Bei einem schnellen Blick in das Bundesdatenschutzgesetz (BDSG) wird man den Begriff Verfahrensverzeichnis selbst nicht finden. Gemeint ist damit ein Element des Datenschutzmanagements, das der Bestandsaufnahme über die laufenden Verarbeitungen von personenbezogenen Daten dient. Das Gesetz spricht in § 4g Abs. 2 BDSG von einer „Übersicht“, die dem betrieblichen Datenschutzbeauftragten zur Verfügung gestellt wird. Bei genauerer Betrachtung unterscheidet der Gesetzgeber zwischen zwei Arten von Verfahrensverzeichnissen, dem internen und dem öffentlichen Verfahrensverzeichnis.
Der Inhalt im Überblick
Worin unterscheiden sich das interne und das öffentliche Verfahrensverzeichnis?
Der Unterschied zwischen internem und öffentlichem Verfahrensverzeichnis liegt hauptsächlich im Umfang der Aufstellung und der entsprechenden Verpflichtung, die Inhalte jedermann – also auch unbeteiligten Dritten – zugänglich zu machen.
- Das interne Verfahrensverzeichnis (auch Verfahrensbeschreibung genannt) enthält umfangreichere Angaben als das öffentliche Verfahrensverzeichnis. Es dient dazu, eine betriebsinterne Selbstkontrolle zu ermöglichen.
- Das öffentliche Verfahrensverzeichnis hingegen soll nach außen hin Transparenz über die Datenverarbeitungsvorgänge schaffen. Daher muss es im Gegensatz zum internen Verfahrensverzeichnis unter gewissen Voraussetzungen jedermann zugänglich gemacht werden (deshalb auch als „Jedermann-Verzeichnis“ bezeichnet).
Was gehört in ein internes Verfahrensverzeichnis?
Die für das interne Verfahrensverzeichnis erforderlichen Angaben sind vom Gesetzgeber als Mindestanforderungen definiert. Hierzu heißt es in der entsprechenden gesetzlichen Grundlage (§ 4g Abs. 2 BDSG):
Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stelle eine Übersicht über die in § 4e Satz 1 genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen.
Die verantwortliche Stelle i.S.d. § 3 Abs. 7 BDSG, also etwa der Geschäftsführer des Unternehmen, trägt dafür die Verantwortung, dem Datenschutzbeauftragten bei „Verfahren automatisierter Verarbeitungen“ (wie es in § 4e Satz 1 heißt) eine Übersicht zu folgenden Punkten bereitzustellen:
- Name oder Firma der verantwortlichen Stelle,
- Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
- Anschrift der verantwortlichen Stelle,
- Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
- eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
- Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
- Regelfristen für die Löschung der Daten,
- eine geplante Datenübermittlung in Drittstaaten,
- eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.
Wenn Sie sich fragen, was genau ein „Verfahren“ sein soll, hilft Ihnen der Wortlaut des Gesetzes an dieser Stelle nicht weiter – eine Definition für das Verfahren gibt es nicht. Gemeint ist ein Überblick über die Verarbeitungsstrukturen und nicht einzelne Verarbeitungsvorgänge. Konkret sind hierunter „Verarbeitungspakete“ zu verstehen, z.B. im Zusammenhang mit der Mitglieder- oder Personalverwaltung, Telefondatenerfassung, Videoüberwachung, Kundenbetreuung etc.
Was gehört in ein öffentliches Verfahrensverzeichnis?
Was in das öffentliche Verfahrensverzeichnis gehört, ergibt sich in Zusammenschau mit § 4g Abs. 2 BDSG. Dort heißt es:
Der Beauftragte für den Datenschutz macht die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar.
Danach besteht das öffentliche Verfahrensverzeichnis aus einer im Vergleich zum internen Verfahrensverzeichnis reduzierten Aufstellung von Angaben, nämlich der oben unter 1-8 dargestellten. Was im Gegensatz zum internen Verzeichnis fehlt, sind also die allgemeinen Beschreibungen der technischen und organisatorischen Maßnahmen und der zugriffsberechtigten Personen. Dies ist nicht nur sinnvoll sondern auch erforderlich, denn diese Information sollte auf jeden Fall innerhalb Ihrer organisatorischen Einheit bleiben.
Wie sich aus dem Gesetzeswortlaut ergibt, ist der Datenschutzbeauftragte später dafür zuständig, die Übersicht jedermann (auf Antrag) verfügbar zu machen. In welcher Form das Verfahrensverzeichnis verfügbar gemacht werden soll, ist gesetzlich nicht festgelegt. Das Unternehmen kann selbst bestimmen, wie es diese Pflicht erfüllt.
