10. August 2009 - Verfahrensverzeichnis: Was muss drinstehen?

Internes und öffentliches Verfahrensverzeichnis

„Jedermann-Verzeichnis“, Verfahrens- oder Verarbeitungsübersicht, internes und öffentliches Verfahrensverzeichnis, … Die Begriffsvielfalt – und die Verwirrung – ist groß, wenn es um die Erfassung der Verfahren geht, bei denen automatisiert personenbezogene Daten verwendet werden. Dabei kann man die Sache auch einfacher angehen.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Jedes Unternehmen hat zunächst grundsätzlich seine Verfahren automatisierter Verwendung von Daten mit bestimmten Angaben zu erfassen und in ein Verfahrensverzeichnis (auch Verfahrensregister) aufzunehmen.

Die verantwortliche Stelle muss dem DSB dieses Verzeichnis zur Verfügung stellen.

So kann der betriebliche Datenschutzbeauftragte bzw. die Aufsichtsbehörde die Problempunkte erkennen, bei denen aus Sicht des Datenschutzes Handlungsbedarf bestehen könnte.

Das gehört ins Verfahrensverzeichnis

In das Verfahrensverzeichnis müssen folgende Angaben aufgenommen werden:

  1. der handelsrechtlich korrekte Name des Unternehmens
  2. Angaben über den Inhaber oder Geschäftsleiter des Unternehmens sowie den IT-Leiter
  3. die Anschrift des Unternehmens
  4. die einzelnen Zwecke der Datenerhebung und -verwendung, also die verschiedenen Verfahren der Datenverwendung
  5. eine gattungsmäßige Beschreibung der Personen, deren Daten verwendet werden (beispielsweise Interessenten), und der von ihnen erhobenen und zu verwendenden Daten
  6. die möglichen Empfänger, denen die Daten mitgeteilt werden sollen
  7. die Frist, in denen die Daten mit Rücksicht auf gesetzliche Vorschriften wieder gelöscht werden sollen
  8. eine geplante Datenübermittlung in Drittstaaten, also in Länder außerhalb der EU und des EWR
  9. eine allgemeine Beschreibung, die es ermöglicht zu beurteilen, ob die Datensicherheitsmaßnahmen (Datensicherung) angemessen sind

Öffentliches Verfahrensverzeichnis: Kein gesondertes Verzeichnis

Mit dem Begriff des öffentlichen Verfahrensverzeichnisses ist auf den Umstand verwiesen, dass die Angaben des Verfahrensverzeichnisses von Ziffer 1 bis 8 auf Anfrage jedermann zugänglich gemacht werden müssen.

Die Angaben aus dem öffentlichen Verfahrensverzeichnis stellen einige Unternehmen freiwillig und gekürzt auf ihrer Homepage ein.

Warum die Unterscheidung in internes und öffentliches  Verfahrensverzeichnis?

Die Unterscheidung zwischen einem internen und einem öffentlichen Verfahrensverzeichnis kommt aus zweierlei Gründen zustande:

  1. Zu den Angaben des Verfahrensverzeichnisses, die auf Anfrage jedermann zur Verfügung zu stellen sind (= öffentliches Verfahrensverzeichnis), gehören nicht die Angaben zu den Datensicherheitsmaßnahmen (Ziffer 9).
  2. Zudem gehen die tatsächlich gemachten Angaben, die dem betrieblichen Datenschutzbeauftragten zur Verfügung zu stellen sind, über die Anforderungen des gesetzlichen Verfahrensverzeichnisses hinaus. Denn nur mit dem notwendigen Hintergrund der Verfahren wird der betriebliche Datenschutzbeauftragte in die Lage versetzt, die notwendigen datenschutzrechtlichen Beurteilungen vorzunehmen.

Öffentliches Verfahrensverzeichnis: besser nicht nur das gesetzliche Minimum erfüllen

Um einzelne Nachfragen zu vermeiden, ist es vorteilhaft und praktisch, wenn der betriebliche Datenschutzbeauftragte Verfahrensbeschreibungen erhält, die über die minimalen Anforderungen des Gesetzes hinausgehen.

Es ist beispielsweise sinnvoll, bei den einzelnen Abteilungen nachzufragen, ob die Abteilung eigene Homepages betreibt und dort die gesetzlich notwendigen Angaben aufgenommen hat.

Dr. Eugen Ehmann

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln