3. Dezember 2008 - Eine ungeliebte Verpflichtung

Datenschutzgerechtes Verfahrensverzeichnis – so geht’s

Sowohl erfahrene Datenschutzbeauftragte als auch Einsteiger stehen immer wieder vor der Frage, welche Punkte sie beim Führen eines Verfahrensverzeichnisses und beim Auskunftsrecht der Betroffenen beachten müssen. Viele fürchten den damit verbundenen Aufwand – doch wenn Sie einige Punkte beachten, lässt sich ein Verfahrensverzeichnis in überschaubarer Zeit anlegen.

datenschutzgerechte-verfahrensverzeichnisse-so-gehts.jpeg
Sie sind verpflichtet, ein Verfahrensverzeichnis zu führen und darüber Auskunft zu geben (Foto: aboutpixel.de/Auskunft © Rainer Sturm).

Das BDSG verlangt in § 4g Abs. 2, dass betriebliche und behördliche DSBs ein Verzeichnis führen müssen, das die eingesetzten automatisierten Verfahren erfasst, mit denen personenbezogene Daten verarbeitet werden.

Der Arbeitgeber ist für das Verfahrensverzeichnis verantwortlich!

Dies bedeutet aber nicht, dass Sie als Datenschutzbeauftragter für die Erstellung des Verfahrensverzeichnisses verantwortlich sind. Diese Verpflichtung verbleibt bei Ihrem Arbeitgeber – Sie führen lediglich das Verzeichnis.

Das BDSG schweigt zum „Wie“

Allerdings enthält das BDSG keine Angaben über die Art und Weise, wie Sie das Verfahrensverzeichnis führen müssen.

Verunsicherung bei den DSBs

Dies führt dazu, dass entweder viele Datenschutzbeauftragte gar kein Verfahrensverzeichnis führen oder die Verfahrensbeschreibungen nicht den gesetzlichen Anforderungen entsprechen.

Sinn und Zweck des Verfahrensverzeichnisses

Das Verfahrensverzeichnis im Datenschutz stellt eine Sammlung aller Verfahrensbeschreibungen der bei der öffentlichen oder nicht-öffentlichen Stelle aktuell eingesetzten automatisierten Verfahren dar.

Mithilfe des Verfahrensverzeichnisses müssen die Daten verarbeitenden Stellen also dokumentieren,

  • welche personenbezogenen Daten sie
  • zu welchem Zweck
  • mithilfe welcher automatisierten Verfahren und
  • auf welche Weise erheben, verarbeiten oder nutzen und
  • welche Datenschutz- und Datensicherheitsmaßnahmen dabei von ihnen beachtet und getroffen werden.

Ein Verfahrensverzeichnis soll die Datenverarbeitung sowohl nach innen als auch nach außen transparent machen. Gleichzeitig dient es der besseren Überwachbarkeit eines Unternehmens, z.B. durch die Aufsichtsbehörden.

Ein Verfahren ist ein Bündel von Verarbeitungen
Wann kann überhaupt von einem Verfahren gesprochen werden? Ist jedes selbst geschriebene Programm und jede käuflich erworbene Software bereits ein Verfahren?

Gemäß der Begründung zu Art. 18 EG-Datenschutzrichtlinie ist ein Verfahren ein Bündel von Verarbeitungen, die über eine vom Verantwortlichen definierte Zweckbestimmung verbunden sind
Ein Verfahren kann somit aus mehreren Verarbeitungen (oder Programmen) bzw. Verarbeitungsgruppen bestehen. Beispiel: ein Personalverwaltungsverfahren. In das Verfahrensverzeichnis sind daher nicht die einzelnen Verarbeitungen oder Programme aufzunehmen, sondern ausschließlich Verfahren.

Der Arbeitgeber ist beim Verfahrensverzeichnis in der Pflicht

Die Angaben zu den automatisierten Verfahren (Verfahrensbeschreibungen) sowie über die zugriffsberechtigten Personen und die zu realisierenden Sicherheitsmaßnahmen sind dem eigenen Datenschutzbeauftragten gemäß § 4g Abs. 2 Satz 1 i.V.m. § 4e Satz 1 BDSG von der verantwortlichen Stelle zur Verfügung zu stellen.

Es sei daher an dieser Stelle betont, dass es nicht Ihre Aufgabe als DSB ist, sich aus den einzelnen Fachabteilungen die erforderlichen Informationen zu besorgen.

Eine Ergänzung der Angaben im Verfahrensverzeichnis ist jederzeit möglich

Da es sich um gesetzlich vorgeschriebene Mindestanforderungen handelt, können die Angaben im Verfahrensverzeichnis natürlich noch um weitere – z.B. von Ihnen als DSB als erforderlich angesehene – Angaben ergänzt werden.

