Verfahrensverzeichnis

daten 19
Fachbeitrag

Verfahrensverzeichnis – was ist das?

Bei einem schnellen Blick in das Bundesdatenschutzgesetz (BDSG) wird man den Begriff Verfahrensverzeichnis selbst nicht finden. Gemeint ist damit ein Element des Datenschutzmanagements, das der Bestandsaufnahme über die laufenden Verarbeitungen von personenbezogenen Daten dient. Das Gesetz spricht in § 4g Abs. 2 BDSG von einer „Übersicht“, die dem betrieblichen Datenschutzbeauftragten zur Verfügung gestellt wird. Bei genauerer Betrachtung unterscheidet der Gesetzgeber zwischen zwei Arten von Verfahrensverzeichnissen, dem internen und dem öffentlichen Verfahrensverzeichnis.

Worin unterscheiden sich das interne und das öffentliche Verfahrensverzeichnis?

Der Unterschied zwischen internem und öffentlichem Verfahrensverzeichnis liegt hauptsächlich im Umfang der Aufstellung und der entsprechenden Verpflichtung, die Inhalte jedermann – also auch unbeteiligten Dritten – zugänglich zu machen. Das interne Verfahrensverzeichnis (auch Verfahrensbeschreibung genannt) enthält umfangreichere Angaben als das öffentliche Verfahrensverzeichnis. Es dient dazu, eine betriebsinterne Selbstkontrolle zu ermöglichen. Das öffentliche Verfahrensverzeichnis hingegen soll nach außen hin Transparenz über die Datenverarbeitungsvorgänge schaffen. Daher muss es im Gegensatz zum internen Verfahrensverzeichnis unter gewissen Voraussetzungen jedermann zugänglich gemacht werden (deshalb auch als “Jedermann-Verzeichnis” bezeichnet).

Was gehört in ein internes Verfahrensverzeichnis?

Die für das interne Verfahrensverzeichnis erforderlichen Angaben sind vom Gesetzgeber als Mindestanforderungen definiert. Hierzu heißt es in der entsprechenden gesetzlichen Grundlage (§ 4g Abs. 2 BDSG):

Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stelle eine Übersicht über die in § 4e Satz 1 genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen.

Die verantwortliche Stelle i.S.d. § 3 Abs. 7 BDSG, also etwa der Geschäftsführer des Unternehmen, trägt dafür die Verantwortung, dem Datenschutzbeauftragten bei “Verfahren automatisierter Verarbeitungen” (wie es in § 4e Satz 1 heißt) eine Übersicht zu folgenden Punkten bereitzustellen:

  1. Name oder Firma der verantwortlichen Stelle,
  2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
  3. Anschrift der verantwortlichen Stelle,
  4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
  5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
  6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
  7. Regelfristen für die Löschung der Daten,
  8. eine geplante Datenübermittlung in Drittstaaten,
  9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.

Wenn Sie sich fragen, was genau ein “Verfahren” sein soll, hilft Ihnen der Wortlaut des Gesetzes an dieser Stelle nicht weiter – eine Definition für das Verfahren gibt es nicht. Gemeint ist ein Überblick über die Verarbeitungsstrukturen und nicht einzelne Verarbeitungsvorgänge. Konkret sind hierunter „Verarbeitungspakete“ zu verstehen, z.B. im Zusammenhang mit der Mitglieder- oder Personalverwaltung, Telefondatenerfassung, Videoüberwachung, Kundenbetreuung etc.

Was gehört in ein öffentliches Verfahrensverzeichnis?

Was in das öffentliche Verfahrensverzeichnis gehört, ergibt sich in Zusammenschau mit § 4g Abs. 2 BDSG. Dort heißt es:

Der Beauftragte für den Datenschutz macht die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar.

Danach besteht das öffentliche Verfahrensverzeichnis aus einer im Vergleich zum internen Verfahrensverzeichnis reduzierten Aufstellung von Angaben, nämlich der oben unter 1-8 dargestellten. Was im Gegensatz zum internen Verzeichnis fehlt, sind also die allgemeinen Beschreibungen der technischen und organisatorischen Maßnahmen und der zugriffsberechtigten Personen. Dies ist nicht nur sinnvoll sondern auch erforderlich, denn diese Information sollte auf jeden Fall innerhalb Ihrer organisatorischen Einheit bleiben.

Wie sich aus dem Gesetzeswortlaut ergibt, ist der Datenschutzbeauftragte später dafür zuständig, die Übersicht jedermann (auf Antrag) verfügbar zu machen. In welcher Form das Verfahrensverzeichnis verfügbar gemacht werden soll, ist gesetzlich nicht festgelegt. Das Unternehmen kann selbst bestimmen, wie es diese Pflicht erfüllt.

Welche Vorteile hat ein effektives Management der Verfahrensverzeichnisse?

Gewiss bringt das Erstellen und Pflegen der Verfahrensverzeichnisse einen gewissen Aufwand mit sich. Demgegenüber stehen allerdings beachtlichen Vorteile:

  1. Die Arbeit des Datenschutzbeauftragten wird erleichtert: Er erhält schnell eine Übersicht über die laufenden Verarbeitungen von personenbezogenen Daten und kann darauf seine datenschutzrechtliche Prüfung aufbauen.
  2. Bei einer Prüfung durch die zuständige Aufsichtsbehörde für den Datenschutz sind regelmäßig beide Verfahrensverzeichnisse vorzulegen. Dieser Pflicht kann ohne Vorlaufzeit nachgekommen werden.
  3. Da Betroffene einen Auskunftsanspruch haben (vgl. § 34 BDSG), lohnt es sich, wenn der Datenschutzbeauftragte das öffentliche Verfahrensverzeichnis schon parat hat und nicht erst im Rahmen einer Anfrage eine Übersicht erstellen muss.

Um die Vorteile auch im Rahmen Ihrer betrieblichen Praxis nutzen zu können, ist es lohnenswert entsprechende Ressourcen bereitzustellen.

12 Kommentare zu diesem Beitrag

  1. Wie kann ich Firmen, die mir auf Anfrage kein “Jedermann-Verzeichnis” zeigen, dazu zwingen mir eines zu zeigen. Ich habe in der Vergangenheit bei der Verkehrspolizei, bei KFZ-Versicherungen und anderen Unternehmen, die meine Daten elektronisch speichern nachgefragt (mündlich) und bin ausnahmslos mit der Antwort: “Haben wir nicht, unser Datenschutzbeauftragter meldet sich bei Ihnen” auf unbestimmt vertröstet worden. Gibt es da eine offizielle Telefonnummer, die man anrufen kann und der (Datenschutzmann des Staates) dann erklärt, dass sie mir das zeigen müssen?

  2. Ist den mit einem Verfahren eher eine Software oder eine Aufgabe / Arbeitsschritt / od. sogar ein ganzer Prozess zu beschreiben? Ich habe Schwierigkeiten das einzuordnen.

    • Damit ist tendentiell gemeint: “wie wird in Ihrem Unternehmen mit personenbezogenen Daten verfahren?” Im internen Verzeichnis sollten ALLE Arbeitsschritte, Aufgaben, EDV-Anwendungen usw. separat und detailliert aufgeführt sein, bei denen personenbezogene Daten verarbeitet werden. Das hilft dem DSB ungemein überhaupt einschätzen zu können, was so alles vor sich geht und ob alles seine Richtigkeit hat. Ins öffentliche Verzeichnis gehören sensible Detail-Informationen natürlich eher nicht hinein (Ausnahmen wie die namentliche Nennung des IT-Leiters stehen im BDSG). Allerdings darf man auch nicht beliebig verknappen. So sollte unter 4. schon etwas genauer angegeben werden, ob, warum und welche Daten verarbeitet werden und nicht pauschale Formulierungen wie “typische Personaldaten” usw. verwendet werden. Eine beispielhafte Aufzählung hat sich bewährt (erschöpfende Aufzählungen sprengen schnell wieder jeglichen Rahmen).

  3. Welche Rechte und Pflichten habe ich als Inhaberin einer Arztpraxis bezüglich des Anlegens eines Verfahrensverzeichnisses?

    • Wie Sie richtig angedeutet haben, ist das Anlegen eines solchen Verzeichnisses grundsätzlich die Aufgabe der verantwortlichen Stelle, also der des Unternehmens. Formvorschriften für Verfahrensbeschreibungen sowie das Verzeichnis gibt es dabei nicht. Wie oben beschrieben, dient es zum einen der betriebsinternen Selbstkontrolle und zum anderen nach außen hin der Transparenz. Zu berücksichtigen sind dabei stets die allgemeinen gesetzlichen Vorschriften des konkreten Berufsbildes, also beispielsweise die Wahrung von Patientengeheimnissen. Zudem ist aufgrund der besonderen Arten personenbezogener Daten (beispielsweise Gesundheit oder Sexualleben) in der Regel eine Vorabkontrolle vorgesehen, welche besondere Risiken für die Rechte und Freiheiten der Betroffen aufweisen soll. Dies gilt nicht, wenn die Datenerhebung, Verarbeitung oder Nutzung für die Durchführung eines rechtsgeschäftlichen Schuldverhältnisses erforderlich ist, wozu u.a. Behandlungsverträge bei Ärzten gehören.

    • Das Verfahrensverzeichnis sollte stets den aktuellen Stand widergeben, und zwar aus verschiedenen Gründen, z.B.: Im Unternehmen sollten die Umstände der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten bekannt sein – im eigenen Interesse, da das Unternehmen und ihre gesetzlichen Vertreter, aber auch Beschäftigte für unzulässige Datenerhebungen, -verarbeitungen und -nutzungen haften. Betroffene, z.B. Mitarbeiter, Kunden etc. haben einen Anspruch auf Auskunft in Bezug auf den Umgang mit ihren personenbezogene Daten. Bei Geltendmachung dieses Anspruchs sollte die verantwortliche Stelle unverzüglich reagieren können. Das bedeutet im Ergebnis, dass Verfahrensverzeichnisse den tatsächlichen und rechtlichen Gegebenheiten anzupassen sind.

  4. Wir vertreiben eine Standardsoftware eines bekannten Herstellers für die Gehaltsabrechnung. Ein Kunde möchte nun von uns konkret wissen, welches Feld in welcher Maske mit schützenswerten Daten gefüllt. wird. Ist dies bei der Prüfung einer Standardsoftware überhaupt erforderlich? Es gibt ein Zertifikat von der ITSG und ich meine, dass dies ausreichend ist. Der Hersteller hat hierzu keine weiteren Informationen, da sich die Eingaben aus der Leistungsbeschreibung ergibt und vom Kunden selbst vorgenommen wird.

    • Inwieweit die Dokumentation der in die einzelnen Felder einzugebenden schützenswerten Daten für die Prüfung durch den Kunden relevant ist, hängt vom Prüfkonzept des Kunden ab. Vielleicht hilft hier eine Rückfrage bei dem Kunden. Eine abschließende gesetzliche Festlegung, welche Daten schützenswert sind, existiert nicht. Es gilt: Betriebliche Daten und Informationen sind grundsätzlich schützenswert. Dies gilt auch für nicht personenbezogene Daten. Ihnen dürfte es an einigen Stellen schwer fallen, zu entscheiden, welche Daten für den Kunden konkret schützenswert sind. Vor diesem Hintergrund könnte es für den Kunden ausreichend sein, wenn ihm Screenshots der einzelnen Masken zur Verfügung gestellt werden.

  5. Wird es hier ebenfalls zu Anpassungen auf Grund der Transparenzpflichten im Rahmen der DSGVO geben? Können Sie hierzu genauere Angaben machen; bspw. wie ein VV zu ergänzen ist? Vielen Dank!

    • Verfahrensverzeichnisse werden nach der DSGVO „Verzeichnis von Verarbeitungstätigkeiten“ heißen. Der genaue Inhalt ergibt sich aus Art. 30 Abs. 1 DSGVO. Hierbei dürfte es sich um das ehemalige „interne Verfahrensverzeichnis“ handeln. Das öffentliche Verfahrensverzeichnis ist weiterhin nicht explizit geregelt. Wie dieses konkret auszusehen hat und tatsächlich zu veröffentlichen ist (Vorhalten im Unternehmen oder auf der Homepage bereit halten), ist derzeit noch nicht abschließend geklärt.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.