Verfahrensverzeichnisse und Meldepflichten

Aus Datenschutz-Wiki
Zur Navigation springen Zur Suche springen
Dieser Artikel beschäftigt sich in der Hauptsache mit der Rechtslage zum alten BDSG bis 2018. Heute richtet sich das Verzeichnis von Verarbeitungstätigkeiten oder kurz Verarbeitungsverzeichnis nach Art. 30 DSGVO.

DSGVO – Recht ab Mai 2018

Recht bis Mai 2018

Anforderungen an die Angaben zu Verfahren der automatisierten Verarbeitung personenbezogener Daten.
Nicht-öffentliche Stellen, die personenbezogene Daten für kommerzielle Zwecke durch automatisierte Verfahren verarbeiten und in den Anwendungsbereich des BDSG fallen, sind verpflichtet, eine Gesamtübersicht über die im Einsatz befindlichen Verarbeitungsverfahren zu erstellen. Zweck dieses Verfahrensverzeichnisses ist die Überprüfbarkeit der Zulässigkeit des Umgangs mit personenbezogenen Daten. Allgemein wird zwischen einem

  • „internen“ Verfahrensverzeichnis, das durch detaillierte betriebsinterne Informationen sowohl dem Unternehmen als auch dem Datenschutzbeauftragten die Möglichkeit bietet, den Umgang mit Daten zu organisieren und zu kontrollieren.
und einem
  • „öffentlichen“ Verfahrensverzeichnis, welches aus den Informationen der internen Übersicht nach den Mindestanforderungen des BDSG erstellt wird und zum Zweck der Transparenz für jedermann zur Verfügung steht.

Wobei jedoch angemerkt werden muss, dass das BDSG keine Unterscheidung dieser beiden Verfahrensverzeichnisse kennt. Die interne Übersicht dient demnach dem Zweck einer umfangreichen innerbetrieblichen Transparenz, welche die Selbstkontrolle des Unternehmens erleichtert[1].

Öffentliche Stellen müssen ein Verzeichnis der automatisierten Verfahren führen, mit denen sie personenbezogene Daten verarbeiten.

Gesetzliche Anforderung

Das BDSG unterscheidet zwei Anforderungen an ein Verfahrensverzeichnis, welche in der Meldepflicht zum Register nach § 38 Abs. 2, § 4d BDSG und dem Verfahrensverzeichnis gem. § 4g Abs. 2 und 2a BDSG bestehen. Die Angaben zu beiden Anforderungen sind identisch.
Die Vorschrift zum Verfahrensverzeichnis setzt Art.18 der EU-Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 um.

Meldepflicht zum Register nach § 38 Abs. 2, § 4d BDSG

Nicht-öffentliche Stellen sind verpflichtet, die Verfahren automatisierter Verarbeitungen vor ihrer Inbetriebnahme der zuständigen Aufsichtsbehörde zu melden. Im Einzelnen betrifft dies z.B. Unternehmen

  • die geschäftsmäßig Daten für Dritte zur Verfügung stellen
  • die Daten nicht ausschließlich für eigene Zwecke verarbeiten
oder auch
  • Auskunfteien
  • Markt- und Meinungsforschungsinstitute
  • Adresshändler
  • Detekteien
  • Direktmarketingfirmen

Wird diese Meldung versäumt, kann durch die zuständige Aufsichtsbehörde ein Bußgeld erhoben werden.

Entscheidungsübersicht

Entscheidungsübersicht der Meldepflicht (MP) gegenüber den Datenschutzaufsichtsbehörden - § 4d BDSG[2]

Automatisierte Datenverarbeitung (DV) personenbezogener Daten
durch die verantwortliche Stelle selbst oder durch einen von ihr eingeschalteten Dienstleister
DV für Zwecke der
anonymisierten Übermittlung
(§ 30)
MP
DV für Zwecke der
Übermittlung
(§ 29)
MP
DV zu eigenen Zwecken(§ 28)
DSB bestellt
keine MP
kein DSB
mind. 10 Personen mit aut. DV beschäftigt max. 9 Personen mit aut. DV beschäftigt
an sich MP, aber Pflicht zur Bestellung eines DSB - sobald bestellt
keine MP
Einwilligung
keine MP
§ 28 Abs.1 Nr.1
keine MP
weder Einwilligung noch § 28 Abs.1 Nr.1
Vorabkontrolle erforderlich, aber Pflicht zur Bestellung eines DSB - sobald bestellt
keine MP
keine Vorabkontrolle erforderlich
MP

Für sonstige (nicht automatisierte) Datenverarbeitung besteht keine Meldepflicht.

Im Merkblatt zur Meldepflicht des Düsseldorfer Kreises sind weitere Einzelheiten erläutert.

Meldepflicht öffentlicher Stellen

Die öffentlichen Stellen des Bundes sowie von den Post- und Telekommunikationsunternehmen sind verpflichtet, die Verfahren der BfDI nach Maßgabe von § 4e BDSG zu melden. Die Meldepflichten für öffentliche Stellen der Länder können bei den jeweiligen Aufsichtsbehörden angefragt werden.

Aufgaben des DSB

In den Aufgaben des Beauftragten für den Datenschutz ist in § 4g Abs. 2 BDSG die Verpflichtung zur Erstellung des Verfahrensverzeichnisses festgelegt. Die grundlegenden Inhalte (z.B. Einzelangaben der Verfahren, zugriffsberechtigte Personen) für diese Erstellung des sogenannten "internen Verfahrensverzeichnisses" sind von der verantwortlichen Stelle beizusteuern.

Das Verfahrensverzeichnis

Verfahren automatisierter Verarbeitun g

Den Begriff des „Verfahrens" definiert das Gesetz selbst nicht. Abgeleitet aus Art. 18 Abs.1 der EU-Richtlinie 95/46 EG hat sich die folgende Definition durchgesetzt:

"Unter Verfahren ist die Gesamtheit an Verarbeitungen zu verstehen, mit denen eine oder mehrere miteinander verbundene Zweckbestimmung(en) realisiert werden sollen. Ein Verfahren kann danach eine Vielzahl von DV-Dateien umfassen." (siehe Merkblatt zur Meldepflicht)


Als Beispiele für Verfahren können danach

  • Personalverwaltungs-,
  • Betreuungs- und Abrechnungssysteme,
  • Verfahren zur Abwicklung von Kundenaufträgen,
  • Telekommunikationssysteme,
  • Teledienste und
  • sonstige Systeme, die eine geschlossene Struktur von Verarbeitungen umfassen,

genannt werden[3].

Eine Zusammenfassung mehrerer demselben Zweck dienenden Verarbeitungen ist zulässig und zweckmäßig, wenn sie der Vereinfachung und einer besseren Transparenz dient. Werden beispielsweise innerhalb des Verfahrens "Abwicklung von Kundenaufträgen" verschiedene Verarbeitungen vorgenommen (Aufnahme der Kundendaten, Verarbeitung der Aufträge, Abrechnung), so können diese als ein Verfahren der automatisieren Verarbeitung angesehen werden, denn der Zweck der einzelnen evtl. mehrfach wiederholten Verarbeitungen dient innerhalb des Verfahrens der gleichen Bestimmung.
Jedoch sollte dabei keinesfalls auf die detaillierte Beschreibung der einzelnen geforderten Inhalte (Personengruppen, Übermittlungen usw.) verzichtet werden.

Internes Verfahrensverzeichnis

Die datenschutzrechtlich konforme Gestaltung des Umgangs mit personenbezogenen Daten erfordert zunächst die Ermittlung der Information, welche Daten genutzt werden und welche Verfahren zur Nutzung im Einsatz sind. Durch diese Bestandsaufnahme bildet sich die Grundlage für den Bezug

  • vorhandene Daten
    • Quelle der Daten (von wem wurden sie wann erhoben, existiert eine Einwilligung)
    • Zweck der Erhebung, Nutzung und Speicherung (wofür werden die Daten genutzt)
    • Weitergabe der Daten (wer bekommt die Daten außer dem verarbeitenden Unternehmen)
  • eingesetzte Verfahren zur Nutzung
    • Art und Weise der Speicherung (wo werden die Daten gespeichert bzw. zur Nutzung freigegeben)
    • Zugriff auf die Daten (wer darf die Daten lesen, ändern, löschen)

⇒ welche Schutzmaßnahmen müssen evtl. zusätzlich getroffen werden
⇒ welche eingesetzten Verfahren müssen evtl. angepasst werden

Die Aufbereitung der gesammelten Informationen ermöglicht somit die Einsicht in Funktionsweisen und Zusammenhänge, die z.B. auch für eine Vorabkontrolle benötigt werden.

Mindestanforderung an den Inhalt

Nach § 4e BDSG werden folgende Angaben für meldepflichtige Verfahren automatisierter Verarbeitungen gefordert:

  1. Name oder Firma der verantwortlichen Stelle,
  2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
  3. Anschrift der verantwortlichen Stelle,
  4. Zweckbestimmungen der Datenerhebung, -Verarbeitung oder -nutzung,
  5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
  6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
  7. Regelfristen für die Löschung der Daten,
  8. eine geplante Datenübermittlung in Drittstaaten,
  9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 (und Anlage) zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.


Verfahrenverzeichnis nach § 4g i.V.m. § 18 und § 4e BDSG

Hauptblatt[3]
× Das Verzeichnis ist nur teilweise zur Einsichtnahme bestimmt (§ 4g Abs. 2 BDSG)
× Das Verzeichnis ist nicht zur Einsichtnahme bestimmt (§4g Abs.3 Satz 1 BDSG)
(z.B. Verfassungsschutzbehörden, Bundesnachrichtendienst, Militärischer Abschirmdienst, Behörden aus dem Bereich des Bundesministeriums der Verteidigung, Polizeibehörden, Staatsanwaltschaften etc.)
1. Verantwortliche Stelle
1.1 Name/Bezeichnung der verantwortlichen Stelle  
1.2 Organisationskennziffer, Ministerium/Amt, Abteilung, ggf. Sachgebiet  
Straße  
PLZ / Ort  
Telefon / Telefax*  
E-Mail-Adresse*  
Internet-Adresse / URL*  

2. Vertretung
2.1 Leitung der verantwortlichen Stelle (einschl. Vertreter)  
2.2 mit der Leitung der Datenverarbeitung beauftragte Person(en)  

3. Angaben zur Person des Datenschutzbeauftragten*
Name(n)  
Straße  
PLZ / Ort  
Telefon / Telefax  
E-Mail-Adresse  
Internet-Adresse / URL  

Anlage Nr.:
(für jedes Verfahren automatisierter Verarbeitung ist eine separate Anlage zum Hauptblatt auszufüllen!)
Name/Bezeichnung der verantwortl. Stelle (Übernahme der Nr. 1.1 aus Hauptblatt)  

Das Verfahren ist Teil eines gemeinsamen oder verbundenen Verfahrens nach §10 BDSG
× ja × nein
- Zutreffendes ankreuzen -
Falls ja: Bezeichnung der verantwortlichen Stelle  

4. Zweckbestimmung, Verfahrensbezeichnung, Rechtsgrundlage
4.1 Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung  
4.2 ggf. Bezeichnung des Verfahrens  
4.3 Rechtsgrundlage (ggf. nach Art der Datenverarbeitung unterschieden)  

5. Betroffene Personengruppen und Daten oder Datenkategorien
5.1 Beschreibung der betroffenen Personengruppen  
5.2 Beschreibung der diesbezüglichen Daten oder Datenkategorien  

6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können;
bei Datentransfers in Drittstaaten siehe Nr. 8

 

 

7. Regelfristen für die Löschung der Daten, Zeitraum

 

 

8. Geplante Übermittlung in Drittstaaten
8.1 Name des Drittstaates  
8.2 Empfänger oder Kategorien von Empfängern  
8.3 Art der Daten oder Datenkategorien  

(Behörden)interner Teil
– nicht zu veröffentlichen (nach § 4g Abs. 2 S. 2 BDSG) –
9. Angaben zur Beurteilung der Angemessenheit getroffener Sicherheitsmaßnahmen
9.1 Art der eingesetzten DV-Anlagen und Software  
9.2 Maßnahmen nach § 9 BDSG i.V.m. der Anlage dazu  

Erläuterungen zu 9.2:
Zutrittskontrolle  
Zugangskontrolle  
Zugriffskontrolle  
Weitergabekontrolle  
Eingabekontrolle  
Auftragskontrolle  
Verfügbarkeitskontrolle  
Trennungsgebot  
(Sind zu einem der vorstehenden Punkte keine Maßnahmen zu treffen, brauchen keine Angaben gemacht zu werden)
10. Begründetes Ergebnis der Vorabkontrolle gem. § 4d Abs. 5 BDSG

 

 

11. Auftragsdatenverarbeitung *
Wird die Verarbeitung durch eine andere Stelle im Sinne von §11 BDSG durchgeführt?
× ja × nein
- Zutreffendes ankreuzen -
Falls ja: Namen und Anschrift der beauftragten Stelle  
* (im Gesetz nicht genannt, aber dringend zu empfehlen)

Hauptblatt und Anlage(n) sind mit der Unterschrift des/der Verantwortlichen (Datenschutzbeauftrager/EDV-Leiter) zu versehen.

Einsichtsrecht in das Verfahrensverzeichnis

Gesetzliche Bestimmungen: §§ 4g Absatz 2, 4d sowie 4e, 38 Absatz 2 BDSG[4]

Die öffentlichen Stellen des Bundes haben ebenso wie die verantwortlichen Stellen im nicht-öffentlichen Bereich eine Übersicht über ihre automatisierten Verarbeitungen personenbezogener Daten zu führen. Diese Übersicht kann von jedermann unentgeltlich eingesehen werden. Entsprechende Regelungen für die Stellen der Länder inklusive der Kommunen enthalten die Landesdatenschutzgesetze.

Es ist Aufgabe der behördlichen oder betrieblichen Datenschutzbeauftragten, Interessenten die Angaben in dem Verfahrensverzeichnis in geeigneter Weise verfügbar zu machen. Auch nichtöffentliche Stellen ohne betrieblichen Datenschutzbeauftragten müssen eine entsprechende Übersicht führen und zur Einsicht bereithalten. Bis auf die allgemeine Beschreibung, die es ermöglicht, die Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung zu beurteilen, sind alle Angaben öffentlich. Die öffentlichen Stellen des Bundes müssen darüber hinaus die Rechtsgrundlage der Verarbeitung angeben.

Ausnahmen: Nicht öffentlich einsehbar sind die Verzeichnisse folgender Behörden:

  • Verfassungsschutzbehörden,
  • Bundesnachrichtendienst,
  • Militärischer Abschirmdienst,
  • andere Behörden des Bundesministeriums der Verteidigung, soweit die Sicherheit des Bundes berührt wird,
  • Staatsanwaltschaft und Polizei,
  • öffentliche Stellen der Finanzverwaltung, soweit sie personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern.

Online-Kommentare

Kommentar zu § 4d Meldepflicht
Kommentar zu § 4e Inhalt der Meldepflicht

Formulare

  • Checkliste Vorabkontrolle
  • Ausfüllhinweise zum Meldeformular, das Hauptblatt zum Meldeformular und die Anlage werden von den jeweiligen Aufsichtsbehörden zur Verfügung gestellt und können auf deren Webseite heruntergeladen werden.

Muster

Arbeitsmittel

Datenschutzforum - Input für elektronische Vorlage zum Verfahrensverzeichnis gesucht

Netzverweise

Einzelnachweise

  1. ^ LDI NRW: Müssen das öffentliche und das interne Verfahrensverzeichnis bezüglich der Angaben nach § 4e Satz 1 Nr. 1 bis 8 BDSG inhaltlich identisch sein?, zuletzt abgerufen am 27.04.2016
  2. ^ LfD Niedersachsen: Entscheidungsbaum Meldepflicht (MP) gegenüber den Datenschutzaufsichtsbehörden - § 4d BDSG (PDF), zuletzt abgerufen am 27.04.2016
  3. ^ a b BfDI – Info 4: Die Datenschutzbeauftragten in Behörde und Betrieb, zuletzt abgerufen am 27.04.2016
  4. ^ BfDI – Info 1: Bundesdatenschutzgesetz - Text und Erläuterung, zuletzt abgerufen am 27.04.2016


Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.