Welche Vorteile hat ein effektives Management der Verfahrensverzeichnisse?
Gewiss bringt das Erstellen und Pflegen der Verfahrensverzeichnisse einen gewissen Aufwand mit sich. Demgegenüber stehen allerdings beachtlichen Vorteile:
- Die Arbeit des Datenschutzbeauftragten wird erleichtert: Er erhält schnell eine Übersicht über die laufenden Verarbeitungen von personenbezogenen Daten und kann darauf seine datenschutzrechtliche Prüfung aufbauen.
- Bei einer Prüfung durch die zuständige Aufsichtsbehörde für den Datenschutz sind regelmäßig beide Verfahrensverzeichnisse vorzulegen. Dieser Pflicht kann ohne Vorlaufzeit nachgekommen werden.
- Da Betroffene einen Auskunftsanspruch haben (vgl. § 34 BDSG), lohnt es sich, wenn der Datenschutzbeauftragte das öffentliche Verfahrensverzeichnis schon parat hat und nicht erst im Rahmen einer Anfrage eine Übersicht erstellen muss.
Um die Vorteile auch im Rahmen Ihrer betrieblichen Praxis nutzen zu können, ist es lohnenswert entsprechende Ressourcen bereitzustellen.
Wie geht es mit den Verfahrensverzeichnissen weiter?
In der zukünftig anwendbaren EU-Datenschutzgrundverordnung fällt die Unterscheidung öffentlicher und interner Verfahrensverzeichnisse weg. Unternehmen sind nach den neuen Regelungen verpflichtet „Verzeichnisse von Verarbeitungstätigkeiten“ zu führen. Nähere Informationen finden Sie im Beitrag Verzeichnis von Verarbeitungstätigkeiten – Infos & Tipps zur Umsetzung.
Wie kann ich Firmen, die mir auf Anfrage kein „Jedermann-Verzeichnis“ zeigen, dazu zwingen mir eines zu zeigen. Ich habe in der Vergangenheit bei der Verkehrspolizei, bei KFZ-Versicherungen und anderen Unternehmen, die meine Daten elektronisch speichern nachgefragt (mündlich) und bin ausnahmslos mit der Antwort: „Haben wir nicht, unser Datenschutzbeauftragter meldet sich bei Ihnen“ auf unbestimmt vertröstet worden. Gibt es da eine offizielle Telefonnummer, die man anrufen kann und der (Datenschutzmann des Staates) dann erklärt, dass sie mir das zeigen müssen?
Soweit ein Unternehmen oder Behörden Ihrem Auskunftsersuchen nicht nachkommen, kann es hilfreich sein, wenn man sich an die jeweilige Aufsichtsbehörde für Datenschutz wendet. Sollte auch dann keine Reaktion erfolgen, hilft nur der Weg über einen Fachanwalt hin zur Klage gegen die verantwortliche Stelle.
Ist den mit einem Verfahren eher eine Software oder eine Aufgabe / Arbeitsschritt / od. sogar ein ganzer Prozess zu beschreiben? Ich habe Schwierigkeiten das einzuordnen.
Damit ist tendentiell gemeint: „wie wird in Ihrem Unternehmen mit personenbezogenen Daten verfahren?“ Im internen Verzeichnis sollten ALLE Arbeitsschritte, Aufgaben, EDV-Anwendungen usw. separat und detailliert aufgeführt sein, bei denen personenbezogene Daten verarbeitet werden. Das hilft dem DSB ungemein überhaupt einschätzen zu können, was so alles vor sich geht und ob alles seine Richtigkeit hat. Ins öffentliche Verzeichnis gehören sensible Detail-Informationen natürlich eher nicht hinein (Ausnahmen wie die namentliche Nennung des IT-Leiters stehen im BDSG). Allerdings darf man auch nicht beliebig verknappen. So sollte unter 4. schon etwas genauer angegeben werden, ob, warum und welche Daten verarbeitet werden und nicht pauschale Formulierungen wie „typische Personaldaten“ usw. verwendet werden. Eine beispielhafte Aufzählung hat sich bewährt (erschöpfende Aufzählungen sprengen schnell wieder jeglichen Rahmen).
Welche Rechte und Pflichten habe ich als Inhaberin einer Arztpraxis bezüglich des Anlegens eines Verfahrensverzeichnisses?
Wie Sie richtig angedeutet haben, ist das Anlegen eines solchen Verzeichnisses grundsätzlich die Aufgabe der verantwortlichen Stelle, also der des Unternehmens. Formvorschriften für Verfahrensbeschreibungen sowie das Verzeichnis gibt es dabei nicht. Wie oben beschrieben, dient es zum einen der betriebsinternen Selbstkontrolle und zum anderen nach außen hin der Transparenz. Zu berücksichtigen sind dabei stets die allgemeinen gesetzlichen Vorschriften des konkreten Berufsbildes, also beispielsweise die Wahrung von Patientengeheimnissen. Zudem ist aufgrund der besonderen Arten personenbezogener Daten (beispielsweise Gesundheit oder Sexualleben) in der Regel eine Vorabkontrolle vorgesehen, welche besondere Risiken für die Rechte und Freiheiten der Betroffen aufweisen soll. Dies gilt nicht, wenn die Datenerhebung, Verarbeitung oder Nutzung für die Durchführung eines rechtsgeschäftlichen Schuldverhältnisses erforderlich ist, wozu u.a. Behandlungsverträge bei Ärzten gehören.
Ich hätte da mal eine Frage:
Wie aktuell muss dieses Verfahrensverzeichnis sein? Reicht eine Aktualisierung alle 2 Jahre?
Das Verfahrensverzeichnis sollte stets den aktuellen Stand widergeben, und zwar aus verschiedenen Gründen, z.B.: Im Unternehmen sollten die Umstände der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten bekannt sein – im eigenen Interesse, da das Unternehmen und ihre gesetzlichen Vertreter, aber auch Beschäftigte für unzulässige Datenerhebungen, -verarbeitungen und -nutzungen haften. Betroffene, z.B. Mitarbeiter, Kunden etc. haben einen Anspruch auf Auskunft in Bezug auf den Umgang mit ihren personenbezogene Daten. Bei Geltendmachung dieses Anspruchs sollte die verantwortliche Stelle unverzüglich reagieren können. Das bedeutet im Ergebnis, dass Verfahrensverzeichnisse den tatsächlichen und rechtlichen Gegebenheiten anzupassen sind.
Wir vertreiben eine Standardsoftware eines bekannten Herstellers für die Gehaltsabrechnung. Ein Kunde möchte nun von uns konkret wissen, welches Feld in welcher Maske mit schützenswerten Daten gefüllt. wird. Ist dies bei der Prüfung einer Standardsoftware überhaupt erforderlich? Es gibt ein Zertifikat von der ITSG und ich meine, dass dies ausreichend ist. Der Hersteller hat hierzu keine weiteren Informationen, da sich die Eingaben aus der Leistungsbeschreibung ergibt und vom Kunden selbst vorgenommen wird.
Inwieweit die Dokumentation der in die einzelnen Felder einzugebenden schützenswerten Daten für die Prüfung durch den Kunden relevant ist, hängt vom Prüfkonzept des Kunden ab. Vielleicht hilft hier eine Rückfrage bei dem Kunden. Eine abschließende gesetzliche Festlegung, welche Daten schützenswert sind, existiert nicht. Es gilt: Betriebliche Daten und Informationen sind grundsätzlich schützenswert. Dies gilt auch für nicht personenbezogene Daten. Ihnen dürfte es an einigen Stellen schwer fallen, zu entscheiden, welche Daten für den Kunden konkret schützenswert sind. Vor diesem Hintergrund könnte es für den Kunden ausreichend sein, wenn ihm Screenshots der einzelnen Masken zur Verfügung gestellt werden.
Wird es hier ebenfalls zu Anpassungen auf Grund der Transparenzpflichten im Rahmen der DSGVO geben? Können Sie hierzu genauere Angaben machen; bspw. wie ein VV zu ergänzen ist? Vielen Dank!
Verfahrensverzeichnisse werden nach der DSGVO „Verzeichnis von Verarbeitungstätigkeiten“ heißen. Der genaue Inhalt ergibt sich aus Art. 30 Abs. 1 DSGVO. Hierbei dürfte es sich um das ehemalige „interne Verfahrensverzeichnis“ handeln. Das öffentliche Verfahrensverzeichnis ist weiterhin nicht explizit geregelt. Wie dieses konkret auszusehen hat und tatsächlich zu veröffentlichen ist (Vorhalten im Unternehmen oder auf der Homepage bereit halten), ist derzeit noch nicht abschließend geklärt.
Hallo, ich bin gerade mit den Anforderungen des DSGVO beschäftigt und habe folgende Frage dazu:
Was ist mit meinen Daten, die ungewollt von Microsoft und Facebook erfasst werden?
Dort muss mir doch auch eine Möglichkeit geboten werden zu wirdersprechen und die Daten löschen zu lassen?
Wenn es sich um personenbezogene Daten handelt und für die Datenverarbeitung dieser Unternehmen der sachliche und räumliche Anwendungsbereich der DSGVO eröffnet ist, dann steht Ihnen die Geltendmachung der Betroffenenrechte der Art. 15 ff. DSGVO zu. Dazu gehört u.a. auch das Recht auf Löschung gem. Art. 17 DSGVO oder das Widerspruchsrecht nach Art. 21 DSGVO. Ob die Voraussetzungen zur Geltendmachung vorliegen ist im Einzelfall zu prüfen.
Ich habe auf einer Veranstaltung einen Vortrag über das DSGVO besucht. Der Dozent hat
berichtet, dass laut DSGVO alle Kunden eines Internet Shops Informationen erhalten müssen.
Was für Informationen sind das?
Ich würde vermuten, das öffentliche Verfahrensverzeichnis vom Shop?
Nein das öffentliche Verfahrensverzeichnis kann damit nicht gemeint gewesen sein, denn dieses gibt es in der DSGVO nicht mehr.
Gemeint waren damit sicherlich Aufklärungspflichten wie z.B. die Datenschutzerklärung auf einer Homepage. Sobald personenbezogene Daten gespeichert, verarbeitet etc. werden, müssen die Betroffenen darüber aufgeklärt werden. Weitere Informationen haben wir auch hier zusammengestellt.
Dankeschön!
Ich beschäftige mich mit der Umsetzung der DSGVO im Unternehmen und dem Anlegen eines Verfahrensverzeichnisses und meine Frage wurde so ähnlich breits 2014 gestellt, ich möchte sie aber dennoch angesichts der neuen Gesetzeslage wiederholen.
Für mich sieht es so aus, als wäre mit der Verarbeitungstätigkeit eher ein Prozess als eine Software gemeint, wie beispielsweise Bewerbermanagement oder Lohnbuchhaltung. Dadurch wird das Verzeichnis übersichtlicher, aber eigentlich ist doch gerade die verwendete/n Software/lösungen zum Umsetzen des Prozesses interessant, um zu sehen welche Daten wo verarbeitet werden und wie diese zu schützen sind (Stichwort Sicherheitsmaßnahmen). Sollte ich jetzt den Prozess als die eigentliche Verarbeitung nutzen oder sollte dieser eher die Kategorie sein, in welche die einzelnen Softwarelösungen oder auch analoge Dokumente eingeordnet werden? Ist die konkrete Softwarelösung überhaupt interessant für die Aufsichtsbehörde? Und wie geht man beispielsweise mit einem Mailserver um, da E-Mails ja beinahe zu allen Prozessen gehören?
Ich hoffe ihr könnt mir weiterhelfen, danke!
Die eingesetzte Software kann im Rahmen des Verfahrensverzeichnisses durchaus eine Rolle spielen.
Exemplarisch hierfür wäre etwa der Einsatz von SAAS-Software (Software-as-a Service), bei der z.B. Mitarbeiterdaten nicht mehr auf eigenen Rechnern gespeichert werden, sondern beim SAAS-Anbieter. Hier läge etwa eine Auftragsverarbeitung vor, die im Verfahrensverzeichnis Erwähnung finden sollte. Dieselben Überlegungen treffen auch grundsätzlich auf den Einsatz eines Mail-Servers zu. Hilfreich ist es sich zu vergegenwärtigen, dass immer der verfolgte Zweck der Datenverarbeitung maßgeblich ist. Beispielsweise ließe sich die konkrete Verarbeitungstätigkeit protokollieren, der durch die Tätigkeit verfolgte Zweck und die hierfür eingesetzte Software.
Hallo zusammen.
Ich wurde kurzfristig zum Datenschutzbeauftragten benannt und soll nun ein Verarbeitungsverzeichnis erstellen. Ich fühle mich leicht ins kalte Wasser geschmissen da ich mit dem Thema Datenschutz ( dsgvo) noch nichts am Hut hatte.
Kann mir hier jemand weiterhelfen wie ein solches Verarbeitungsverzeichnis aussehen soll? Vielleicht mit einem Muster?!
Ich bedanke mich schon einmal im Voraus
Einen Überblick finden Sie in unserem Beitrag: Verzeichnis von Verarbeitungstätigkeiten – Infos & Tipps zur Umsetzung.