Zum Inhalt springen Zur Navigation springen
Verfahrensverzeichnis – nur eine lästige Verpflichtung?

Verfahrensverzeichnis – nur eine lästige Verpflichtung?

Sollten Sie bei dem Zuruf des Stichworts „Verfahrensverzeichnis“ jetzt stolz die (echte oder elektronische) Schublade öffnen und ein aktuelles Verzeichnis hervorziehen, könnten Sie theoretisch aufhören zu lesen. Reicht Ihre Reaktion jetzt aber von einem fragenden „Häh?“ bis zu einem vernuschelten „Ja, ja, mach‘ ich noch“, ist die nachfolgende Information vielleicht doch ganz interessant für Sie – und im besten Fall eine Diskussionsgrundlage für die Sinnhaftigkeit von derartigen Verzeichnissen.

Gesetzliche Grundlage in Deutschland

Die Grundlage für das Führen von Verfahrensverzeichnissen liegt im BDSG, genauer in § 4g Abs. 2

Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stelle eine Übersicht über die in § 4e Satz 1 genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen. Der Beauftragte für den Datenschutz macht die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar.

Internes Verfahrensverzeichnis

Der erste Satz enthält zwei Informationen zu dem sog. internen Verfahrensverzeichnis:

1. Es ist von der verantwortlichen Stelle zur Verfügung zu stellen.

Dies bedeutet eigentlich, dass entweder der/die Leiter/in – z.B. ein Geschäftsführer – einer rechtlich selbstständigen Einheit, die personenbezogene Daten erhebt, verarbeitet oder nutzt, diese Übersicht erstellt, oder diese Aufgabe delegiert – z.B. an einen IT-Leiter. In der Praxis werden sich diese Personen jetzt hilfesuchend an den betrieblichen Datenschutzbeauftragten (bDSB) wenden, der – hoffentlich – beim Erstellen hilft. Sollten Sie dieser bDSB sein, kennen Sie die lästige Pflicht sicher schon.

In einigen Firmen hat sich diesbezüglich ein regelrechtes Katz-und-Maus-Spiel entwickelt, nach dem Schema:

bDSB an GF: Wo ist meine Übersicht?
GF an bDSB: Frag den IT-Leiter!
bDSB an IT-L: Wo ist meine Übersicht?
IT-L an bDSB: Kann ich nicht, keine Zeit, frag den GF!
usw. usw.

Manchmal bleibt dem bDSB nichts anderes übrig, als die Übersicht einmal selbst zu erstellen und nur den erforderlichen Input von den jeweiligen Fachverantwortlichen einzuholen. Trotz dieses in der Praxis häufig anzutreffenden Umgangs mit dem Thema, sollte betont werden, dass es nach dem Wortlaut des BDSG nicht dem bDSB obliegt, selbst diese „Übersicht“ zu erstellen; sie ist ihm vielmehr unaufgefordert bereitzustellen.

2. Es hat die Angaben aus § 4e Satz 1 BDSG sowie über zugriffsberechtigte Personen zu enthalten.

Nun gut, dies sind zumindest klare Anforderungen und Punkte, die man mit entsprechendem Know-how und ein wenig Geduld abarbeiten kann.

Doch halt, schon taucht die erste Frage auf: Was ist überhaupt ein „Verfahren“? Vielleicht hilft ein Blick in den Kommentar – hier Gola/Schomerus, BDSG, 10. Aufl. § 4d Rnr. 9a:

Das Gesetz definiert den Begriff des Verfahrens nicht. Mit dem Begriff soll sichergestellt werden, dass nicht einzelne Verarbeitungsvorgänge, d. h. das Erheben oder Übermitteln bestimmter Daten, sondern einer bestimmten Zweckbestimmung dienende „Verarbeitungspakete“ (…) erfasst und bewertet werden. Beispiele sind Mitglieder- oder Personalverwaltung, Telefondatenerfassung, Videoüberwachung, Kundenbetreuung (…)

Auch hier hat sich in der Praxis gezeigt, dass selbst in mittelständigen Unternehmen eine ganze Reihe dieser Verfahren zum Einsatz kommen. Hier offenbart sich der erste der drei Vorteile von Verfahrensverzeichnissen: Man kann sich damit im wahrsten Sinne des Wortes eine Übersicht über die laufenden Verarbeitungen von personenbezogenen Daten verschaffen. Während die Verfahrensübersicht zur Orientierung reicht, sollte dennoch ergänzend ein komplettes Verzeichnis erstellt werden, in dem die erforderlichen Angaben zu den jeweiligen Verfahren detailliert aufgelistet werden. Nur dort, wo sinnvoll zusammengefasst werden kann, sollte dies auch geschehen, z.B. bei den Angaben zu § 4e Nr. 1, 2 und 3 sowie bei einigen Angaben zu Nr. 9.

Öffentliches Verfahrensverzeichnis

Im Gesetz brauchen Sie nach diesem Begriff nicht zu suchen – der Begriff hat sich unabhängig davon eingebürgert. Ausgangspunkt ist der o.g. § 4g Abs. 2 Satz 2 BDSG. Auch hier sind wieder zwei Informationen enthalten:

1. Es enhält die Angaben nach § 4e Satz 1 Nr. 1 bis 8

Was im Gegensatz zum internen Verzeichnis fehlt, sind also die allgemeinen Beschreibungen der technischen und organisatorischen Maßnahmen und der zugriffsberechtigten Personen. Dies ist nicht nur sinnvoll sondern auch erforderlich, denn diese Information sollte auf jeden Fall innerhalb einer organisatorischen Einheit bleiben.

2. Die Übersicht ist jedermann auf Antrag verfügbar zu machen

„Jedermann“ bedeutet genau das – damit sind auch Sie gemeint. Machen Sie die Probe aufs Exempel und beantragen Sie mal ein solches Verzeichnis beim Online-Versender etc. Ihrer Wahl. Sie dürfen uns gerne von Ihren Erfahrungen berichten…

Beim öffentlichen Verfahrensverzeichnis zeigt sich, dass zumindest ein guter bDSB dieses sehr wohl in der eingangs erwähnten Schublade haben sollte – der zweite Vorteil eines Verfahrensverzeichnisses. Hier reicht wiederum eine Übersicht – eine detaillierte Auflistung muss nicht sein, es sollte aber zusammengefasst alle Verfahren beinhalten.

Zum Schluss…

Bleibt noch der dritte Vorteil:
Bei einer Prüfung durch die zuständige Aufsichtsbehörde für den Datenschutz sind regelmäßig beide Verfahrensverzeichnisse vorzulegen.

Bleiben die Nachteile:
Es ist ein nicht zu unterschätzender bürokratischer Aufwand, die Verzeichnisse sowohl zu erstellen wie zu pflegen. In der Praxis ist dies manchmal kaum zu schaffen und geht in der täglichen Arbeit oft unter. Doch überlegen Sie selbst, angesichts der beschriebenen Vorteile, ob es sich nicht lohnt, auch hierfür Ressourcen bereitzustellen – vielleicht auch unter Zuhilfenahme eines externen Beraters?

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Bei der Erstellung des Verfahrensverzeichnis hat mir die Veröffentlichung der Bitkom sehr viel geholfen.

    Hier zu finden: http://www.bitkom.org/de/publikationen/38336_45921.aspx

  • Es ist für mich aus dem Artikel nicht ersichtlich, wer das detaillierte interne Verzeichnis eines Verfahrens außer der Aufsichtsbehörde erhalten bzw. einsehen darf. „Jedermann“ bezieht sich wohl nur auf die Einsicht des Öffentlichen Verzeichnisses. Ich frage als Betriebsrat. Danke für eine Rückmeldung.

  • „Bei einer Prüfung durch die zuständige Aufsichtsbehörde für den Datenschutz sind regelmäßig beide Verfahrensverzeichnisse vorzulegen.“

    Gibt es eigentlich hier irgendwo eine Liste aller Dokumente, die Pflicht sind? Also bei denen auch Strafe droht, wenn man sie nicht vorzeigen kann? Was ist, wenn man bspw. nach Richtlinien für die MA gefragt wird und diese nicht vorzeigen möchte?

  • Darf ein Spediteur die Übermittlung des Führerscheines eines Fahrers verlangen, um den Fahrer zwecks Entladung an der Entladestelle (hier KKW Krümmel) anzumelden, weil der Betreiber des KKW dies verlangt (3 Tage im voraus) ergo darf das KKW dies eigentlich verlangen?

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.