Hinweise zum Erstellen eines Verfahrensverzeichnisses

Transkript

1 Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung... 2 Was ist ein Verfahrensverzeichnis?... 2 Welche Verfahren müssen dokumentiert werden?... 2 Was sind personenbezogene Daten?... 3 Inhalt und Form des Verfahrensverzeichnisses... 3 Wer muss das Verfahrensverzeichnis führen?... 3 Auftragsdatenverarbeitung und Funktionsübertragung... 4 Ausfüllhinweise zum öffentlichen Teil des Verfahrensverzeichnisses Name und Anschrift der verantwortlichen Stelle Bezeichnung des Verfahrens Zweckbestimmung und Rechtsgrundlage der Datenverarbeitung Art der gespeicherten Daten Kreis der Betroffenen Empfänger oder Gruppen von Empfängern der Daten sowie die jeweiligen Datenarten Fristen für die Löschung und Sperrung... 6

2 Vorbemerkung Nach 11 des Landesdatenschutzgesetzes (LDSG) muss jede öffentliche Stelle des Landes ein Verzeichnis der automatisierten Verfahren führen, mit denen sie personenbezogene Daten verarbeitet. Welche Angaben in dieses Verfahrensverzeichnis aufzunehmen sind, ist gesetzlich festgelegt. Gleichwohl ergeben sich in der Praxis immer wieder Fragen und Unklarheiten zum Inhalt. Basierend auf verschiedenen Quellen soll dieser Text Hinweise zur Erstellung des Verfahrensverzeichnisses geben. Was ist ein Verfahrensverzeichnis? Im Verfahrensverzeichnis muss die Daten verarbeitende Stelle dokumentieren, welche personenbezogenen Daten sie mit Hilfe welcher automatisierten Verfahren auf welche Weise verarbeitet und welche Datenschutzmaßnahmen sie dabei getroffen hat. Das Verfahrensverzeichnis dient der Transparenz von Datenverarbeitungsprozessen innerhalb der Einrichtung (Eigenkontrolle), aber vor allem auch gegenüber Dritten. Zudem ist es eine wichtige Informationsquelle für bei datenschutzrechtlichen Kontrollen durch den Landesbeauftragten für Datenschutz (Fremdkontrolle). Nach vereinzelter Rechtsprechung setzt die rechtmäßige Verarbeitung personenbezogener Daten ein ordnungsgemäß erstelltes Verfahrensverzeichnis voraus. Das Verfahrensverzeichnis besteht aus einem öffentlichen und einem nichtöffentlichen Teil. Der öffentliche Teil wird vom Datenschutzbeauftragten zur Einsichtnahme zur Verfügung gestellt. Der öffentliche Teil enthält Angaben zu Name und Anschrift der Daten verarbeitenden Stelle, Bezeichnung des Verfahrens, Zweckbestimmung und Rechtsgrundlage, der Art der gespeicherten Daten, dem Kreis der Betroffenen, eventuellen Empfängern der Daten bei Übermittlung, den Fristen für die Löschung der Daten. Der nichtöffentliche Teil enthält im Wesentlichen technische Angaben zu Hard- und Software, zu den zugriffsberechtigten Personen sowie zu den technischen und organisatorischen Maßnahmen zu Datenschutz und Datensicherheit. Welche Verfahren müssen dokumentiert werden? Der Begriff Verfahren bezeichnet die Gesamtheit an Verarbeitungen, mit deren Hilfe eine Zweckbestimmung oder ein Bündel miteinander verbundenen Zweckbestimmungen realisiert wird. Ein Verfahren kann aus einer Vielzahl von DV-Programmen und Dateien bestehen. Wesentlich für die Bestimmung des Verfahrens ist die definierte Aufgabe der Datenverarbeitung. 2

3 Für jedes automatisierte Verfahren muss ein Verfahrensverzeichnis geführt werden. Unklarheiten können sich dabei bereits bei der Frage ergeben, was unter einem automatisierten Verfahren zu verstehen ist. Nach dem LDSG ergibt sich, dass ein automatisiertes Verfahren sämtliche Programme oder Programmteile umfasst, mit denen die Daten verarbeitende Stelle personenbezogene Daten aufgrund einer bestimmten Rechtsgrundlage für einen bestimmten Zweck verarbeitet. Schwierigkeiten ergeben sich in der Praxis immer wieder bei Dateien, die die Daten verarbeitende Stelle mit Hilfe von Bürokommunikations-Programmen wie etwa einem Textverarbeitungs- oder Tabellenkalkulationsprogramm erstellt. Folgende Fragen stellen sich: Ist das Bürokommunikations-Programm ein automatisiertes Verfahren? Sind das Bürokommunikations- Programm zusammen mit den damit erzeugten Dateien automatisierte Verfahren? Oder liegt überhaupt kein automatisiertes Verfahren vor? Kennzeichnend für ein automatisiertes Verfahren ist die Verarbeitung personenbezogener Daten für einen bestimmten Zweck. Ein Bürokommunikations-Programm, für sich allein betrachtet, ist daher kein automatisiertes Verfahren, weil kein Bezug zur Verarbeitung personenbezogener Daten besteht. Im Gegensatz dazu sind aber das Bürokommunikations-Programm zusammen mit einer oder mehrerer damit erstellter Dateien, mit denen personenbezogene Daten für einen bestimmten Zweck verarbeitet werden, ein automatisiertes Verfahren darunter kann auch eine Excel-Datei fallen! Von der Dokumentationspflicht ausgenommen sind nach 11 Abs. 3 LDSG nur solche automatisierte Verfahren, deren einziger Zweck die Information der Öffentlichkeit ist und deren Daten somit allen Berechtigten zur Einsichtnahme offen steht, sowie Verfahren für allgemeine Verwaltungszwecke, insbesondere Verfahren der Textverarbeitung. Was sind personenbezogene Daten? Personenbezogene Daten sind nach gesetzlicher Definition Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Daten sind also personenbezogen, wenn sie eindeutig einer bestimmten natürlichen Person zugeordnet sind oder diese Zuordnung zumindest mittelbar erfolgen kann. Im zweiten Fall spricht man auch von personenbeziehbaren Daten. Inhalt und Form des Verfahrensverzeichnisses Es bestehen keine Vorgaben bezüglich der Form des Verzeichnisses, auch die Art und Weise der Veröffentlichung des Verfahrensverzeichnisses ist nicht vorgegeben. Der erforderliche Inhalt ergibt sich aus 11 LDSG, die Punkte sind kurz im Abschnitt Was ist ein Verfahrensverzeichnis? aufgeführt und werden weiter unten näher erläutert. Wer muss das Verfahrensverzeichnis führen? Der behördliche Datenschutzbeauftragte führt das Verfahrensverzeichnis, d.h. er macht es in geeigneter Weise jedermann verfügbar. Ungeachtet davon liegt die formale Verantwortlichkeit 3

4 für das Verfahrensverzeichnis bei der für das Verfahren verantwortlichen Stelle. Diese muss alle erforderlichen Informationen für das Verzeichnis liefern und sie muss durch organisatorische Regelungen sicherstellen, dass der für die Führung des Verfahrensverzeichnisses Verantwortliche von allen automatisierten Verfahren erfährt. Auftragsdatenverarbeitung und Funktionsübertragung Wenn einzelne Datenverarbeitungsprozesse oder die gesamte Datenverarbeitung auf einen Dienstleister übertragen werden, ist zu unterscheiden, wer die Verzeichnisse führen muss. Liegt eine Auftragsdatenverarbeitung vor, so ist nicht der Dienstleister für die Einhaltung der gesetzlichen Datenschutzvorschriften verantwortlich, diese Verantwortlichkeit verbleibt vielmehr beim Auftraggeber, dieser hat daher auch alle Verzeichnisse zu führen. Anders liegt es bei einer sog. Funktionsübertragung. Liegt eine solche vor, geht die Pflicht zur Führung der Verzeichnisse im Umfang der Übertragung auf den Dienstleister über. Ausfüllhinweise zum öffentlichen Teil des Verfahrensverzeichnisses Hinweis: Informationen zum nichtöffentlichen Teil des Verfahrensverzeichnisses werden in einem separaten Dokument zur Verfügung gestellt. 1. Name und Anschrift der verantwortlichen Stelle Genauer Name und Anschrift der verantwortlichen Stelle (das ist in unserem Falle die PH Freiburg), sowie die Bezeichnung der Organisationseinheit innerhalb dieser Stelle, die das Verfahren einsetzt (z.b. ZIK). 2. Bezeichnung des Verfahrens Der Verfahrensname muss eine eindeutige Zuordnung der Beschreibung zum entsprechenden Verfahren erlauben und die Gefahr der Verwechslung mit anderen Verfahren ausschließen. Die bloße Angabe einer Nummer oder Abkürzung genügt hier nicht. Nach Möglichkeit ist ein auch für EDV-Laien verständlicher Name zu wählen. 3. Zweckbestimmung und Rechtsgrundlage der Datenverarbeitung 3.1 Der Zweck ist durch kurze und aussagekräftige Erläuterung der Inhalte und Aufgaben der Verarbeitung möglichst allgemeinverständlich zu benennen. Nicht ausreichend transparent sind Sammelbegriffe wie z.b. Personalmanagement oder Studierendenverwaltung. 3.2 Nach dem LDSG ist die Verarbeitung personenbezogener Daten nur zulässig, wenn eine Rechtsvorschrift sie erlaubt oder der Betroffene, d.h. die Person, deren Daten verarbeitet werden sollen, eingewilligt hat. Im Verfahrensverzeichnis ist daher zu dokumentieren, ob die Verarbeitung aufgrund einer Einwilligung oder aufgrund einer Rechtsvorschrift erfolgt. Im letzteren Fall ist diese präzise anzugeben. 4. Art der gespeicherten Daten Hier geht es nicht darum, jedes einzelne im automatisierten Verfahren gespeicherte Datenfeld aufzuführen. Vielmehr sind sachlich zusammengehörende Datenfelder zu sinnvollen Gruppen zusammenzufassen und diese Datenarten dann allgemein verständlich zu benennen. So kön- 4

5 nen Einzelmerkmale wie etwa "Postleitzahl", "Wohnort", "Straße" und "Hausnummer" zu einem Sammelmerkmal, in diesem Falle "Postanschrift", zusammengefasst werden. Bei der Bildung von Sammelmerkmalen ist allerdings darauf zu achten, dass diese noch aussagekräftig bleiben. Die Begriffe, die die Art der gespeicherten Daten beschreiben, dürfen nicht zu allgemein sein, weil sonst die Transparenz über den Umfang der Datenspeicherung verloren ginge, andererseits sollten die gewählten Begriffe so flexibel sein, dass nicht jede kleine Änderung am automatisierten Verfahren eine Änderung am Verfahrensverzeichnis nach sich zieht. Die Bezeichnung der Datenelemente soll aus sich heraus verständlich sein, kein IT-Fachwissen und keine vertieften Verwaltungskenntnisse voraussetzen oder Fachabkürzungen enthalten, die nicht offenkundig sind. Daten, die nicht personenbezogen sind müssen nicht aufgelistet werden. Für alle Daten muss sich die Notwendigkeit der Verarbeitung aus dem beabsichtigten Zweck ablesen lassen. Man sollte sich immer die Frage stellen, ob die Verarbeitung tatsächlich notwendig ist und warum. Sensible Daten wie Angaben über Gesinnung, politische Einstellung, ethnische Herkunft, Religion, Gesundheit etc. sind explizit unter 4.1. zu benennen. Die Verarbeitung dieser Daten bedarf besonderer Sicherungsmaßnahmen. 5. Kreis der Betroffenen Betroffene sind die natürlichen Personen, deren Daten mit Hilfe des automatisierten Verfahrens verarbeitet werden. Der Kreis der Betroffenen ist so präzise wie möglich zu bezeichnen so dass für jede beliebige Person entschieden werden kann, ob sie zum Kreis gehört oder nicht. 6. Empfänger oder Gruppen von Empfängern der Daten sowie die jeweiligen Datenarten Hier sind die die Empfänger der Daten oder Gruppen von Empfängern sowie die jeweiligen Datenarten aufzuführen, wenn vorgesehen ist, a) die Daten zu übermitteln, b) sie innerhalb der öffentlichen Stelle für einen weiteren Zweck zu nutzen oder c) sie im Auftrag verarbeiten zu lassen. Empfänger ist jede Person oder Stelle, die Daten erhält, mit Ausnahme des Betroffenen. Angaben sind sowohl bei einer Datenweitergabe an einen Dritten (Fall a) als auch bei einer Zweckänderung innerhalb der verantwortlichen Stelle (Fall b) oder bei der Einschaltung eines Auftragnehmers (Fall c) zu machen. Der Fall a) beinhaltet die Weitergabe von Daten nach außen (Strafverfolgungsbehörden, Meldeämter, andere Hochschulen oder ähnliches), eine solche Datenübermittlung von personenbezogenen Daten dürfte eher die Ausnahme sein. Im Fall b) (Übermittlung zwischen den Stellen innerhalb der Hochschule) sollte dokumentiert werden, welche Daten für weitere Zwecke und Verfahren eingesetzt oder ausgetauscht werden. Ein solcher Datenaustausch sollte möglichst wenige Daten übermitteln und einen klaren Zweck haben. Es sollten nur die Daten übermittelt werden die erforderlich sind. 5

6 7. Fristen für die Löschung und Sperrung Wer personenbezogene Daten mit Hilfe eines automatisierten Verfahrens verarbeitet, muss - beginnend mit der erstmaligen Speicherung von Daten - festlegen, wann welche Datenarten zu sperren oder zu löschen sind. Falls es keine gesetzlich vorgeschriebene Aufbewahrungsfristen für die Daten gibt, sollten die Daten gelöscht werden, sobald der Zweck der Datenverarbeitung nicht mehr besteht ( 23 LDSG). 6