Datenschutz: Das optimale Verfahrensverzeichnis

Die Erstellung von Verfahrensverzeichnissen ist für betriebliche und behördliche Datenschutzbeauftragte immer wieder eine Herausforderung. Der Inhalt des IMG_0098Verfahrensverzeichnisses leitet sich aus den in § 4 g Abs. 2 Satz 1 BDSG genannten Übersichten ab. Darin wird auf die weiteren inhaltsmäßigen Vorgaben gemäß § 4 e BDSG verwiesen.

Ob eine Softwarelösung zur Unterstützung der Erstellung eines Verfahrensverzeichnisses hilfreich ist, muss im Einzelfall geprüft werden. Im Internet stehen diverse Muster zur Verfügung, sodass nicht unbedingt eine Softwarelösung angeschafft werden muss, um ein Verfahrensverzeichnis zu erstellen. Ziel ist es, zum einen dem Datenschutzbeauftragten eine Übersicht über die Verarbeitung der personenbezogenen Daten zu geben, zum anderen ihn auch die Überprüfung der ordnungsgemäßen Anwendung des Datenschutzes im Datenverarbeitungsprogramm zu ermöglichen.

Das Gesetz sieht keine Formvorschrift vor. Allerdings empfiehlt sich in der Praxis entweder eine elektronische Archivierung oder die Erstellung von Papier-Verfahrensverzeichnissen.

Folgende Verfahren werden in vielen Unternehmen und auch Behörden zu beschreiben sein:

  • Reisekostenabrechnungssystem
  • Buchhaltungssystem
  • Videoüberwachungssystem
  • Akten- und Datenträgervernichtungsverfahren
  • Schlüsselverwaltung
  • Zeiterfassungssystem
  • Lohn- und Gehaltsabrechnungssystem
  • Personalverwaltungssystem
  • Virenscanner
  • Spamfilter
  • Elektronisches Mitarbeiterverzeichnis und elektronischer Kalender
  • E-Mailsystem
  • Warenwirtschaftssystem
  • Bewerberdatenbanken

Im Einzelfall kann es durchaus einige Wochen und Monate dauern, bis alle Verfahren dokumentiert sind, in denen personenbezogene Daten verarbeitet werden.

In der Praxis sollten betriebliche und behördliche Datenschutzbeauftragte immer darauf achten, dass auch die „Schatten-EDV“ mit berücksichtigt wird. In vielen Behörden und Unternehmen führen Mitarbeiter Excel basierte oder auch selbstprogrammierte Listen und Programme, die ebenfalls personenbezogene Daten enthalten.

Vielfach diskutiert werden in der Praxis die Löschfristen. Dies ist aus datenschutzrechtlicher Sicht immer wieder auch ein guter Ansatzpunkt, die Archivierung der personenbezogenen Daten zu organisieren oder zu optimieren.

Soweit eine Auftragsdatenverarbeitung vorliegt, sind darüber hinaus die Anforderungen des § 11 Bundesdatenschutzgesetzes zu berücksichtigen. Gegebenenfalls ist ein eigener Vertrag zur Auftragsdatenverarbeitung zu unterzeichnen.

Der Weg zu einem vollständigen Verfahrensverzeichnis ist häufig mit einigen Hindernissen versehen. Nach unserer Erfahrung als externe Datenschutzbeauftragte ist dieser Weg aber lohnend und führt in vielen Fällen zu den aus datenschutzrechtlicher Sicht kritischen Themen und Aspekten.

 
1 Star2 Stars3 Stars4 Stars5 Stars 5 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*