Verfahrensverzeichnis im BDSG und in der EU-Datenschutzgrundverordnung

Eines der zentralen Aufgaben eines Datenschutzbeauftragten ist das Erstellen und Pflegen eines Verfahrensverzeichnisses. Gemäß § 4 d Abs. 2 BDSG soll dem Beauftragten für den Datenschutz von der verantwortlichen Stelle eine Übersicht über die in § 4 e Satz 1 genannten Angaben und zugriffsberechtigten Personen zur Verfügung gestellt werden. Diese Aufstellung und Übersicht wird in der Praxis mit „Verfahrensverzeichnis“ oder „Verfahrensdokumentation“ bezeichnet. In § 4 e BDSG sind verschiedene Unterpunkte genannt, die in dem Verfahrensverzeichnis im Einzelnen aufzulisten sind.

Einleitung

Während das Gesetz davon ausgeht, dass die verantwortliche Stelle die entsprechenden Informationen und die Übersicht dem Datenschutzbeauftragten zur Verfügung stellt, ist die Praxis häufig anders. Der Datenschutzbeauftragte erstellt ein entsprechendes Verfahrensverzeichnis, holt sich die Informationen ein und aktualisiert die entsprechende Dokumentation.

Mit dem Verfahrensverzeichnis soll Transparenz geschaffen werden und der Datenschutzbeauftragte erhält eine Übersicht über die technischen Verfahren, die personenbezogene Daten verarbeiten. Das Verfahrensverzeichnis ist auch eine wichtige Unterlage und Hilfe für Datenschutzaufsichtsbehörden bei Prüfungen.

Der Begriff „Verfahren“ ist selber im Bundesdatenschutzgesetz nicht definiert. Abgeleitet aus Artikel 18 Abs. 1 der EU-Richtlinie 95/46 EG ergibt sich aber folgende Definition:

„Unter Verfahren ist die Gesamtheit an Verarbeitung zu verstehen, mit denen eine ohne mehrere miteinander verbundene Zweckbestimmungen realisiert werden sollen. Ein Verfahren kann eine Vielzahl von Datenverarbeitungsdateien umfassen“.

Typische Verfahren sind beispielsweise Personalverwaltungs- und Abrechnungssysteme, CRN-Systeme oder personenbezogene Daten aus der Finanzbuchhaltung. 

Gemäß  § 4 e BDSG sollen eigentlich die Verfahren automatisierter Verarbeitung der Aufsichtsbehörde gemeldet werden. Gemäß § 4 d Abs. 2 BDSG entfällt die Meldepflicht, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat. Hier wechselt die externe Kontrolle durch die Datenschutzaufsicht hin zu einer internen Kontrolle durch den betrieblichen Datenschutzbeauftragten.

Gemäß den aktuellen Regelungen soll der Datenschutzbeauftragte auf eine Erstellung des Verfahrensverzeichnisses hinwirken. Nach den gesetzlichen Regelungen ist die verantwortliche Stelle zuständig für die Erstellung und Führung des Verfahrensverzeichnisses. Das Verfahrensverzeichnis muss immer aktuell und vollständig sein. Begründet wird die entsprechende Aufgabenverteilung damit, dass nur die verantwortliche Stelle einen Überblick und Kenntnis über Einzelheiten der Verarbeitungsprozesse hat. Der Datenschutzbeauftragte ist auf entsprechende Dokumentation durch die verantwortliche Stelle angewiesen.

Inhalt eines Verfahrensverzeichnisses

In ein Verfahrensverzeichnis sind allgemeine Angaben zur verantwortlichen Stelle enthalten, beispielsweise Name oder Firma der verantwortlichen Stelle, der Geschäftsführer und die Anschrift.

Bedeutend in der Praxis ist die Zweckbestimmung der Datenerhebung, Datenverarbeitung oder Datennutzung. Hier kann zu späteren Zeiten abgeglichen werden, ob eine aktuelle Datenverarbeitung noch mit der ursprünglichen Zweckbestimmung einhergeht. Weiterhin ist zu beschreiben, welche Personengruppe oder Personen betroffen sind und wer die personenbezogenen Daten erhält.

In einem Verfahrensverzeichnis ist darüber hinaus anzugeben, welche Regelfristen für die Löschung der Daten gelten. Auch wird im Einzelnen beschrieben, welche Datenübermittlung in Drittstaaten bestehen oder geplant sind.

Diese Angaben sind nach den Regelungen des Bundesdatenschutzgesetzes auch gegebenenfalls Dritten zur Verfügung zu stellen. Hier wird häufig von einem „Jedermannverzeichnis“ gesprochen. Nach dem Bundesdatenschutzgesetz hat jeder ein Recht auf Einsicht in das Verfahrensverzeichnis. Dazu bedarf es weder eines berechtigten Interesses noch muss irgendein Interesse nachgewiesen werden.

Neben dem öffentlichen Verfahrensverzeichnis gibt es Informationen, die nur für den internen Gebrauch bestimmt sind oder im Falle einer Prüfung der Datenschutzaufsicht zur Verfügung gestellt werden sollen. Dazu gehört eine allgemeine Beschreibung der Maßnahmen, die eine Sicherheit der Verarbeitung personenbezogener Daten angemessen gewährleistet. Hier verweist die gesetzliche Regelung in § 4 e BDSG auf § 9 BDSG. Weiterhin sollen dem betrieblichen Datenschutzbeauftragten die zugriffsberechtigten Personen mitgeteilt werden.

Form des Verfahrensverzeichnisses

Weder im BDSG noch in der zukünftig umzusetzenden EU-Datenschutzgrundverordnung gibt es Vorschriften über die Form eines Verfahrensverzeichnisses. Hier kann der Datenschutzbeauftragte sich eigene Arbeitsunterlagen erstellen.

Es empfiehlt sich aber in der Praxis, ein ausreichendes Dokumentationssystem zu erstellen, um auch Änderungen und Überarbeitungen des Verfahrensverzeichnisses ausreichend zu hinterlegen.

Das Verfahrensverzeichnis nach der EU-Datenschutzgrundverordnung

Mit der EU-Datenschutzgrundverordnung, die ab dem 25.05.2018 gilt, treten auch Änderungen für die Anforderungen an ein Verfahrensverzeichnis ein. Hier ist Artikel 30 der EU-Datenschutzgrundverordnung (DSGVO) bedeutsam. Jeder Verantwortliche führt ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen. So fordern es die neuen EU-Regelungen. Inhaltlich ergeben sich zunächst keine Besonderheiten. Der Zweck der Verarbeitung, die Empfänger und betroffenen Personen sind zu benennen. Die weiteren Einzelheiten entsprechen den Belehrungen im BDSG. Es soll darüber hinaus eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Abs. 1 DSGVO enthalten sein.

Eine Besonderheit besteht aber mit Blick auf die Verpflichtungen des betrieblichen Datenschutzbeauftragten und auch des behördlichen Datenschutzbeauftragten. Während bisher in vielen Datenschutzgesetzen des Bundes und der Länder ein Hinwirken des Datenschutzbeauftragten auf die Einhaltung der gesetzlichen Regelungen ausreichend ist, erwartet nunmehr der EU-Gesetzgeber, dass eine Überwachung der Einhaltung der Regeln stattfindet. Damit entstehen erheblich stärkere Verpflichtungen für einen Datenschutzbeauftragten. Er muss konkret überprüfen, ob zum einen ein entsprechendes ordnungsgemäßes Verfahrensverzeichnis besteht und zum anderen auch die Beschreibung inhaltlich passend sind. Fehlt ein Verfahrensverzeichnis entgegen den gesetzlichen Regelungen entsteht ein erhebliches Bußgeldrisiko für Unternehmen und Behörden. Insbesondere die Bußgeldbedrohung für Behörden weicht erheblich von den bisherigen Bußgeldvorschriften ab. In der ersten Bußgeldstufe können Bußgelder bis zu 10. Mio. € auch gegenüber Behörden verhängt werden. Ausdrücklich fordert die DSGVO, dass zukünftig Bußgelder abschreckend sein sollen.

In Artikel 30 Abs. 5 DSGVO ist eine Ausnahmeregelung für kleinere Unternehmen vorgesehen. Hier gab es im Vorfeld der Veröffentlichung der DSGVO bereits Meldungen, dass unter der Regelung der DSGVO die Verfahrensverzeichnisse für kleinere Unternehmen entfallen. Dies ist aber falsch. Eine Ausnahme der Regelung besteht bei Unternehmen, die weniger als 250 Mitarbeiter beschäftigen. Für Verarbeitungen, die kein erhebliches Risiko für Betroffene ergeben, die nicht nur gelegentlich angewendet werden oder die keine sensiblen Daten enthalten, kann ein Verfahrensverzeichnis entfallen. Nach unserer ersten Beobachtung in Diskussionen mit Mandanten über die Erstellung der Verfahrensverzeichnisse haben wir allerdings keine praktischen Anwendungsfälle erkennen können, bei denen auf die Erstellung von Verfahrensverzeichnissen für kleinere Unternehmen verzichtet werden kann. Unser Eindruck ist, dass die Befreiung für kleinere Unternehmen in Artikel 30 Abs. 5 DSGVO in der Praxis keine Rolle spielen wird.

Unsere Einschätzung bezüglich der EU-Datenschutzgrundverordnung (DSGVO)

Wichtig ist aus unserer Sicht, dass behördliche und betriebliche Datenschutzbeauftragte deutlich sehen, dass sie mit Blick auf das Verfahrensverzeichnis zukünftig stärker in der Pflicht sind und Überwachungsaufgaben haben. Es sollte zum 25.05.2018, wenn die EU-Datenschutzgrundverordnung von allen Mitgliedsstaaten und damit von allen Behörden und Unternehmen anzuwenden ist, eine entsprechendes ausreichendes Verfahrensverzeichnis und eine gesetzeskonforme Verfahrensdokumentation bestehen. Gern beraten wir Sie bundesweit bei der Erstellung eines Verfahrensverzeichnisses. Wir unterstützen auch Unternehmen und Behörden bei der Umsetzung der neuen Anforderungen aus der EU-Datenschutzgrundverordnung (DSGVO).

 
1 Star2 Stars3 Stars4 Stars5 Stars 3 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*