Verfahrensverzeichnis nach BDSG

Bei einem schnellen Blick in das Bundesdatenschutzgesetz (BDSG) wird man den Begriff Verfahrensverzeichnis selbst nicht finden. Gemeint ist damit ein Element des DS-Managements, das der Bestandsaufnahme über die laufenden Verarbeitungen von personenbezogenen Daten dient. Das Gesetz spricht in § 4g Abs. 2 BDSG von einer „Übersicht“, die dem betrieblichen DATENSCHUTZbeauftragten zur Verfügung gestellt wird. Bei genauerer Betrachtung unterscheidet der Gesetzgeber zwischen zwei Arten von Verfahrensverzeichnissen, dem internen und dem öffentlichen Verfahrensverzeichnis.

Worin unterscheiden sich das interne und das öffentliche Verfahrensverzeichnis?

Der Unterschied zwischen internem und öffentlichem Verfahrensverzeichnis liegt hauptsächlich im Umfang der Aufstellung und der entsprechenden Verpflichtung, die Inhalte jedermann – also auch unbeteiligten Dritten – zugänglich zu machen.

• Das interne Verfahrensverzeichnis (auch Verfahrensbeschreibung genannt) enthält umfangreichere Angaben als das öffentliche Verfahrensverzeichnis. Es dient dazu, eine betriebsinterne Selbstkontrolle zu ermöglichen.
• Das öffentliche Verfahrensverzeichnis hingegen soll nach außen hin Transparenz über die Datenverarbeitungsvorgänge schaffen. Daher muss es im Gegensatz zum internen Verfahrensverzeichnis unter gewissen Voraussetzungen jedermann zugänglich gemacht werden (deshalb auch als „Jedermann-Verzeichnis“ bezeichnet).

Was gehört in ein internes Verfahrensverzeichnis?

Die für das interne Verfahrensverzeichnis erforderlichen Angaben sind vom Gesetzgeber als Mindestanforderungen definiert. Hierzu heißt es in der entsprechenden gesetzlichen Grundlage (§ 4g Abs. 2 BDSG):

Dem Beauftragten für den DATENSCHUTZ ist von der verantwortlichen Stelle eine Übersicht über die in § 4e Satz 1 genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen.

Die verantwortliche Stelle i.S.d. § 3 Abs. 7 BDSG, also etwa der Geschäftsführer des Unternehmen, trägt dafür die Verantwortung, dem DATENSCHUTZbeauftragten bei „Verfahren automatisierter Verarbeitungen“ (wie es in § 4e Satz 1 heißt) eine Übersicht zu folgenden Punkten bereitzustellen:

1. Name oder Firma der verantwortlichen Stelle,
2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
3. Anschrift der verantwortlichen Stelle,
4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
7. Regelfristen für die Löschung der Daten,
8. eine geplante Datenübermittlung in Drittstaaten,
9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.

Wenn Sie sich fragen, was genau ein „Verfahren“ sein soll, hilft Ihnen der Wortlaut des Gesetzes an dieser Stelle nicht weiter – eine Definition für das Verfahren gibt es nicht. Gemeint ist ein Überblick über die Verarbeitungsstrukturen und nicht einzelne Verarbeitungsvorgänge. Konkret sind hierunter „Verarbeitungspakete“ zu verstehen, z.B. im Zusammenhang mit der Mitglieder- oder Personalverwaltung, Telefondatenerfassung, Videoüberwachung, Kundenbetreuung etc.

Was gehört in ein öffentliches Verfahrensverzeichnis?

Was in das öffentliche Verfahrensverzeichnis gehört, ergibt sich in Zusammenschau mit § 4g Abs. 2 BDSG. Dort heißt es:

Der Beauftragte für den DATENSCHUTZ macht die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar.

Danach besteht das öffentliche Verfahrensverzeichnis aus einer im Vergleich zum internen Verfahrensverzeichnis reduzierten Aufstellung von Angaben, nämlich der oben unter 1-8 dargestellten. Was im Gegensatz zum internen Verzeichnis fehlt, sind also die allgemeinen Beschreibungen der technischen und organisatorischen Maßnahmen und der zugriffsberechtigten Personen. Dies ist nicht nur sinnvoll sondern auch erforderlich, denn diese Information sollte auf jeden Fall innerhalb Ihrer organisatorischen Einheit bleiben.

Wie sich aus dem Gesetzeswortlaut ergibt, ist der DATENSCHUTZbeauftragte später dafür zuständig, die Übersicht jedermann (auf Antrag) verfügbar zu machen. In welcher Form das Verfahrensverzeichnis verfügbar gemacht werden soll, ist gesetzlich nicht festgelegt. Das Unternehmen kann selbst bestimmen, wie es diese Pflicht erfüllt.

Welche Vorteile hat ein effektives Management der Verfahrensverzeichnisse?

Gewiss bringt das Erstellen und Pflegen der Verfahrensverzeichnisse einen gewissen Aufwand mit sich. Demgegenüber stehen allerdings beachtlichen Vorteile:

1. Die Arbeit des DATENSCHUTZbeauftragten wird erleichtert: Er erhält schnell eine Übersicht über die laufenden Verarbeitungen von personenbezogenen Daten und kann darauf seine datenschutzrechtliche Prüfung aufbauen.
2. Bei einer Prüfung durch die zuständige Aufsichtsbehörde für den DATENSCHUTZ sind regelmäßig beide Verfahrensverzeichnisse vorzulegen. Dieser Pflicht kann ohne Vorlaufzeit nachgekommen werden.
3. Da Betroffene einen Auskunftsanspruch haben (vgl. § 34 BDSG), lohnt es sich, wenn der DATENSCHUTZbeauftragte das öffentliche Verfahrensverzeichnis schon parat hat und nicht erst im Rahmen einer Anfrage eine Übersicht erstellen muss.

Um die Vorteile auch im Rahmen Ihrer betrieblichen Praxis nutzen zu können, ist es lohnenswert entsprechende Ressourcen bereitzustellen.

Wie geht es mit den Verfahrensverzeichnissen weiter?

In der zukünftig anwendbaren EU-DATENSCHUTZgrundverordnung fällt die Unterscheidung öffentlicher und interner Verfahrensverzeichnisse weg. Unternehmen sind nach den neuen Regelungen verpflichtet „Verzeichnisse von Verarbeitungstätigkeiten“ zu führen. Nähere Informationen finden Sie im Beitrag Verzeichnis von Verarbeitungstätigkeiten – Infos & Tipps zur Umsetzung.

zurück nach oben

zurück nach oben