Auftragsdatenverarbeitung im Verfahrensverzeichnis berücksichtigen

Vielen Daten verarbeitenden Stellen ist nicht bekannt, dass in das Verfahrensverzeichnis auch alle Verfahren aufgenommen werden müssen, die im Rahmen einer Auftragsdatenverarbeitung zum Einsatz kommen.

Achten Sie also darauf, dass Ihnen auch eine Beschreibung dieser Verfahren zur Verfügung gestellt wird.

Einsichtsrecht für jedermann ins Verfahrensverzeichnis

Der Gesetzgeber schreibt vor, dass gemäß § 4g Abs. 2 Satz 2 BDSG das Verfahrensverzeichnis auf Antrag von jedermann beim behördlichen oder betrieblichen DSB in der Regel kostenfrei eingesehen werden kann.

Wer ist „jedermann“?

Der Begriff „jedermann“ ist weit zu fassen. Darunter fällt nicht nur der Betroffene. Ein Verfahrensverzeichnis muss so geführt werden, dass es wirklich jeder auf Wunsch auch ohne Nachweis eines berechtigten Interesses einsehen kann – nicht nur Kunden oder Mitarbeiter.

Juristische Personen sind nicht „jedermann“, da sie nicht unters BDSG fallen

Allerdings fallen juristische Personen nicht unter den Begriff „jedermann“.

Laut § 1 Abs. 1 BDSG sollen Einzelne davor geschützt werden, dass sie durch den Umgang mit ihren personenbezogenen Daten in ihrem Persönlichkeitsrecht beeinträchtigt werden, nicht ganze Gruppen.

So machen Sie ein Verfahrensverzeichnis in geeigneter Weise verfügbar

Unter dem Begriff „in geeigneter Weise verfügbar zu machen“ fallen nicht nur schriftliche Auskünfte. Denkbar ist auch eine mündliche Auskunft oder die Möglichkeit zur Einsichtnahme vor Ort.

Kopien oder Formulare sind ebenso möglich wie mündliche Auskünfte

Die Einsichtnahme kann auch durch Übergabe einer Kopie der ausgefüllten Verfahrensbeschreibungen oder eines eigens dafür entwickelten Formulars an den Interessierten erfolgen.

Ein Online-Zugriff auf das Verfahrensverzeichnis ist ebenfalls denkbar

Auch eine Veröffentlichung des Verfahrensverzeichnisses im Internet ist denkbar. So können Interessierte online darauf zugreifen.

Es besteht keine Verpflichtung, das Verzeichnis einem Interessenten zuzusenden, wenn er es auch auf andere Weise zur Kenntnis nehmen kann.

Im öffentlichen Verfahrensverzeichnis keine Firmengeheimnisse weitergeben

Achten Sie außerdem darauf, dass Ihr öffentliches Verfahrensverzeichnis nicht zu detailliert ist, damit keine Firmeninterna bekannt werden.

So sollten die Angaben zu den Sicherheitsmaßnahmen und den zugriffsberechtigten Personen nicht dem öffentlichen Verfahrensverzeichnis beigefügt werden.

Die Angaben im öffentlichen Verfahrensverzeichnis sind auf die in § 4e Nr. 1–8 BDSG genannten Angaben zu beschränken.

Das muss ins Verfahrensverzeichnis!
Sofern Verfahren automatisierter Verarbeitungen meldepflichtig sind, sind folgende Angaben zu machen:

  • Name oder Firma der verantwortlichen Stelle,
  • Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
  • Anschrift der verantwortlichen Stelle,
  • Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
  • eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
  • Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
  • Regelfristen für die Löschung der Daten,
  • eine geplante Datenübermittlung in Drittstaaten,
  • eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.

Unterscheiden Sie zwischen öffentlichem und internem Verfahrensverzeichnis

Alle weiteren Angaben, insbesondere die Beschreibung der Sicherheitsmaßnahmen, sollen lediglich Bestandteil der Verfahrensbeschreibungen eines internen Verfahrensverzeichnisses sein.

Wann Sie Geld für die Auskunft verlangen dürfen

Die Einsicht müssen Sie in der Regel kostenfrei gewähren. Ausnahmen davon sind denkbar, wenn ein Antragsteller die Auskunft in einer speziellen Form wünscht.

Auch die Aufsichtsbehörden haben ein Einsichtsrecht ins Verfahrensverzeichnis

Natürlich haben auch die Datenschutzaufsichtsbehörden im Rahmen ihrer Kontrollkompetenz ein Einsichtsrecht in das Verfahrensverzeichnis einer Daten verarbeitenden Stelle.

Ohne DSB ist der Leiter verantwortlich

Sofern kein Datenschutzbeauftragter bestellt ist, obliegt die Verpflichtung, das Verfahrensverzeichnis verfügbar zu machen, dem Leiter der nicht-öffentlichen Stelle.

Udo Höhn
Udo Höhn ist Referent im Sachgebiet „Technik und Organisation“ beim Bayerischen Landesbeauftragten für Datenschutz.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln