Diese beiden Begriffe sorgen immer wieder für Fragen.
Um was handelt es sich, wer erstellt und pflegt sie, was müssen
sie enthalten, wozu ist das Ganze nötig ?
Laut §4g Abs. 2 hat eine verarbeitende Stelle folgende
Übersichten zu führen:
- Eine interne Verfahrensübersicht (oft auch internes Verfahrensverzeichnis genannt)
- Ein öffentliches Verfahrensverzeichnis
Der Gesetzestext ist recht schlicht gehalten, so dass oft
viele Fragen offen bleiben, die wir hier ein wenig beleuchten wollen.
1. Die interne Verfahrensübersicht (das
interne Verfahrensverzeichnis)
In erster Linie dient diese Sammlung von
Informationen dem Datenschutzbeauftragten bei der Prüfung auf eine rechtmäßige
Datenverarbeitung.
Je Verfahren (Prozess) in dem
personenbezogene Daten verarbeitet werden ist eine Übersicht zu erstellen.
Diese
Übersicht muss folgende Daten enthalten:
- Name oder Firma der verantwortlichen Stelle
- Inhaber, Geschäftsführer, Vorstände oder sonstige mit der Leitung der Datenverarbeitung beauftragte Personen
- Anschrift der verantwortlichen Stelle
- Zweckbestimmung der Datenerhebung, Datenverarbeitung oder Datennutzung
- Beschreibung der betroffenen Personengruppen und der dazugehörigen Datenkategorien
- Empfänger an die Daten weitergeleitet werden können
- Übermittlung der Daten in Drittstaaten
- Informationen über Maßnahmen nach §9 BDSG (zur Gewährleistung der Datensicherheit)
- Zugriffsberechtigte Personen
- Regelfristen für die Datenlöschung
Anhand dieser Daten kann der Datenschutzbeauftragte Schlüsse
ziehen, ob eine rechtmäßige Speicherung und/ oder Verarbeitung stattfindet.
Er kann dann rechtzeitig eingreifen und gegebenenfalls geeignete Maßnahmen zur Korrektur einleiten.
Er kann dann rechtzeitig eingreifen und gegebenenfalls geeignete Maßnahmen zur Korrektur einleiten.
Häufig wird die Auffassung vertreten, dass nur Verfahren automatisierter Verarbeitungen im Sinne des §3 Abs. 2 BDSG aufzunehmen sind, jedoch sind auch nicht automatisierte Verfahren zu dokumentieren.
Diese Pflicht ergibt sich aus dem §4g Abs. 2 BDSG.
Auch Verfahren die durch einen Dienstleister ausgeführt werden sind aufzunehmen.
Der Datenschutzbeauftragte prüft in diesem Fall auch, ob
eine Auftragsdatenverarbeitung im Sinne des §11 BDSG vorliegt.
2. Das öffentliche Verfahrensverzeichnis
Laut §4g Abs. 2. Satz 2 BDSG macht der
Datenschutzbeauftragte Angaben nach §4e Satz 1 Nr.1 -8 BDSG.
Diese Angaben stellt er auf Antrag
jedermann in geeigneter Weise zur Verfügung.
Diese Maßnahme dient der Transparenz über Art und Weise, wie ein Unternehmen mit personenbezogenen Daten umgeht.
Im Gegensatz zum internen Verfahrensverzeichnis
beinhaltet das öffentliche Verfahrensverzeichnis bedeutend weniger
Informationen.
Die Verfahren werden pauschal und vereinfacht dargestellt. Personen und technische Maßnahmen sind nicht enthalten.
Wer ist in der
Pflicht ?
Für die Erstellung und Aktualisierung der Verzeichnisse ist
die verantwortliche Stelle zuständig, nicht der Datenschutzbeauftragte.
Dieser beurteilt die Informationen und berät die
verantwortliche Stelle im Hinblick auf die Rechtmäßigkeit.
Die beiden Verzeichnisse sind ein elementarer Baustein bei der Umsetzung des Datenschutzes im Unternehmen. Gerne beraten wir Sie bei der Erstellung Ihrer Verzeichnisse.
Michael Bätzler