Bearbeitungshinweise Datenverarbeitungsverfahren

Ähnliche Dokumente
Meldepflicht nach 4d BDSG

Bearbeitungshinweise

Formular Meldung nach 4d BDSG

BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT

Anleitung zum Ausfüllen des Formulars

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat.

Öffentliches Verfahrensverzeichnis

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Chancen (und Risiken) des Datenschutzes für Unternehmen

Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes

Gründe für ein Verfahrensverzeichnis

Secorvo. Partner und Unterstützer

Grundlagen des Datenschutzes

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197)

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG)

MPE-Garry GmbH. Öffentliches Verfahrensverzeichnis, gemäß 4g Abs. 2 i.v.m. 4e Nr. 1-8 BDSG. 13 April 2015 Verfasst von: Kilian Bauer

(Name der Fremdkraft) 1. Verpflichtung auf das Datengeheimnis nach 5 BDSG

Das Datenschutzregister der Max-Planck-Gesellschaft

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim

Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA

Grundlagen des Datenschutzes. Musterlösung zur 2. Übung im SoSe 2008: BDSG (2) & Kundendatenschutz (1)

Formular. für eine datenschutzrechtliche Beschwerde an den Landesbeauftragten für den Datenschutz Baden-Württemberg

Vorlesung Datenschutzrecht TU Dresden Sommersemester 2016 RA Dr. Ralph Wagner LL.M. Dresdner Institut für Datenschutz

Arbeitsrecht-Newsletter 01/07 Schwerpunkt Betrieblicher Datenschutzbeauftragter

Datenschutz im Unternehmen. Was muss der Unternehmer wissen?

Verfahrensverzeichnis nach 4g Bundesdatenschutzgesetz (BDSG) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz

Öffentliches Verfahrensverzeichnis der Vater Unternehmensgruppe nach 4e Bundesdatenschutzgesetz (BDSG)

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Datenschutz Haftungsfragen für das Management

Datenschutz. Verfahrensverzeichnis nach 4g i.v.m. 18 und 4e BDSG

Ihre externen Datenschutzbeauftragten

Mustervorlage Verpflichtung auf das Datengeheimnis - Stand: 1. März

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

Erläuterungen zum Formular zur Meldung von Photovoltaikanlagen an die Bundesnetzagentur

Beratungskonzept für die Datenschutz-Betreuung. durch einen externen Beauftragten für den Datenschutz

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung ab *

Grundsatz der Datenvermeidung und Datensparsamkeit ( 3 a BDSG-E) Mobile Speicher und Verarbeitungsmedien ( 6 c BDSG-E)

Niedersächsischer Landtag 16. Wahlperiode Drucksache 16/3757. Beschlussempfehlung. Ausschuss für Rechts- und Verfassungsfragen

19-21 Zweiter Unterabschnitt Rechte des Betroffenen

Öffentliches Verfahrensverzeichnis ( 4g II Satz 2 i.v.m. 4e Satz 1 BDSG)

6. Fachtagung der LfM für den Datenschutz: Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung

Das interne Verfahrensverzeichnis Ein wichtiger Baustein der Datenschutz-Compliance

Antrag auf Gleichwertigkeitsfeststellung

Datenschutzerklärung

Verfahrensverzeichnis nach 4g BDSG (Bundesdatenschutzgesetz) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz

4d Meldepflicht. 6 Unabdingbare Rechte des Betroffenen. 6a Automatisierte Einzelentscheidung

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Fragebogen zur Anpassung der Praxisorganisation an die Datenschutz-Grundverordnung (DS-GVO)

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 1. Übung vom : BDSG (1)

Datenschutz in der Selbstständigkeit. Was muss man beachten?

Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 EU-DSGVO

Bestellung zum Datenschutzbeauftragten

Öffentliches Verfahrensverzeichnis der Stadtwerke Grevesmühlen GmbH

Computer & Netzwerktechnik. Externer Datenschutzbeauftragter

Name : Hochschule für angewandte Wissenschaften München

Antrag auf Gleichwertigkeitsfeststellung

datenschutz carsten metz Bundesdatenschutzgesetz Haftungsrisiken vermeiden

AUFNAHMEANTRAG SC Wildpark Messel 1913 e.v. Stand:

Verfahrensverzeichnis

Antrag auf Eintragung in das Immobiliardarlehensvermittlerregister gemäß 11 a GewO

Antrag auf Gleichwertigkeitsfeststellung

ANTRAG AUF EINTRAGUNG IN DAS VERMITTLERREGISTER NACH 34i Abs. 8, 11a Abs. 1 GEWERBEORDNUNG (GewO)

DATENSCHUTZMANAGEMENT MIT VERINICE. Berlin, den

Vorabkontrolle gemäß 4d Abs. 5 BDSG

Datenschutz in Schulen

Antrag auf Gleichwertigkeitsfeststellung

Öffentliches Verfahrensverzeichnis nach Bundesdatenschutzgesetz (BDSG)

Antrag auf Gleichwertigkeitsfeststellung

Antrag auf Gleichwertigkeitsfeststellung

Antrag auf Eintragung in das Vermittlerregister für natürliche Personen (bei OHG, KG, GbR die jeweiligen geschäftsführungsberechtigten Gesellschafter)

Gesetz zur Änderung datenschutzrechtlicher Vorschriften

Antrag auf Eintragung in das Vermittlerregister für juristische Personen (z.b. GmbH, AG)

Vorlesung Datenschutzrecht. Datenschutzkontrolle

Hinweis: Bitte beachten Sie, dass Sie zusätzlich zu diesem Antrag einen entsprechenden Erlaubnisantrag stellen müssen.

Antrag auf Eintragung in das Vermittlerregister für juristische Personen (z.b. GmbH, AG)

Antrag auf Eintragung in das Vermittlerregister für natürliche Personen (bei OHG, KG, GbR die jeweiligen geschäftsführungsberechtigten Gesellschafter)

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes

Vereinfachtes Verfahren ( 34f Abs. 1, 157 Abs. 2, 3 GewO) für Erlaubnisinhaber einer Erlaubnis nach 34c GewO:

Verfahrensverzeichnis gemäß 4g Abs. 2 BDSG

Grundlagen des Datenschutzes. Musterlösung zur 3. Übung im SoSe 2008: Mediendatenschutz & Kundendatenschutz (2)

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen - Frau Bettina Ilgner - August-Schanz-Straße Frankfurt am Main

Datenschutz. Öffentliches Verfahrensverzeichnis der Indanet GmbH nach 4e Bundesdatenschutz (BDSG)

Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle)

Meldung der vorübergehenden Erbringung von Dienstleistungen 1 gemäß 8 EU/EWR HwV

Berliner Beauftragte für Stand: August 2017 Datenschutz und Informationsfreiheit. Merkblatt. zu den

Bayerisches Landesamt für Datenschutzaufsicht

Betriebliche Organisation des Datenschutzes

Verpflichtung auf das Datengeheimnis nach 5 BDSG

EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG) für (ehrenamtliche) Mitarbeiter des Nordrhein-Westfälischer Ruder-Verband e.v.

Impressum. Herausgeber: Geschäftsleitung: Internetredaktion: EU Service-Agentur: Impressum

Verfahrensverzeichnis für Jedermann. gem. 4g Abs. 2 Satz 2 BDSG

Öffentliches Verfahrensverzeichnis

ANTRAG AUF EINTRAGUNG IN DAS VERMITTLERREGISTER NACH 34i Abs. 8, 11a Abs. 1 GEWERBEORDNUNG (GewO)

Antrag auf Gleichwertigkeitsfeststellung

Arbeitnehmerdatenschutz / Leistungs- und Verhaltenskontrollen

Transkript:

DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ Bearbeitungshinweise Datenverarbeitungsverfahren zur Meldung eines automatisierten Datenverarbeitungsverfahrens nach 4d des Bundesdatenschutzgesetzes (BDSG) zum Register beim Landesbeauftragten für den Datenschutz Baden-Württemberg nach 38 Absatz 2 BDSG - Stand: 1. Juni 2012 -

Seite 2 Der Landesbeauftragte für den Datenschutz Baden-Württemberg Königstraße 10a 70173 Stuttgart Telefon 0711/615541-0 Telefax 0711/615541-15 E-Mail: poststelle@lfd.bwl.de (Schutzbedürftige Daten sollten nicht unverschlüsselt per E-Mail oder via Telefax übertragen werden.) PGP-Fingerprint: A5A5 6EC4 47B2 6287 E36C 5D5A 43B7 29B6 4411 E1E4 Homepage: www.baden-wuerttemberg.datenschutz.de

Seite 3 1. Allgemeine Erläuterungen a) Was ist meldepflichtig? Nach 4d des Bundesdatenschutzgesetzes (BDSG) müssen nicht-öffentliche Stellen Verfahren automatisierter Datenverarbeitung vor ihrer Inbetriebnahme der zuständigen Aufsichtsbehörde (für alle Unternehmen und Vereine ist dies in Baden-Württemberg der Landesbeauftragte für den Datenschutz) melden. Die Aufsichtsbehörde führt gemäß 38 Absatz 2 BDSG ein Register dieser Meldungen (sog. Verfahrensregister ), das, bis auf die gemeldeten Datensicherungsmaßnahmen und die gemeldeten zugriffsberechtigten Personen, von jedermann eingesehen werden kann. Diese Meldepflicht entfällt, wenn die verantwortliche Stelle einen (betrieblichen) Beauftragten für den Datenschutz bestellt hat ( 4d Absatz 2 BDSG) oder die verantwortliche Stelle personenbezogene Daten für eigene Zwecke erhebt, verarbeitet oder nutzt, hierbei in der Regel höchstens neun Personen ständig mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt sind und entweder eine Einwilligung der Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist ( 4d Absatz 3 BDSG). Der Meldepflicht unterliegen Verfahren automatisierter Verarbeitung von personenbezogenen Daten nach 4d Abs. 4 BDSG immer dann (also unabhängig von den beiden eben genannten Ausnahmen), wenn diese Daten geschäftsmäßig zum Zweck der Übermittlung ( 29 BDSG, z. B. Auskunfteien, Adresshandel) oder zum Zweck der anonymisierten Übermittlung ( 30 BDSG) oder zum Zweck der Markt- oder Meinungsforschung ( 30a BDSG) gespeichert werden. Diese Meldung stellt keinen Antrag auf Überprüfung der Datenverarbeitungsverfahren durch die Aufsichtsbehörde dar. Eine solche Vorabkontrolle ist nur in besonders sensiblen und risikobehafteten Fällen der Datenverarbeitung nach 4d Absatz 5 BDSG erforderlich. Für diese Kontrolle ist nicht die Aufsichtsbehörde, sondern der betriebliche Datenschutzbeauftragte zuständig, 4d Absatz 6 BDSG. Ein Unternehmen ist gemäß 4f Absatz 1 Satz 6 BDSG zur Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet, wenn die Datenverarbeitung einer Vorabkontrolle bedarf.

Seite 4 b) Was ist der Unterschied zwischen der Meldepflicht, der Verfahrensübersicht und dem sog. Verfahrensverzeichnis? Auch wenn die Meldepflicht nach 4d Absätze 2, 3 BDSG entfällt, muss jedes Unternehmen zumindest eine (interne) Verarbeitungsübersicht erstellen (Transparenz nach innen). Dies ergibt sich aus 4g Absatz 2 Satz 1 BDSG: Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stelle eine Übersicht über die in 4e Satz 1 genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen. Diese Verarbeitungsübersicht ist sozusagen die Arbeitsgrundlage für den betrieblichen Datenschutzbeauftragten. Die Mindestinhalte dieser Übersicht sind in 4e Satz 1 BDSG geregelt. Der betriebliche Datenschutzbeauftragte muss die Inhalte des 4e Satz 1 Nr. 1 bis 8 BDSG dieser Verarbeitungsübersicht (also alles aus der Verarbeitungsübersicht bis auf den Bereich Daten-Sicherheitsmanagement) auf Antrag für jedermann zugänglich machen, 4g Absatz 2 Satz 2 BDSG. Dieses öffentlich zugängliche Papier nennt man Verfahrensverzeichnis (Transparenz nach außen). Wenn es keinen betrieblichen Datenschutzbeauftragten gibt, muss nach 4g Absatz 2a BDSG der Leiter der nicht-öffentlichen Stelle (z.b. der Geschäftsführer des Unternehmens, der Firmenchef) dafür sorgen, dass in ein solches Verfahrensverzeichnis Einblick genommen werden kann. 2. Erläuterungen zum Hauptblatt Die rechtliche Notwendigkeit für die im Formular geforderten Angaben ergibt sich aus 4e BDSG und 1 Abs. 5 Satz 3 BDSG (abgesehen von den unten als freiwillig bezeichneten Angaben). Das Hauptblatt mit den geforderten Angaben zur verantwortlichen Stelle und den dortigen Verantwortungsträgern (Nr. 1 2.3) ist von jeder Stelle nur einmal auszufüllen. Die Angaben zu den jeweiligen automatisierten Verfahren sind mit dem Formular Anlage Datenverarbeitungsverfahren für jedes einzelne betriebene Verfahren gesondert zu melden. (1) Nr. 1 Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt ( 3 Abs. 7 BDSG). Angaben zu Telefon, Telefax, E-Mail und Internet sind freiwillig.

Seite 5 (2) Nr. 2.3 Angaben zu dem im Inland ansässigen Vertreter einer außerhalb der Europäischen Union oder der Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum (EWR: Island, Norwegen und Liechtenstein) gelegenen verantwortlichen Stelle sind nach 1 Abs. 5 Satz 3 BDSG notwendig. (3) Nr. 3 Freiwillige Angabe: Für die Stellen, die trotz der Bestellung eines betrieblichen Datenschutzbeauftragten der Meldepflicht unterliegen, ist die Benennung des DSB sinnvoll, da dieser nach 4f Abs. 5 Satz 2 BDSG auch der Ansprechpartner für Bürgerinnen und Bürger ist. (4) Unter- schrift Das Hauptblatt ist mit einer rechtsverbindlichen Unterschrift zu versehen; die Funktion des Zeichnenden ist zu benennen (z.b. Geschäftsführer). 3. Erläuterungen zur Anlage Datenverarbeitungsverfahren Der Name und die Anschrift der verantwortlichen Stelle müssen im Kopf der Anlage nochmals angegeben werden. Wenn eine meldepflichtige Stelle nach der Meldung weitere meldepflichtige Verfahren durchführt oder durchführen lässt, genügt es, wenn sie lediglich eine neue Anlage ausfüllt und vorlegt. Ebenso ist zu verfahren, wenn sich Änderungen bei bereits gemeldeten Verfahren ergeben (wobei dann die Nummerierung der geänderten Anlage anzugeben ist). Das Hauptblatt ist nur dann neu auszufüllen, wenn sich auch insoweit Änderungen ergeben. (5) Nr. 4.4 Meldepflichtige Stellen, die bis zum 22.05.2001 im bisherigen Melderegister aufgenommen waren, tragen das ursprüngliche Datum der Aufnahme der meldepflichtigen Tätigkeit ein. (6) Nr. 4.5 Steht kein Ende des Verfahrens fest, ist zeitlich unbegrenzt einzufügen. (7) Nr. 4.7 Hier ist der Zeitraum anzugeben, nach dessen Ablauf die Daten gelöscht werden. Es wird darauf hingewiesen, dass nach 35 Abs. 2 Nr. 4 BDSG eine Überprüfung spätestens vier Jahre nach der Einspeicherung erforderlich ist. Bei gesetzlichen Aufbewahrungsfristen sind die jeweiligen Vorschriften konkret zu benennen.

Seite 6 (8) Nr. 5 Das Datenverarbeitungsverfahren ist in den Grundzügen summarisch und allgemeinverständlich zu beschreiben. Der Begriff Verfahren meint nicht einzelne Verarbeitungsvorgänge, sondern einer bestimmten Zweckbestimmung dienende Verarbeitungspakete (Simitis, BDSG, 4 Rn. 24 f.) wie z. B. Kundenbetreuung, Telefondatenerfassung, Mitglieder- und Personalverwaltung. (9) Nr. 6 Z.B. Datenverarbeitung zum Zweck der Übermittlung (Adresshandel, Erteilung von Wirtschaftsauskünften), Datenverarbeitung zum Zweck der anonymisierten Übermittlung (Markt- und Meinungsforschung). (10) Nr. 7.1 Als betroffene Personengruppen kommen beispielsweise Kunden, Arbeitnehmer, Patienten, Schuldner, Versicherungsnehmer usw. in Betracht. (11) Nr. 7.2 Mit Daten sind hier Datenfeldbezeichnungen gemeint. Datenfeldinhalte mit konkreten personenbezogenen Daten dürfen nicht verwendet werden. Datenkategorien müssen so konkret beschrieben werden, dass für jede Kategorie deutlich wird, was über den Betroffenen gespeichert wird. Beispiele zur Verdeutlichung : Kundendaten - nicht ausreichend - zu allgemein Anschriften - ausreichend - Datenkategorie Straße, Haus-Nr., PLZ, Stadt usw. - ausreichend - Daten (Datenfelder) Königstraße, 70173, Stuttgart usw. - unzulässig - Datenfeldinhalte (12) Nr. 8 Empfänger ist jede Person oder Stelle, die Daten erhält, z.b. Vertragspartner, Kunden, Behörden, Versicherungen, ärztliches Personal, Auftragsdatenverarbeiter (z.b. Dienstleistungsrechenzentrum, Call-Center, Datenvernichter) usw. (13) Nr. 9 4e Nr. 8 BDSG fordert die Angabe der geplanten Übermittlungen in Drittstaaten (Nicht-EU-Länder und Nicht-EWR-Länder). Nur bei der Erstmeldung zum Register sind auch die bereits bestehenden Übermittlungen zu melden. Bei Änderungsmitteilungen wegen neu geplanter Übermittlungen in Drittstaaten brauchen bereits bestehende Übermittlungen nicht gemeldet werden. Angaben sind bereits dann zu machen, wenn es mit einer gewis-

Seite 7 sen Wahrscheinlichkeit zu einer Übermittlung in Drittstaaten kommen wird. Zeitpunkt und nähere Umstände brauchen nicht festzustehen. (14) Nr. 9.3 Die Art der Daten oder Datenkategorien ist getrennt nach dem jeweiligen Drittstaat und den jeweiligen Empfängern oder Kategorien von Empfängern anzugeben. (15) Nr. 10 Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt ( 3 Abs. 7 BDSG); die Angaben müssen den Angaben des Hauptblattes unter Nr. 1 entsprechen. Angaben zu Telefon, Telefax, E-Mail und Internet sind freiwillig. (16) Nr. 11 Dieser Teil des Registers, das firmeninterne Sicherheitsmanagement, ist nicht öffentlich einsehbar und nur für die Aufsichtsbehörde bestimmt ( 38 Abs. 2 Satz 3 BDSG). (17) Nr. 11.1 Z.B. Konfigurationsübersicht, Netzwerkstruktur, Betriebs- und Anwendungssoftware, spezielle Sicherungssoftware usw. (18) Nr. 11.2 Zutreffendes Ankreuzen und Maßnahme textlich erläutern. (19) Unter- schrift Die Anlagen sind mit einer rechtsverbindlichen Unterschrift zu versehen, die Funktion des Zeichnenden ist zu benennen (z.b. durch den Geschäftsführer).

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback