Das Wichtigste zum Verfahrensverzeichnis in Kürze
- Findet die Verarbeitung von personenbezogenen Daten statt, muss ein Verfahrensverzeichnis angelegt werden.
- Im Verfahrensverzeichnis müssen alle Vorgänge der Datenverarbeitung, bei denen personenbezogene Daten verwendet werden, dokumentiert sein.
- Es gibt Unterschiede bei den Verzeichnissen. Das Gesetz unterscheidet internes und öffentliches Verfahrensverzeichnis.
- Ansprechpartner und verantwortlich ist der Datenschutzbeauftragte.
Welche Anforderungen stellt der Datenschutz an ein Verfahrensverzeichnis?
Inhaltsverzeichnis
Der Datenschutz wird in Deutschland durch das Bundesdatenschutzgesetz (BDSG) geregelt. Dort ist in § 4 festgelegt, wann Datenerhebungen, -verarbeitungen und -nutzungen zulässig sind. In § 4d wird darüber hinaus eine Meldepflicht für die verwendeten Verfahren festgelegt. Das Dokument über die Verfahren ist das Verfahrensverzeichnis.
Die europäische Datenschutzgrundverordnung (EU-DSGVO) schreibt im Artikel 30 vor, wie ein Verfahrensverzeichnis gestaltet sein muss. Diese Vorgaben für das Verfahrensverzeichnis wurden übernommen und so sind die Vorschriften der EU-DSGVO in das nationale Recht des BDSG übergegangen. Also folgt das Verfahrensverzeichnis der DSGVO.
Wer betreibt das Verfahrensverzeichnis?
Der Gesetzgeber hat in den Regelungen zum Verfahrensverzeichnis auch festgelegt, wer die Verantwortung für das Verfahrensverzeichnis trägt und wer es pflegen muss.
So muss in jedem Betrieb mit mehr als 9 Personen, die ständig mit der Datenverarbeitung beschäftigt sind, ein Datenschutzbeauftragter beschäftigt werden. Dieser erfüllt dann die Dokumentation und andere Aufgaben des Datenschutzes.
Sind weniger Personen mit der Datenverarbeitung beschäftigt und daher kein Datenschutzbeauftragter vorhanden, muss trotzdem ein Verfahrensverzeichnis geführt werden. In einem solchen Fall muss ein Mitarbeiter benannt sein, der die Aufgaben des Datenschutzbeauftragten wahrnimmt. Er ist dann die Kontaktperson, wenn Informationen über das Verfahrensverzeichnis benötigt werden.
Welche Arten kann das Verfahrensverzeichnis annehmen?
In der Praxis wird zwischen zwei unterschiedlichen Verfahrensverzeichnissen unterschieden. Auf der einen Seite steht das interne Verfahrensverzeichnis. Hier sind alle Angaben zu den Verfahren vollständig angegeben und ermöglichen es Gutachtern und Prüfern festzustellen, ob besondere Überprüfungen der Datensicherheit notwendig sind.
Auf der anderen Seite existiert das öffentliche Verfahrensverzeichnis. Ähnlich dem internen Verfahrensverzeichnis sind hier die meisten Merkmale der Datenverarbeitungsverfahren und der erhobenen Daten verzeichnet. Dieses Verfahrensverzeichnis ist für jedermann zugänglich. So kann ein Betroffener beim Datenschutzbeauftragten erfahren, welche Verfahren seine Daten durchlaufen haben und wer damit in Kontakt kam.
Der Unterschied zwischen öffentlichem und internem Verfahrensverzeichnis ist der Punkt der Verfahrensbeschreibung. Im internen Verfahrensverzeichnis müssen alle Verfahren, die die personenbezogenen Daten durchlaufen, genau beschrieben sein. Im öffentlichen sind diese Details nicht notwendig.
Mit dieser Beschreibung soll es den Behörden ermöglicht werden, eine Gefährdungsprognose zu erstellen, die zeigt, ob besondere Maßnahmen der Datensicherung notwendig sind.
Inhalt des Verfahrensverzeichnisses
Der § 4e BDSG zum Verfahrensverzeichnis schreibt die inhaltlichen Einzelheiten vor. Dort sind die Angaben vermerkt, die über das Verfahrensverzeichnis gemacht werden müssen. Der Gesetzestext besagt:
Sofern Verfahren automatisierter Verarbeitungen meldepflichtig sind, sind folgende Angaben zu machen:
- Name oder Firma der verantwortlichen Stelle
- Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen
- Anschrift der verantwortlichen Stelle
- Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung
- eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien
- Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können
- Regelfristen für die Löschung der Daten
- eine geplante Datenübermittlung in Drittstaaten
Nummer 9 ist nur nötig, wenn Sie ein internes Verfahrensverzeichnis erstellen und muss nicht in der öffentlichen Variante beschrieben sein.
- eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen für das Verfahrensverzeichnis nach BDSG zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind
Ana meint
14. November 2019 at 23:24
Guten Abend ,,
ich bin Mieter in einen Mehrfamilien Haus .Habe einen Stellplatz in einer Tiefgarage.
Der Stellplatz ist mit einer Nummer nummeriert.
Habe heute entdeckt das jetzt auf alle Stellplätze die Namen der Mieter beschriftet sind
Ist das rechtens?
Beziehe mich hier auf mein Datenschutz
Mit freundlichen Grüßen
Ana