Verfahrensverzeichnis - Überblick über den Datenschutz

Das Verfahrensverzeichnis gibt es nicht im Bundesdatenschutzgesetz (BDSG). Der Begriff Verfahrensverzeichnis hat sich jedoch eingebürgert und beschreibt die Dokumentation wie staatliche und private Stellen personenbezogene Daten verarbeiten. Dabei sind zwei Verzeichniss zu unterscheiden und zwar das interne und das öffentliche Verfahrensverzeichnis, welches auch Jedermann-Verzeichnis genannt wird. Die Verpflichtung einer entsprechenden Dokumentation ergibt sich aus den folgenden Paragraphen:

  • §4d BDSG

    +

    1. Verfahren automatisierter Verarbeitungen sind vor ihrer Inbetriebnahme von nicht-öffentlichen verantwortlichen Stellen der zuständigen Aufsichtsbehörde und von öffentlichen verantwortlichen Stellen des Bundes sowie von den Post- und Telekommunikationsunternehmen der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit nach Maßgabe von § 4e zu melden.
    2. Die Meldepflicht entfällt, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat.
    3. Die Meldepflicht entfällt ferner, wenn die verantwortliche Stelle personenbezogene Daten für eigene Zwecke erhebt, verarbeitet oder nutzt, hierbei in der Regel höchstens neun Personen ständig mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt und entweder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.
    4. Die Absätze 2 und 3 gelten nicht, wenn es sich um automatisierte Verarbeitungen handelt, in denen geschäftsmäßig personenbezogene Daten von der jeweiligen Stelle
      1. zum Zweck der Übermittlung,
      2. zum Zweck der anonymisierten Übermittlung oder
      3. für Zwecke der Markt- oder Meinungsforschung gespeichert werden.
    5. Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn
      1. besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder
      2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens,

      es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.

    6. Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz. Dieser nimmt die Vorabkontrolle nach Empfang der Übersicht nach § 4g Abs. 2 Satz 1 vor. Er hat sich in Zweifelsfällen an die Aufsichtsbehörde oder bei den Post- und Telekommunikationsunternehmen an die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu wenden.

  • §4e BDSG

    +

    Sofern Verfahren automatisierter Verarbeitungen meldepflichtig sind, sind folgende Angaben zu machen:

    1. Name oder Firma der verantwortlichen Stelle,
    2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
    3. Anschrift der verantwortlichen Stelle,
    4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
    5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
    6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
    7. Regelfristen für die Löschung der Daten,
    8. eine geplante Datenübermittlung in Drittstaaten,
    9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.

    § 4d Abs. 1 und 4 gilt für die Änderung der nach Satz 1 mitgeteilten Angaben sowie für den Zeitpunkt der Aufnahme und der Beendigung der meldepflichtigen Tätigkeit entsprechend.

Jedes interne Verfahrensverzeichnis kann auf Anfrage eines Betroffenen (vgl. §34 BDSG) zu einem öffentlichen Verfahrensverzeichnis werden. Die Passagen im internen Verzeichnis über die technischen und organisatorischen Maßnahmen wie auch die zugriffsberechtigten Personen entfallen dabei im Jedermann-Verzeichnis.

Die Pflege eines entsprechenden Verfahrensverzeichnisses ist anfänglich zeitintensiv, sollte jedoch trotzdem gemacht werden, da sie auf der einen Seite einen guten Überblick über die Verarbeitung von personenbezogenen Daten gibt und auf der anderen Seite diese der Aufsichtsbehörde ausgehändigt werden müssen, wenn es zu einer entsprechenden Prüfung kommt.

Helmut Fuchs, Datenschutz-Auditor

Helmut Fuchs, Datenschutz-Auditor

Wir haben jahrelanges Fachwissen bei der Erstellung von Verfahrensverzeichnissen und unterstützen Sie gerne bei der Analyse, welche Prozesse mit personenbezogenen Daten es bei Ihnen im Unternehmen gibt. Unser Experte füer Verfahrensverzeichnisse, Herr Helmut Fuchs, steht Ihnen mit seiner Expertise gerne zur Verfügung.

Zum Kontaktformular

Verfahrensverzeichniss in der DSGVO

0

Your Cart