Categories: Management

Sind Sie fit im Datenschutz?

Grundsätzlich sind Unternehmen gemäß § 4d (1) BDSG verpflichtet, ihre “automatisierten Verarbeitungen” bei der zuständigen Aufsichtsbehörde anzumelden, bevor sie diese in Betrieb nehmen. Die meldepflichtigen Angaben ergeben sich dabei aus § 4e Satz 1 BDSG. Die Angaben der Meldung führt die Aufsichtsbehörde in einem für jedermann einsehbaren Register – auch bekannt als “Jedermann- Verfahrensverzeichnis”.

Nun die gute Nachricht: Hat ein Unternehmen einen Datenschutzbeauftragten (DSB) bestellt, entfällt diese Meldepflicht in der Regel. Allerdings erlöst dies das Unternehmen nicht davon, die meldepflichtigen Angaben dennoch zu erheben und zu dokumentieren. Zum einen ist das Unternehmen verpflichtet, dem DSB für seine tägliche Arbeit eine Übersicht zu machen, mit den Angaben, die sonst an die Aufsichtbehörde gemeldet werden müssen. Diese Übersicht soll es dem DSB ermöglichen, die Rechtmäßigkeit der Verarbeitung der Daten zu kontrollieren und besondere Risiken zu erkennen.

Zum anderen muss der DSB in der Lage sein, sozusagen statt der Aufsichtsbehörde, auf Antrag bestimmte Angaben jedermann “in geeigneter Weise verfügbar” zu machen. Angesichts der unterschiedlichen Zielrichtungen dieser Übersichten entspricht es guter betrieblicher Praxis, letztlich zwei Verfahrensverzeichnisse zu führen: eines für “Jedermann” und eine “interne” Übersicht, die weitere und detaillierte Angaben enthält, welche der DSB zur Durchführung seiner Aufgaben benötigt.

Ein so genanntes “Jedermann-Verfahrensverzeichnis” muss dabei lediglich die nach § 4 e Satz 1 Nr. 1-8 BDSG geforderten Angaben enthalten. Das heißt im Detail:


  1. Name oder Firma der verantwortlichen Stelle,
  2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
  3. Anschrift der verantwortlichen Stelle,
  4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
  5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
  6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
  7. Regelfristen für die Löschung der Daten,
  8. eine geplante Datenübermittlung in Drittstaaten.

Ein “internes” Verfahrensverzeichnis sollte darüber hinaus insbesondere Informationen zu den technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten liefern (§ 4e Satz 1 Nr. 9 BDSG), außerdem Angaben über zugriffsberechtigte Personen (§ 4g Abs. 2 Satz 1 BDSG), sowie genauere Daten zum Standort der jeweiligen Datenverarbeitung. Zudem eventuelle Ansprechpartner am Ort, die Beschreibung der eingesetzten Hard- und Software und Angaben zum Stand der Planungen im Falle eines neu einzuführenden Verfahrens. Das gilt insbesondere für die so genannte Vorab-Kontrolle (§ 4d Abs. 5 BDSG).

Da die Vorgaben des BDSG zum Verfahrensverzeichnis recht abstrakt sind, soll im nächsten Teil dieser Serie genauer auf die mögliche Gestaltung und den Aufbau des Verfahrensverzeichnisses eingegangen werden.

Silicon-Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

17 Stunden ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

17 Stunden ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

3 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

5 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

5 Tagen ago