BDSG Verfahrensverzeichnis und Datenschutzgesetz - was muss beachtet werden?

Beitrag von Herrn Rechtsanwalt Dr. Sebastian Kraska und Frau Rechtsanwältin Alma Lena Fritz

04.11.2009 - Nach dem Bundesdatenschutzgesetz (BDSG) werden an den betrieblichen Datenschutz klare Anforderungen gestellt, damit personenbezogene Daten vor unbefugtem Zugriff geschützt werden. Das BDSG sieht in § 4g Abs. 2 BDSG zu diesem Zweck eine Dokumentation der Datenhaltung und eine Überwachung der Rechtmäßigkeit der Datenverarbeitungsvorgänge in Form eines sog. "Verfahrensverzeichnisses" vor, um die Überprüfung des Datenschutzes durch die diversen Kontrollinstanzen zu ermöglichen.

Was ist ein Verfahrensverzeichnis?

Generell kann das betriebliche Verfahrensverzeichnis als Sammlung aller Verfahrensbeschreibungen der bei Unternehmen aktuell eingesetzten automatisierten Verfahren bezeichnet werden. Es soll dabei die Datenverarbeitung sowohl nach innen als auch nach außen transparent gestalten. Gleichzeitig dient es der besseren Überwachung eines Unternehmens durch die Aufsichtsbehörden und die Öffentlichkeit.

Sinn des Verfahrensverzeichnisses ist letztlich der Persönlichkeitsschutz der Betroffenen

Sinn der Regelung in § 4g Abs. 2 BDSG ist es, dem Datenschutzbeauftragten ein erstes verlässliches Bild der konkreten Verarbeitungsbedingungen und ihres organisatorischen Rahmens zu vermitteln. Das Verfahrensverzeichnis dient somit der Vorbereitung der Arbeit des Datenschutzbeauftragten durch die Unternehmensleitung.

Unternehmensleitung ist für das Verfahrensverzeichnis verantwortlich

Gemäß § 4g Abs. 2 BDSG ist es Aufgabe der Unternehmensleitung, das Verfahrensverzeichnis zu erstellen.

Was muss im Verfahrensverzeichnis aufgeführt werden?

Gemäß § 4e BDSG müssen in das Verfahrensverzeichnis die folgenden Angaben aufgenommen werden:

  • Der Name oder die Firma der verantwortlichen Stelle, welche personenbezogene Daten für sich selbst verarbeitet oder durch andere im Auftrag verarbeiten lässt, inklusive der Nennung der Inhaber, Vorstände, Geschäftsführer oder sonstigen gesetzlichen oder nach der Verfassung des Unternehmens berufenen Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen. Zusätzlich muss die Anschrift der verantwortlichen Stelle genannt werden.

 

  • Die Zweckbestimmungen der Datenerhebung, -verarbeitung oder –nutzung; diese muss vorher bestimmt und schriftlich dokumentiert werden (Beispiel „Personalverwaltung“). Tritt eine Änderung des Zwecks ein, so muss auch dies dokumentiert werden.

 

  • Eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien; Zweck ist insoweit eine Abgrenzung hinsichtlich „sensibler Daten“ (§ 3 Abs. 9 BDSG).

 

  • Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können. Zusätzlich sind ergänzende Angaben erforderlich, wenn Daten in Drittstaaten übermittelt werden sollen.

 

  • Regelfristen für die Löschung der Daten. Diese hat die verantwortliche Stelle bei der Festlegung der Verarbeitungszwecke zu treffen.

 

  • Eine allgemeine Beschreibung die es ermöglicht zu beurteilen, ob die Maßnahmen nach § 9 BDSG („Technische und organisatorische Maßnahmen“) zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.

 

  • Anmerkung: Gemäß § 4g Abs. 2 S. 1 BDSG muss dem betrieblichen Datenschutzbeauftragten von der Unternehmensleitung zudem eine Übersicht der Personen zur Verfügung gestellt werden, die Zugriff auf personenbezogene Daten nehmen können. Zugriffsberechtigte Personen sind dabei nur die Beschäftigten der verantwortlichen Stelle, die auf Grund ihrer Position oder Funktion Zugang zu den relevanten Daten haben. Bei Nennung der Positionen kann auf eine namentliche Nennung verzichtet werden.

 

Das Verzeichnis muss für jedermann verfügbar gemacht werden

Gemäß § 4g Abs. 2 S. 2 BDSG ist das Verfahrensverzeichnis eines Betriebes (mit Ausnahme der Angaben zu § 9 BDSG sowie der Übersicht der zugriffsberechtigten Personen) auf Antrag jedermann zur Verfügung zu stellen. „Jedermann“ in diesem Sinne ist nicht nur der Betroffene selbst, sondern jede natürliche Person, die den Zugang begehrt. Ein „berechtigtes Interesse“ oder ähnliches ist nicht nachzuweisen.

Was passiert, wenn das Verfahrensverzeichnis nicht ordnungsgemäß geführt wird?

Wird das Verfahrensverzeichnis nicht oder nicht ordnungsgemäß geführt, ist mit einem Einschreiten der Aufsichtsbehörden zu rechnen, die häufig von Dritten informiert werden, wenn ein Unternehmen auf Anfrage kein Verfahrensverzeichnis vorlegen kann. Die Aufsichtsbehörden haben ausweislich des § 38 Abs. 4 BDSG einen Anspruch auf Einsicht des Verfahrensverzeichnisses. Die von der Aufsichtsbehörde mit der Kontrolle beauftragten Personen sind hierzu notfalls befugt, während der Betriebs- und Geschäftszeiten Grundstücke und Geschäftsräume der Stelle zu betreten und dort Prüfungen und Besichtigungen vorzunehmen. Liegt kein ordnungsgemäßes Verfahrensverzeichnis vor kann dies je nach Aufsichtsbehörde auch die Verhängung eines Zwangsgeldes zur Folge haben, um die Erstellung eines Verzeichnisses zu veranlassen.

Darüber hinaus hat ein ordnungsgemäßes Verfahrensverzeichnis auch direkte Vorteile für den eigenen Betrieb. So benötigt der Datenschutzbeauftragte zur Erfüllung seiner gesetzlichen Aufgaben einen Überblick über die Struktur der einzelnen Datenverarbeitungsprozesse des Betriebes. Dazu muss ihm eine Übersicht unter anderem über die Datenverarbeitungshardware und –software zur Verfügung stehen, damit er durch eine Gesamtbetrachtung der Vorgänge die Gesetzeskonformität aller Datenverarbeitungsvorgänge fördern kann.

Fazit

Ein Verfahrensverzeichnis muss erstellt werden, um Auseinandersetzungen mit der Datenschutz-Aufsichtsbehörde zu vermeiden. Das Führen eines ordnungsgemäßen Verfahrensverzeichnisses hat darüber hinaus direkte Vorteile für den Betrieb, da die Transparenz erhöht und die Arbeit des Datenschutzbeauftragten erleichtert wird.

Sebastian Kraska Var2

Über den Autor - Rechtsanwalt Dr. Sebastian Kraska

Herr Dr. Sebastian Kraska gründete die IITR Datenschutz GmbH, die auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und als Anbieter von Datenschutz-Management-Systemen mehr als 2.500 Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt.

Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie gemeinsam mit Regionalpartnern als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden. Er ist zudem Beirat der Zeitschrift ZD des Beck-Verlages.

Jetzt beraten lassen

Rückrufservice

 

Beratung vereinbaren