Sind Sie fit im Datenschutz?

Teil 5 – Beispiel für ein Verfahrensverzeichnis

In Teil 3 dieser Serie wurde allgemein erklärt, was ein ‘Jedermann’-Verfahrensverzeichnis (öffentliches Verzeichnis) und was ein ‘internes’ Verfahrensverzeichnis ist. In Teil 4 wurden die einzelnen Positionen eines solchen Verfahrensverzeichnisses erläutert. Um diesen Erläuterungen etwas Leben einzuhauchen, soll nachfolgend ein Beispiel für ein Verfahrensverzeichnis gegeben werden. Dieses Beispiel kann lediglich als Anhaltspunkt dienen, da schon angesichts der komplexen Materie jedes Verfahrensverzeichnis anders aussehen wird und oftmals auch von der Größe des Unternehmens abhängt.

Geschmackssache ist es, ob das Verfahrensverzeichnis lediglich in einen öffentlichen (Angaben gem. § 4a Nr. 1 bis 8 BDSG) und einen nicht öffentlichen (§ 4e Nr. 9 plus weiterer Angaben) Teil aufgeteilt wird oder man diese Verzeichnisse getrennt anlegt. Abzuraten ist jedenfalls davon, das Jedermann-Verzeichnis ins Internet zu stellen. Die Erfahrung zeigt, dass – angesichts der im Internet stets präsenten Öffentlichkeit – die dort gemachten Angaben derart unpräzise sind, dass der Sinn und Zweck der Vorschriften nicht erfüllt wird. 

Im Ergebnis geht es darum, dass das Verfahrensverzeichnis eine Rechtmäßigkeitskontrolle durch folgende Instanzen ermöglicht:


  • Den Datenschutzbeauftragten: Er muss in die Lage versetzt werden, auf die Einhaltung der Datenschutzregelungen hinzuwirken und im Bedarfsfall eine Vorabkontrolle durchzuführen;
  • Die Aufsichtsbehörde: Sie kann im Rahmen einer Prüfung die Vorlage des Verfahrensverzeichnisses verlangen, um eine Rechtmäßigkeitsprüfung vorzunehmen;
  • Den Betroffenen: Er kann eine Einsichtnahme in das öffentliche Verzeichnis verlangen. Dieses sollte ihm insbesondere transparent machen, wofür seine Daten verwendet und wie lange diese aufbewahrt werden.

Insgesamt gilt das Verhältnismäßigkeitsprinzip, das heißt der Detailgrad kann nicht so weit gehen, dass ein Unternehmen jedermann Geschäftsgeheimnisse offenbart oder ein Verzeichnis erstellt wird, welches überhaupt nicht mit überschaubaren Kosten verwaltbar ist. Insofern ist das Problem bei der Verfassung der Übersicht, das richtige Maß an Abstraktion und Präzision zu treffen.

Beispiel für ein Verfahrensverzeichnis im Bereich Personaldatenverwaltung

Bezeichnung des Verfahrens: Personalinformations- und -abrechnungssystem (LOGA)

1. Name der verantwortlichen Stelle
Waren GmbH
Wenn gewährleistet ist, dass die Zuordnung des Verfahrens zum verarbeitenden Unternehmen eindeutig ist, kann die Angabe des Unternehmens unterbleiben (diese Angaben befinden sich dann im Mantelteil des Verfahrensverzeichnisses). Es sollte dann aber die verantwortliche Fachabteilung benannt werden, zum Beispiel die Personalabteilung.

2. Geschäftsführer und mit der Leitung der DV beauftragte Personen
Geschäftsführung: Max Schmidt, Christiane Thieß
Leiter IT: Albrecht Strack
Datenschutzbeauftragter: Hans Schäffler (Angabe nicht zwingend, aber sinnvoll)
Nur intern:
Für interne Zwecke ist es sinnvoll weitere Angaben zur fachlichen Aufsicht und den Kontaktdaten zu machen:
Leiter Personal: Fred Frank
Tel:
Fax:
e-mail:

3. Anschrift
Gutsweg 6
87600 Datenschutzhausen

4.  Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung
Personalverwaltung, einschließlich Bearbeitung von Bewerbungen; Lohn- und Gehaltsabrechnung; Erfüllung sozialversicherungsrechtlicher und sonstiger gesetzlicher Verpflichtungen
Nur intern:
Rechtsgrundlage: Arbeitsvertrag oder Vertragsanbahnung, Gesetzliche Verpflichtungen (Steuer- und Sozialversicherungsrecht)

5. Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien:
Bewerber, Mitarbeiter der verantwortlichen Stelle, Rentner, mögliche sonstige Anspruchsberechtigte; Sensible Daten:
– Religionszugehörigkeit gemäss Lohnsteuerkarte soweit für Lohnabrechnung erforderlich
– Gewerkschaftszugehörigkeit zur Überweisung des Gewerkschaftsbeitrags soweit Einwilligung des Betroffenen vorliegt
– Gesundheitsdaten (Behindertenstatus) soweit für Personalverwaltung, Lohnabrechnung erforderlich
Nur intern:
Die Daten sollten möglichst vollzählig nach Zweck aufgelistet werden (Verweis auf Anhang möglich), z.B. Name, Adresse, Telefonnummer, Staatsangehörigkeit, Gehaltsabrechnung, Kommunikation, Aufenthalterlaubnis  

6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können
Mitarbeiter, Vorgesetzte, Finanzbuchhaltung, betriebliche Organe (z.B. Betriebsrat, Sicherheitsbeauftragter), Institutionen gemäß gesetzlicher Vorgaben (Finanzamt, Sozialversicherungsträger, Krankenkasse, Versorgungsamt, Arbeitsamt etc.), Geldinstitute (Überweisungsdaten)

7. Regelfristen für die Löschung
10 Jahre: Lohn- und Gehaltsdaten (Beitragsabrechnungen, Sozialversicherungsträger, Fahrtkostenerstattungsunterlagen, Reisekostenabrechnung, Lohnbelege)
Alle finanzwirksamen Daten
6 Jahre: Essensmarkenabrechnungen, Unterlagen zu vermögenswirksamen Leistungen
3 Jahre: Abmahnung
Bewerberunterlagen: Nach Absage, es sei denn, Bewerber hat längerer Speicherung zugestimmt.
Im Übrigen erfolgt die Löschung nach Ablauf der gesetzlichen, satzungsmäßigen oder vertraglichen Aufbewahrungspflichten. Andernfalls werden sie gelöscht, wenn die oben genannten Zwecke entfallen.

8. Geplante Übermittlung in Drittstaaten
Nur im Zusammenhang mit Auslandseinsätzen des Mitarbeiters denkbar, soweit erforderlich.

Nachfolgende Angaben nur noch intern:

9. Datensicherheitsmaßnahmen
Zum Beispiel Art der eingesetzten DV-Anlage und Software: Client/Server-Umgebung; Basis Novell-Netzwerk/Windows NT2000-Workstation
Software: LOGA Version xx.xx der Firma xx.xx; Maßnahmen:
Zutrittskontrolle: Elektronische Zutrittskontrolle zum Rechenzentrum und zur Personalabteilung (Magnetkarte)
Zugangskontrolle: Passwortschutz für Server, Protokollierung der Passwortnutzung
Zugriffskontrolle: Berechtigungskonzept gem. Anlage, Protokollierung der Systemnutzung
Weitergabekontrolle: Verschlüsselung (VPN)
Eingabekontrolle: LOG Datei
Auftragskontrolle: nicht anwendbar, da keine Auftragsdatenverarbeitung
Verfügbarkeitskontrolle: Sicherheitskopien in zweitem Rechenzentrum (Adresse), Katastrophenplan gemäß Anlage
Trennungskontrolle: nicht anwendbar, Daten werden im Rahmen des Systems teilweise für mehrere Zwecke genutzt (z.B. Adressdaten)

Angemessenheitsprüfung durchgeführt am … durch …

10. Stadium des Betriebs
Produktivbetrieb

11. Neue Verarbeitung oder Änderung
Inbetriebnahme am …
Änderung in 2.: Mit Wirkung zum 1.1.2001 wurde Geschäftsführer Franz Huber durch Herrn Max Schmidt abgelöst.
Ferner kann es sinnvoll sein, wenn im Verfahrensverzeichnis bereits Angaben zur Vorabkontrolle enthalten sind. Darüber hinaus sollte aber ein Bericht über die Vorabkontrolle existieren, Beispiel:
Vorabkontrolle durchgeführt am:
Grund der Kontrollbedürftkeit: Es werden sensible Daten gem. § 3 Abs. 9 BDSG verarbeitet
Betriebsrat eingeschaltet: ja
Ergebnis gemäß Bericht: zulässig