Grundsätzlich sind Unternehmen gemäß § 4d (1) BDSG verpflichtet, ihre “automatisierten Verarbeitungen” bei der zuständigen Aufsichtsbehörde anzumelden, bevor sie diese in Betrieb nehmen. Die meldepflichtigen Angaben ergeben sich dabei aus § 4e Satz 1 BDSG. Die Angaben der Meldung führt die Aufsichtsbehörde in einem für jedermann einsehbaren Register – auch bekannt als “Jedermann- Verfahrensverzeichnis”.
Nun die gute Nachricht: Hat ein Unternehmen einen Datenschutzbeauftragten (DSB) bestellt, entfällt diese Meldepflicht in der Regel. Allerdings erlöst dies das Unternehmen nicht davon, die meldepflichtigen Angaben dennoch zu erheben und zu dokumentieren. Zum einen ist das Unternehmen verpflichtet, dem DSB für seine tägliche Arbeit eine Übersicht zu machen, mit den Angaben, die sonst an die Aufsichtbehörde gemeldet werden müssen. Diese Übersicht soll es dem DSB ermöglichen, die Rechtmäßigkeit der Verarbeitung der Daten zu kontrollieren und besondere Risiken zu erkennen.
Zum anderen muss der DSB in der Lage sein, sozusagen statt der Aufsichtsbehörde, auf Antrag bestimmte Angaben jedermann “in geeigneter Weise verfügbar” zu machen. Angesichts der unterschiedlichen Zielrichtungen dieser Übersichten entspricht es guter betrieblicher Praxis, letztlich zwei Verfahrensverzeichnisse zu führen: eines für “Jedermann” und eine “interne” Übersicht, die weitere und detaillierte Angaben enthält, welche der DSB zur Durchführung seiner Aufgaben benötigt.
Ein so genanntes “Jedermann-Verfahrensverzeichnis” muss dabei lediglich die nach § 4 e Satz 1 Nr. 1-8 BDSG geforderten Angaben enthalten. Das heißt im Detail:
Ein “internes” Verfahrensverzeichnis sollte darüber hinaus insbesondere Informationen zu den technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten liefern (§ 4e Satz 1 Nr. 9 BDSG), außerdem Angaben über zugriffsberechtigte Personen (§ 4g Abs. 2 Satz 1 BDSG), sowie genauere Daten zum Standort der jeweiligen Datenverarbeitung. Zudem eventuelle Ansprechpartner am Ort, die Beschreibung der eingesetzten Hard- und Software und Angaben zum Stand der Planungen im Falle eines neu einzuführenden Verfahrens. Das gilt insbesondere für die so genannte Vorab-Kontrolle (§ 4d Abs. 5 BDSG).
Da die Vorgaben des BDSG zum Verfahrensverzeichnis recht abstrakt sind, soll im nächsten Teil dieser Serie genauer auf die mögliche Gestaltung und den Aufbau des Verfahrensverzeichnisses eingegangen werden.
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…
Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.