Sind Sie fit im Datenschutz?

Grundsätzlich sind Unternehmen gemäß § 4d (1) BDSG verpflichtet, ihre “automatisierten Verarbeitungen” bei der zuständigen Aufsichtsbehörde anzumelden, bevor sie diese in Betrieb nehmen. Die meldepflichtigen Angaben ergeben sich dabei aus § 4e Satz 1 BDSG. Die Angaben der Meldung führt die Aufsichtsbehörde in einem für jedermann einsehbaren Register – auch bekannt als “Jedermann- Verfahrensverzeichnis”.

Nun die gute Nachricht: Hat ein Unternehmen einen Datenschutzbeauftragten (DSB) bestellt, entfällt diese Meldepflicht in der Regel. Allerdings erlöst dies das Unternehmen nicht davon, die meldepflichtigen Angaben dennoch zu erheben und zu dokumentieren. Zum einen ist das Unternehmen verpflichtet, dem DSB für seine tägliche Arbeit eine Übersicht zu machen, mit den Angaben, die sonst an die Aufsichtbehörde gemeldet werden müssen. Diese Übersicht soll es dem DSB ermöglichen, die Rechtmäßigkeit der Verarbeitung der Daten zu kontrollieren und besondere Risiken zu erkennen.

Zum anderen muss der DSB in der Lage sein, sozusagen statt der Aufsichtsbehörde, auf Antrag bestimmte Angaben jedermann “in geeigneter Weise verfügbar” zu machen. Angesichts der unterschiedlichen Zielrichtungen dieser Übersichten entspricht es guter betrieblicher Praxis, letztlich zwei Verfahrensverzeichnisse zu führen: eines für “Jedermann” und eine “interne” Übersicht, die weitere und detaillierte Angaben enthält, welche der DSB zur Durchführung seiner Aufgaben benötigt.

Ein so genanntes “Jedermann-Verfahrensverzeichnis” muss dabei lediglich die nach § 4 e Satz 1 Nr. 1-8 BDSG geforderten Angaben enthalten. Das heißt im Detail:

1. Name oder Firma der verantwortlichen Stelle,
   
2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
   
3. Anschrift der verantwortlichen Stelle,
   
4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
   
5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
   
6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
   
7. Regelfristen für die Löschung der Daten,
   
8. eine geplante Datenübermittlung in Drittstaaten.

Ein “internes” Verfahrensverzeichnis sollte darüber hinaus insbesondere Informationen zu den technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten liefern (§ 4e Satz 1 Nr. 9 BDSG), außerdem Angaben über zugriffsberechtigte Personen (§ 4g Abs. 2 Satz 1 BDSG), sowie genauere Daten zum Standort der jeweiligen Datenverarbeitung. Zudem eventuelle Ansprechpartner am Ort, die Beschreibung der eingesetzten Hard- und Software und Angaben zum Stand der Planungen im Falle eines neu einzuführenden Verfahrens. Das gilt insbesondere für die so genannte Vorab-Kontrolle (§ 4d Abs. 5 BDSG).

Da die Vorgaben des BDSG zum Verfahrensverzeichnis recht abstrakt sind, soll im nächsten Teil dieser Serie genauer auf die mögliche Gestaltung und den Aufbau des Verfahrensverzeichnisses eingegangen werden.