Termine
Themenbereiche Erstellung des Verfahrensverzeichnisses Erstellung des Verfahrensverzeichnisses
Die Erstellung eines Verfahrensverzeichnisses ist nach dem Gesetzeswortlaut des § 4g II BDSG primär Aufgabe der verantwortlichen Stelle. Danach ist "Dem Beauftragten für den Datenschutz von der verantwortlichen Stelle eine Übersicht über die in § 4e Satz 1 genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen". Gängige Praxis ist aber, dass der Datenschutzbeauftragte diese Aufgabe selbst erledigt.
Datenschutz ist eine der Kernaufgaben einer ordnungsgemäßen Geschäftsführung bzw. Behördenleitung. Die Datenschutzgesetze stellen klare Anforderungen an die Einhaltung des Datenschutzes und der Datensicherheit. So werden beispielsweise eine laufende Überwachung der Rechtmäßigkeit aller Datenverarbeitungsvorgänge und eine Dokumentation der Datenhaltung gefordert. Aber auch Aspekte der Verfügbarkeit und der Schutz vor unbefugten Zugriffen auf personenbezogene Daten müssen hinreichend berücksichtigt werden.
Gemäß des Bundes- bzw. der Landesdatenschutzgesetze (z.B. §§ 4 g Abs. 2 S. 1 i.V.m. 4e S. 1 BDSG) ist die verantwortliche Stelle verpflichtet, ein Verfahrensverzeichnis, d.h. eine Übersicht über die Verfahren zu führen, in denen personenbezogene Daten automatisiert verarbeitet werden oder einem besonderen Schutzbedarf unterliegen.
Damit kann sich der Datenschutzbeauftragte (DSB) einen umfassenden Überblick über die eingesetzten Verfahren verschaffen sowie die Struktur der eingesetzten Hard- und Software nachvollziehen.
Im Verfahrensverzeichnis werden u.a. folgende Informationen zu in der Organisation eingesetzten Verfahren dokumentiert:
- Art der personenbezogenen Daten, die erhoben, verarbeitet oder genutzt werden,
- Übersicht über die eingesetzten automatisierten Verfahren,
- Art und Weise der Erhebung, Verarbeitung und Nutzung personenbezogener Daten sowie ― Datenschutzmaßnahmen.
Was meldepflichtigen Angaben sind, ergibt sich abschließend aus § 4e Satz 1 BDSG. Die Meldepflicht gegenüber der Aufsichtsbehörde entfällt jedoch, wenn in dem Unternehmen ein DSB bestellt ist (§ 4d II BDSG) oder personenbezogene Daten für eigene Zwecke verarbeitet werden und nicht mehr als vier Arbeitnehmer beschäftigt werden (§ 4d III BDSG). Aber auch in diesen zwei Ausnahmen ist das Unternehmen verpflichtet, meldepflichtige Angaben zu erheben, zu dokumentieren und dem Datenschutzbeauftragten zur Verfügung zu stellen (§ 4g II 1 BDSG). Denn erst so kann dieser die Rechtmäßigkeit der Datenverarbeitung kontrollieren und besondere Risiken frühzeitig erkennen.