternehmen – dem DSB diese Übersicht zur Verfügung zu stellen.
  2. Die gesetzliche Aufgabe des Datenschutzbeauftragen in Bezug auf das Verfahrensverzeichnis erschöpft sich darin, dass er das Verzeichnis „auf Antrag jedermann in geeigneter Weise verfügbar“ machen muss (§ 4g Abs. 2 Satz 2 BDSG)!

Falls ein Unternehmen keinen Datenschutzbeauftragten bestellen muss, braucht es übrigens trotzdem ein Verfahrensverzeichnis und muss es auf Anfrage auch jedermann zugänglich machen – jedenfalls in der Theorie (siehe dazu § 4g Abs. 2 Satz 3).

Fordern Sie das Unternehmen zur Übergabe eines Verfahrensverzeichnisses auf­

Findet der Datenschutzbeauftragte also zu Beginn seiner Tätigkeit ein solches Verzeichnis überhaupt nicht oder nur in mangelhafter Qualität vor, genügt es formal betrachtet, dass er die Unternehmensleitung darauf hinweist – aus Beweisgründen am besten schriftlich –, und darum bittet, ihm das gesetzlich vorgeschriebene Verzeichnis zur Verfügung zu stellen.

Die Erstellung kann erheblichen Aufwand verursachen

Oft wird man ihm dann antworten, er möge doch ein Verfahrensverzeichnis selbst erstellen. Ob er sich darauf einlässt, will gut überlegt sein. Zu seinen gesetzlichen Aufgaben gehört es jedenfalls nicht. Und wenn er es als Zusatzaufgabe übernimmt, sollte er darauf bestehen, dass er auch die nötige personelle Unterstützung erhält.

Den Aufwand, der entsteht, sollte man nicht unterschätzen. Es wird nämlich zumindest nötig sein, im gesamten Unternehmen mit strukturierten Fragebögen festzustellen, welche Verfahren vorhanden sind. Dabei sind jeweils die gesetzlich vorgeschriebenen Angaben zu den Verfahren zu erheben.

Inhalt internes und öffentliches Verfahrensverzeichnis
Internes Verfahrens­verzeichnis:

  • Name und Anschrift der verantwortlichen Stelle
  • Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen
  • Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung
  • Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien
  • Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können
  • Regelfristen für die Löschung der Daten
  • geplante Datenübermittlung in Drittstaaten
  • allgemeine Beschreibung der Sicherheitsmaßnahmen (mit zugriffsberechtigten Personen oder Kategorien von Personen), die es ermöglicht, die Sicherheit der Datenverarbeitung einzuschätzen

Öffentliches Verfahrensverzeichnis:

Im öffentlich zugänglichen Verfahrensverzeichnis fehlen die internen verfahrensbezogenen Angaben, insbesondere die zugriffsberechtigten Personen und Angaben über Sicherheitsmaßnahmen.

Doch das Verfahrensverzeichnis hat klare Vorteile

Der Aufwand lohnt sich jedoch gleich in mehrfacher Hinsicht. Denn ein Verfahrensverzeichnis

  • hilft dem DSB bei der Kontrolle der Einhaltung der Vorschriften über den Datenschutz,
  • ist ein wichtiges Hilfsmittel zur Wahrnehmung der Betroffenenrechte, z.B. bei der Auskunft über gespeicherte Daten, der Berichtigung oder Löschung und Sperrung von personenbezogenen Daten, und
  • unterstützt auch die Aufsichtsbehörde, wenn sie im Rahmen einer Kontrolle die Rechtmäßigkeit der Datenerhebung, -verarbeitung oder -nutzung überprüfen soll.

Der prozessorientierte Ansatz liefert Struktur und Überblick

Ob der DSB selbst in die Erstellung des Verfahrensverzeichnisses einbezogen ist oder nicht – er sollte ein möglichst strukturiertes und prozessorientiertes Vorgehen empfehlen.

Schritt für Schritt wird so das Verfahrensverzeichnis entwickelt, ohne sich in den vielfältigen Abläufen der automatisierten Datenverarbeitung zu verlieren:

  1. Definition und Aufbau eines Meldewegs über die Einführung neuer oder die Änderung bestehender Verfahren durch die verantwortliche Stelle bzw. die entsprechend beauftragte Stelle wie IT-Leitung, Einkauf oder Systemadministration
  2. Strukturierte Aufnahme der Informationen zu neuen oder geänderten Verfahren mithilfe eines Registers/einer Datenbank mit Kurzbeschreibung des Anwendungsverfahrens (Datenverarbeitungszweck), benötigte Datenkategorien und Datenbestände (wie Adressdaten, Lohn- und Gehaltsdaten, Bonitätsdaten, Qualifikationsdaten, Gesundheitsdaten), Sensibilität der Daten (besonderer Schutzbedarf), betroffene Personen und Personengruppen, Verfügbarkeitsanforderung, die für den ordnungsgemäßen Verfahrensablauf verantwortlichen Personen, die benötigte Hard- und Software
  3. Untersuchung des Datenflusses (Woher kommen die Daten, wo werden sie durch wen verarbeitet, an wen gehen sie?)
  4. Prüfung der Grundlagen der Datennutzung und Datenspeicherung
  5. Untersuchung, wer zu den Datenverarbeitern gehört und wer ggf. unbefugt Zugang zu den Daten erhalten könnte
  6. Durchführung einer Risikoanalyse zu den neuen oder geänderten Verfahren (bekannte Risiken, festgestellte Schwachstellen, Bewertung der Eintrittswahrscheinlichkeit und des möglichen Schadens)
  7. Prüfung der verfügbaren und tatsächlich eingesetzten Maßnahmen (nach Anlage zu § 9 BDSG)
  8. Prüfung zur Umsetzung der Aufbewahrungspflichten und Löschfristen

Ein Zwangsgeld ist möglich, ein Bußgeld dagegen nicht

Wenn das Verfahrensverzeichnis fehlt oder Mängel aufweist, kann die Datenschutzaufsicht übrigens kein Bußgeld verhängen. Die Bußgeldvorschrift des § 43 BDSG zählt solche Verstöße nämlich nicht auf. Seit der Neufassung des BDSG ist es der Aufsichtsbehörde jedoch möglich, die Erstellung eines Verfahrensverzeichnisses anzuordnen (siehe § 38 Abs. 5 Satz 1 BDSG).

Befolgt das Unternehmen die Anordnung nicht, kann die Aufsicht nach den jeweiligen landesrechtlichen Vorschriften über den „Verwaltungszwang“ ein Zwangsgeld verhängen. Es kann mehrere tausend Euro betragen. Meist wird es die Aufsichtsbehörde danach bemessen, welchen Aufwand sich das Unternehmen bisher erspart hat.

Strukturiertes Vorgehen spart Ärger

Wie am Beispiel des Verfahrensverzeichnisses deutlich wird, sorgt ein strukturiertes Vorgehen also nicht nur für die notwendige Vollständigkeit und den richtigen Überblick. Ein Unternehmen kann sich auch viel Ärger ersparen. Das WEKA-Werk „Der Verfahrensverzeichnis-Manager“ zeigt, wie es geht!

Dr. Eugen Ehmann, Oliver Schonschek

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln