1 Wozu ein Verfahrensverzeichnis? Die Frage, wieso überhaupt ein Verfahrensverzeichnis erstellt und gepflegt werden soll, werden nicht nur Sie sich stellen. Auch die sogenannte verantwortliche Stelle in den Fachbereichen und Ihre Geschäftsleitung wird hierauf eine Antwort haben wollen, wenn Sie Ihre Feststellung mitteilen, dass das Verfahrensverzeichnis noch fehlt oder lückenhaft ist. Dieser Wegweiser liefert Ihnen auf diese Fragen gleich mehrere Antworten: denn Gründe gibt es viele. Im Folgenden werden Sie sehen, dass ein Verfahrensverzeichnis nicht nur eine gesetzliche Forderung ist. Es hilft Ihnen und der Aufsichtsbehörde auch bei der Datenschutzkontrolle. Gleichzeitig ist das Verfahrensverzeichnis zentrale Basis Ihrer Antwort auf Anfragen Dritter zur Datenverarbeitung in Ihrem Unternehmen. Gründe für ein Verfahrensverzeichnis Verpflichtung und Unterstützung 1 Wozu ein Verfahrensverzeichnis? 3
1/1 Gesetzliche Grundlagen Eigentlich könnten Sie es sich einfach machen, wenn man Sie fragt, warum denn ein Verfahrensverzeichnis erstellt und geführt werden soll. Schließlich gibt es eine gesetzliche Verpflichtung dazu, wenn personenbezogene Daten verarbeitet werden. Sie würde auch dann bestehen, wenn kein Datenschutzbeauftragter bestellt wäre. Ihre gesetzliche Aufgabe beim Verfahrensverzeichnis: Verfügbar machen Als Datenschutzbeauftragter sind Sie eigentlich fein heraus, wenn es um das Verfahrensverzeichnis geht, jedenfalls in der Theorie. Obwohl die Übersicht der Verfahren der automatisierten Verarbeitung personenbezogener Daten durch den Verweis auf 4e BDSG unter den Aufgaben des Beauftragten für den Datenschutz ( 4g BDSG) auftaucht, sind Sie für die Erstellung des Verfahrensverzeichnisses nicht verantwortlich. Ihre gesetzliche Aufgabe hinsichtlich des Verfahrensverzeichnisses beschränkt sich eigentlich darauf, das Verzeichnis auf Antrag jedermann in geeigneter Weise verfügbar zu machen ( 4g Abs. 2 Satz 2 BDSG). Verpflichtung besteht auch ohne Datenschutzbeauftragten Arbeitgeber in der Verantwortung Tatsächlich ist es sogar so, dass ein Unternehmen, das keinen Datenschutzbeauftragten bestellen muss, trotzdem ein Verfahrensverzeichnis erstellen und auf Anfrage jedermann in geeigneter Weise zugänglich machen muss ( 4g Abs. 2 Satz 3 BDSG). So ist es auch die verantwortliche Stelle und somit der Arbeitgeber, der Ihnen das Verfahrensverzeichnis zur Verfügung stellen muss ( 4g Abs. 2 Satz 1 BDSG). Allerdings sollten Sie sich nicht auf den Standpunkt stellen, einfach einmal abzuwarten, ob die verantwortliche Stelle denn nun ein Verfahrensverzeichnis beibringt oder nicht: Wirken Sie trotzdem mit Wenn Sie kein Verfahrensverzeichnis bei der Aufnahme Ihrer Tätigkeit als Datenschutzbeauftragter oder jetzt, wo Sie sich damit genauer befassen vorfinden, sollten Sie die verantwortliche Stelle zur Übergabe eines Verfahrensverzeichnisses auffordern. Unter der verantwortlichen Stelle versteht man nach 3 BDSG: Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. 4 1/1 Gesetzliche Grundlagen
Dabei handelt es sich also insbesondere um die Unternehmensleitung. Ist die Qualität des vorhandenen Verfahrensverzeichnisses mangelhaft, sollten Sie auch darüber die verantwortliche Stelle informieren. Vorzugsweise sollten Sie dies schriftlich machen, um einen Nachweis über die erfolgte Mitteilung zu haben. In der Praxis wird man häufig versuchen, Sie als Datenschutzbeauftragten für die Erstellung verantwortlich zu machen. Dies wäre jedoch eine Zusatzaufgabe, die über Ihre gesetzlichen Aufgaben als Datenschutzbeauftragter hinausgeht. Trotzdem sollten Sie Ihre Unterstützung und Mitwirkung anbieten. Damit Ihr Aufwand dabei so gering wie möglich ist, unterstützt Sie der Verfahrensverzeichnis-Manager mit dem praxiserprobten Excel-Tool. Die Aufsichtsbehörden haben im Rahmen ihrer Prüftätigkeit ein Einsichtsrecht in das Verfahrensverzeichnis einer Daten verarbeitenden Stelle in ihrem Zuständigkeitsbereich. Wie die Aufsichtsbehörde ins Spiel kommt Leider stellen die Datenschutzaufsichtsbehörden immer wieder bei ihren Prüfungen fest, dass das Verfahrensverzeichnis fehlt oder Mängel aufweist. Nach 38 Abs. 5 Satz 1 BDSG kann die Aufsichtsbehörde dann die Erstellung eines Verfahrensverzeichnisses anordnen: Gegen die verantwortlichen Stellen, die dieser Anordnung nicht nachkommen, kann die Datenschutzaufsicht ein Zwangsgeld verhängen. Den möglichen Problemen mit der Aufsichtsbehörde und der Verhängung eines Zwangsgeldes kann und sollte die verantwortliche Stelle aus dem Weg gehen, am besten indem Ihre Unternehmensleitung und die von ihr beauftragten Fachbereiche gemeinsam mit Ihnen das Verfahrensverzeichnis entsprechend den gesetzlichen Anforderungen umsetzt. Hierbei hilft Ihnen und Ihrem Unternehmen der Verfahrensverzeichnis-Manager in vielfach erprobter Weise. 1/1 Gesetzliche Grundlagen 5
1/2 Der Unterschied zwischen internem und öffentlichem Verfahrensverzeichnis Bislang war die Rede von dem Verfahrensverzeichnis. Tatsächlich gibt es aber zwei Ausprägungen: das interne und das öffentliche Verfahrensverzeichnis, das Sie genau unterscheiden sollten. Nicht alles ist für jedermann bestimmt Bevor Sie eine Übersicht der Verfahren zur automatisierten Verarbeitung personenbezogener Daten öffentlich verfügbar machen, sollten Sie eine klare Unterscheidung treffen. So gibt es die interne Verarbeitungsübersicht ( 4e BDSG) und das öffentliche Verfahrensverzeichnis ( 4g BDSG). Der Unterschied steckt im Detail. Verarbeitungsübersicht: nur für den internen Gebrauch Die Verarbeitungsübersicht als internes Verfahrensverzeichnis soll folgende Punkte enthalten: Name und Anschrift der verantwortlichen Stelle Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen Adresse der verantwortlichen Stelle Zweckbestimmung der Datenerhebung, -verarbeitung oder - nutzung Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können Regelfristen für die Löschung der Daten eine geplante Datenübermittlung in Drittstaaten eine allgemeine Beschreibung der Sicherheitsmaßnahmen (mit zugriffsberechtigten Personen oder Kategorien von Personen), die es ermöglicht, die Sicherheit der Datenverarbeitung einzuschätzen 6 1/2 Der Unterschied zwischen internem und öffentlichem Verfahrensverzeichnis
Im öffentlich zugänglichen Verfahrensverzeichnis hingegen werden die Angaben beschränkt. So heißt es in 4g Abs. 2 BDSG: Öffentlich einsehbares Verfahrensverzeichnis Der Beauftragte für den Datenschutz macht die Angaben nach 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar. In 4e Satz 1 BDSG hingegen gibt es auch eine Nr. 9: eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind. Im öffentlich einsehbaren Verfahrensverzeichnis fehlen also die internen verfahrensbezogenen Angaben, insbesondere die zugriffsberechtigten Personen und etwaige Angaben über Sicherheitsmaßnahmen. Firmengeheimnisse haben ebenfalls nichts in einem öffentlichen Verfahrensverzeichnis zu suchen. Im Gegensatz zur internen Verarbeitungsübersicht, die vertrauliche, interne Angaben enthält, hat das Verfahrensverzeichnis nach 4g Abs. 2 BDSG einen öffentlichen Charakter. Hier besteht auf Antrag das Recht auf Einsicht für jedermann. Jedermann darf einsehen Dabei ist jedermann nicht etwa nur der Kreis der von der Datenverarbeitung Betroffenen, sondern jeder Einzelne, also jede natürliche Person. Klärungsbedarf besteht auch dafür, was denn in geeigneter Weise verfügbar machen bedeuten soll. Damit meint der Gesetzgeber, dass zu den Verfahren automatisierter Verarbeitung personenbezogener Daten nicht nur schriftliche Auskünfte möglich sind, zum Beispiel durch Ausdruck und Versand des öffentlichen Verfahrensverzeichnisses an den Anfragenden: Verfahrensverzeichnis in geeigneter Weise verfügbar machen Möglich wäre auch eine mündliche Auskunft durch Sie als Datenschutzbeauftragten. Zudem könnten Sie eine Möglichkeit zur persönlichen Einsichtnahme schaffen, also das öffentliche Verfahrensverzeichnis zum Beispiel am Empfang Ihres Unternehmens hinterlegen. Gerade im Online-Bereich bietet es sich zudem an, das öffentliche Verfahrensverzeichnis auf der Unternehmenswebseite im Internet zu publizieren. 1/2 Der Unterschied zwischen internem und öffentlichem Verfahrensverzeichnis 7
1/3 Ihr Nutzen aus dem Verfahrensverzeichnis Gründe für ein Verfahrensverzeichnis Mehrfach berechtigter Aufwand Das interne und das öffentliche Verfahrensverzeichnis sind mehr als eine gesetzliche Verpflichtung für Ihr Unternehmen. Als Datenschutzbeauftragter haben Sie einen hohen praktischen Nutzen aus dem Verfahrensverzeichnis. Die gesetzliche Pflicht für die verantwortliche Stelle zur Erstellung, das Einsichtsrecht der Aufsichtsbehörde und die Gefahr eines Zwangsgeldes bei fehlenden oder mangelhaften Verfahrensverzeichnissen eigentlich sind dies schon genug Gründe dafür, sich mit dem Verfahrensverzeichnis zu befassen. Doch es gibt auch noch Gründe, die für Sie als Datenschutzbeauftragten besonders motivierend sind. Werkzeug für die interne Datenschutzüberwachung Die Verarbeitungsübersicht, also das interne Verfahrensverzeichnis, ist ein wichtiges Werkzeug, ja das Werkzeug schlechthin für die interne Datenschutzüberwachung, die zu Ihren Hauptaufgaben zählt. Durch die Verarbeitungsübersicht haben Sie einen zentralen Überblick über die Datenverarbeitung. Die Verarbeitungsübersicht hilft Ihnen bei Ihrer Kontrolle der Einhaltung der Vorschriften über den Datenschutz, als Hilfsmittel zur Wahrnehmung der Betroffenenrechte, z.b. bei der Auskunft über gespeicherte Daten, der Berichtigung oder Löschung und Sperrung von personenbezogenen Daten, und bei Anfragen der Datenschutzaufsichtsbehörde, wenn diese im Rahmen einer Kontrolle die Rechtmäßigkeit der Datenerhebung, - verarbeitung oder -nutzung überprüft. Aktualität erforderlich Damit jedoch ein Verfahrensverzeichnis zuverlässig darüber Auskunft geben kann, welche personenbezogenen Daten unter Verwendung welcher automatisierten Verfahren auf welche Weise verarbeitet oder genutzt werden und welche Datenschutzmaßnahmen durchgeführt werden, muss es vollständig und aktuell sein. Bei dieser wichtigen Aufgabe hilft Ihnen Ihr Verfahrensverzeichnis- Manager, den Sie als Excel-Tool auf der CD finden. 8 1/3 Ihr Nutzen aus dem Verfahrensverzeichnis