Änderungen

Wechseln zu: Navigation, Suche

Verfahrensverzeichnisse und Meldepflichten

340 Bytes hinzugefügt, 17:15, 2. Dez. 2019
DSGVO
:Dieser Artikel beschäftigt sich in der Hauptsache mit der Rechtslage zum alten BDSG bis 2018. Heute richtet sich das '''Verzeichnis von Verarbeitungstätigkeiten''' oder kurz '''Verarbeitungsverzeichnis''' nach [[DSGVO:Art 30|Art. 30 DSGVO]].
 
== DSGVO – Recht ab Mai 2018 ==
* [https://www.bvdnet.de/wp-content/uploads/2017/06/Hinweise_zum_VVT_Art_30_final.pdf Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO] (PDF), zuletzt abgerufen am 01.09.2017
* [https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungst%C3%A4tigkeiten_Verantwortlicher.pdf Muster VVZ Verantwortlicher, Art. 30 Abs. 1] (PDF), zuletzt abgerufen am 01.09.2017
* [https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungst%C3%A4tigkeiten_Auftragsverarbeiter.pdf Muster VVZ Auftragsverarbeiter, Art. 30 Abs. 2] (PDF), zuletzt abgerufen am 01.09.2017
* [https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungst%C3%A4tigkeiten_TOMs.pdf Muster VVZ technische und organisatorische Maßnahmen, Art. 32 Abs. 1] (PDF), zuletzt abgerufen am 01.09.2017
 
== Recht bis Mai 2018 ==
Anforderungen an die Angaben zu Verfahren der automatisierten Verarbeitung personenbezogener Daten.<br/>
Nicht-öffentliche Stellen, die [[Personenbezogene Daten|personenbezogene Daten]] für kommerzielle Zwecke durch [[Automatisiertes Verfahren|automatisierte Verfahren]] verarbeiten und in den Anwendungsbereich des [[BDSG]] fallen, sind verpflichtet, eine Gesamtübersicht über die im Einsatz befindlichen Verarbeitungsverfahren zu erstellen. Zweck dieses Verfahrensverzeichnisses ist die Überprüfbarkeit der [[Zulässigkeit]] des Umgangs mit personenbezogenen Daten. Allgemein wird zwischen einem
* "internen" „internen“ Verfahrensverzeichnis, das durch detaillierte betriebsinterne Informationen sowohl dem Unternehmen als auch dem [[Datenschutzbeauftragter|Datenschutzbeauftragten]] die Möglichkeit bietet, den Umgang mit Daten zu organisieren und zu kontrollieren.
:und einem
* "öffentlichen" „öffentlichen“ Verfahrensverzeichnis, welches aus den Informationen der internen Übersicht nach den Mindestanforderungen des BDSG erstellt wird und zum Zweck der [[Transparenz]] für jedermann zur Verfügung steht.
Wobei jedoch angemerkt werden muss, dass das BDSG keine Unterscheidung dieser beiden Verfahrensverzeichnisse kennt. Die interne Übersicht dient demnach dem Zweck einer umfangreichen innerbetrieblichen Transparenz, welche die Selbstkontrolle des Unternehmens erleichtert<ref>LDI NRW: [https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Verfahrensregister/Inhalt/FAQ/oeffentliches_und_internes_Verfahrensverzeichnis_identisch.php Müssen das öffentliche und das interne Verfahrensverzeichnis bezüglich der Angaben nach § 4e Satz 1 Nr. 1 bis 8 BDSG inhaltlich identisch sein?], zuletzt abgerufen am 27.04.2016</ref>.
Öffentliche Stellen müssen ein Verzeichnis der automatisierten Verfahren führen, mit denen sie personenbezogene Daten verarbeiten.
===Gesetzliche Anforderung===
Das BDSG unterscheidet zwei Anforderungen an ein Verfahrensverzeichnis, welche in der Meldepflicht zum Register nach {{bdsgl|38|2}}, {{bdsgl|4d}} BDSG und dem Verfahrensverzeichnis gem. {{bdsgl|4g|2}} und 2a BDSG bestehen. Die Angaben zu beiden Anforderungen sind identisch.<br/>
Die Vorschrift zum Verfahrensverzeichnis setzt {{eur|Doc=31995L0046|Lang=DE|Text=Art.18 der EU-Richtlinie 95/46/EG}} des Europäischen Parlaments und des Rates vom 24. Oktober 1995 um.
====Meldepflicht zum Register nach § 38 Abs. 2, § 4d BDSG====
[[Nicht-öffentliche Stellen]] sind verpflichtet, die Verfahren automatisierter [[verarbeiten|Verarbeitungen]] vor ihrer Inbetriebnahme der zuständigen [[ASB|Aufsichtsbehörde]] zu melden. Im Einzelnen betrifft dies z.B. Unternehmen
* die geschäftsmäßig Daten für [[Dritte]] zur Verfügung stellen
Wird diese Meldung versäumt, kann durch die zuständige Aufsichtsbehörde ein Bußgeld erhoben werden.
====Entscheidungsübersicht====
Entscheidungsübersicht der Meldepflicht (MP) gegenüber den Datenschutzaufsichtsbehörden - § 4d BDSG<ref>LfD Niedersachsen: [http://www.lfd.niedersachsen.de/download/32238 Entscheidungsbaum Meldepflicht (MP)] gegenüber den Datenschutzaufsichtsbehörden - § 4d BDSG (PDF), zuletzt abgerufen am 27.04.2016</ref>
Im [[Merkblatt zur Meldepflicht]] des [[Düsseldorfer Kreis|Düsseldorfer Kreises]] sind weitere Einzelheiten erläutert.
====Meldepflicht öffentlicher Stellen====
Die öffentlichen Stellen des Bundes sowie von den Post- und Telekommunikationsunternehmen sind verpflichtet, die Verfahren der [https://www.bfdi.bund.de/DE/BfDI/Artikel_BFDI/AufgabenBFDI.html BfDI] nach Maßgabe von {{bdsg|4e}} BDSG zu melden.
Die Meldepflichten für [[öffentliche Stellen]] der Länder können bei den jeweiligen Aufsichtsbehörden angefragt werden.
====Aufgaben des DSB====
In den Aufgaben des Beauftragten für den Datenschutz ist in {{bdsg|4g|2}} BDSG die Verpflichtung zur Erstellung des Verfahrensverzeichnisses festgelegt. Die grundlegenden Inhalte (z.B. Einzelangaben der Verfahren, zugriffsberechtigte Personen) für diese Erstellung des sogenannten "internen Verfahrensverzeichnisses" sind von der [[verantwortliche Stelle|verantwortlichen Stelle]] beizusteuern.
===Das Verfahrensverzeichnis=======Verfahren automatisierter VerarbeitungVerarbeitun g====Den Begriff des "Verfahrens„Verfahrens" definiert das Gesetz selbst nicht. Abgeleitet aus Art. 18 Abs.1 der EU-Richtlinie 95/46 EG hat sich die folgende Definition durchgesetzt:
:"Unter Verfahren ist die Gesamtheit an Verarbeitungen zu verstehen, mit denen eine oder mehrere miteinander verbundene Zweckbestimmung(en) realisiert werden sollen. Ein Verfahren kann danach eine Vielzahl von DV-Dateien umfassen." (siehe Merkblatt zur Meldepflicht)
<br/>
<br/><br/>
====Internes Verfahrensverzeichnis====
Die datenschutzrechtlich konforme Gestaltung des Umgangs mit personenbezogenen Daten erfordert zunächst die Ermittlung der Information, welche Daten genutzt werden und welche Verfahren zur [[nutzen|Nutzung]] im Einsatz sind. Durch diese Bestandsaufnahme bildet sich die Grundlage für den Bezug
* '''vorhandene Daten'''
<br/><br/>
====Mindestanforderung an den Inhalt====
Nach § 4e BDSG werden folgende Angaben für meldepflichtige Verfahren automatisierter Verarbeitungen gefordert:
<blockquote style="background-color:#eeeef3;border:1px dotted #434550;">
<br/>
====Verfahrenverzeichnis nach §4g § 4g i.V.m. §18 § 18 und §4e § 4e BDSG====
{| cellpadding="6" cellspacing="0"
|- valign="top"
<br/><br/>
====Einsichtsrecht in das Verfahrensverzeichnis====
Gesetzliche Bestimmungen: §§ 4g Absatz 2, 4d sowie 4e, 38 Absatz 2 BDSG<ref>[https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO1.html BfDI – Info 1]: Bundesdatenschutzgesetz - Text und Erläuterung, zuletzt abgerufen am 27.04.2016</ref>
<br/><br/>
* öffentliche Stellen der Finanzverwaltung, soweit sie personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern.
===[[:Kategorie:Online-Kommentare|Online-Kommentare]]===
[[4d_BDSG_Kommentar_Absatz_1-4|Kommentar zu §&nbsp;4d&nbsp;Meldepflicht]]<br/>
[[4e_BDSG_Kommentar|Kommentar zu §&nbsp;4e&nbsp;Inhalt der Meldepflicht]]
==Formulare==
* [[Checkliste Vorabkontrolle]]
* Ausfüllhinweise zum Meldeformular, das Hauptblatt zum Meldeformular und die Anlage werden von den jeweiligen [[Aufsichtsbehörde|Aufsichtsbehörden]] zur Verfügung gestellt und können auf deren Webseite heruntergeladen werden.
====DS-GVO====* [https://www.bvdnet.de/wp-content/uploads/2017/06/Hinweise_zum_VVT_Art_30_final.pdf Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO] (PDF), zuletzt abgerufen am 01.09.2017* [https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungst%C3%A4tigkeiten_Verantwortlicher.pdf Muster VVZ Verantwortlicher, Art. 30 Abs. 1] (PDF), zuletzt abgerufen am 01.09.2017* [https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungst%C3%A4tigkeiten_Auftragsverarbeiter.pdf Muster VVZ Auftragsverarbeiter, Art. 30 Abs. 2] (PDF), zuletzt abgerufen am 01.09.2017* [https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungst%C3%A4tigkeiten_TOMs.pdf Muster VVZ technische und organisatorische Maßnahmen, Art. 32 Abs. 1] (PDF), zuletzt abgerufen am 01.09.2017 ====Muster====
* [https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO4.pdf?__blob=publicationFile&v=3 BfDI Info 4 Anlage 3] (PDF), zuletzt abgerufen am 27.04.2016
* [https://www.gdd.de/nachrichten/arbeitshilfen/verfahrensverzeichnis.pdf GDD - Das Verfahrensverzeichnis für Jedermann], (PDF), zuletzt abgerufen am 27.04.2016
====Arbeitsmittel====
[https://www.bfdi.bund.de/bfdi_forum/showthread.php?2105-Input-frr-elektronische-Vorlage-zum-Verfahrensverzeichnis-gesucht Datenschutzforum - Input für elektronische Vorlage zum Verfahrensverzeichnis gesucht]
==WeblinksNetzverweise ==
* [https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Verfahrensregister/index.php LDI NRW Verfahrensregister]<br/>
* [https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/baust/b01/b01005.html BSI Baustein Datenschutz]
==Einzelnachweise==
<references/>
Template-Autor
128
Bearbeitungen

Navigationsmenü