Verfahrensverzeichnisse und Meldepflichten: Unterschied zwischen den Versionen

DSGVO
(Links zu den Mustern der VVZ DS-GVO)
(DSGVO)
 
Zeile 1: Zeile 1:
:Dieser Artikel beschäftigt sich in der Hauptsache mit der Rechtslage zum alten BDSG bis 2018. Heute richtet sich das '''Verzeichnis von Verarbeitungstätigkeiten''' oder kurz '''Verarbeitungsverzeichnis''' nach [[DSGVO:Art 30|Art. 30 DSGVO]].
== DSGVO – Recht ab Mai 2018 ==
* [https://www.bvdnet.de/wp-content/uploads/2017/06/Hinweise_zum_VVT_Art_30_final.pdf Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO] (PDF), zuletzt abgerufen am 01.09.2017
* [https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungst%C3%A4tigkeiten_Verantwortlicher.pdf Muster VVZ Verantwortlicher, Art. 30 Abs. 1] (PDF), zuletzt abgerufen am 01.09.2017
* [https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungst%C3%A4tigkeiten_Auftragsverarbeiter.pdf Muster VVZ Auftragsverarbeiter, Art. 30 Abs. 2] (PDF), zuletzt abgerufen am 01.09.2017
* [https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungst%C3%A4tigkeiten_TOMs.pdf Muster VVZ technische und organisatorische Maßnahmen, Art. 32 Abs. 1] (PDF), zuletzt abgerufen am 01.09.2017
== Recht bis Mai 2018 ==
Anforderungen an die Angaben zu Verfahren der automatisierten Verarbeitung personenbezogener Daten.<br/>
Anforderungen an die Angaben zu Verfahren der automatisierten Verarbeitung personenbezogener Daten.<br/>
Nicht-öffentliche Stellen, die [[Personenbezogene Daten|personenbezogene Daten]] für kommerzielle Zwecke durch [[Automatisiertes Verfahren|automatisierte Verfahren]] verarbeiten und in den Anwendungsbereich des [[BDSG]] fallen, sind verpflichtet, eine Gesamtübersicht über die im Einsatz befindlichen Verarbeitungsverfahren zu erstellen. Zweck dieses Verfahrensverzeichnisses ist die Überprüfbarkeit der [[Zulässigkeit]] des Umgangs mit personenbezogenen Daten. Allgemein wird zwischen einem
Nicht-öffentliche Stellen, die [[Personenbezogene Daten|personenbezogene Daten]] für kommerzielle Zwecke durch [[Automatisiertes Verfahren|automatisierte Verfahren]] verarbeiten und in den Anwendungsbereich des [[BDSG]] fallen, sind verpflichtet, eine Gesamtübersicht über die im Einsatz befindlichen Verarbeitungsverfahren zu erstellen. Zweck dieses Verfahrensverzeichnisses ist die Überprüfbarkeit der [[Zulässigkeit]] des Umgangs mit personenbezogenen Daten. Allgemein wird zwischen einem
* "internen" Verfahrensverzeichnis, das durch detaillierte betriebsinterne Informationen sowohl dem Unternehmen als auch dem [[Datenschutzbeauftragter|Datenschutzbeauftragten]] die Möglichkeit bietet, den Umgang mit Daten zu organisieren und zu kontrollieren.
* „internen“ Verfahrensverzeichnis, das durch detaillierte betriebsinterne Informationen sowohl dem Unternehmen als auch dem [[Datenschutzbeauftragter|Datenschutzbeauftragten]] die Möglichkeit bietet, den Umgang mit Daten zu organisieren und zu kontrollieren.
:und einem
:und einem
* "öffentlichen" Verfahrensverzeichnis, welches aus den Informationen der internen Übersicht nach den Mindestanforderungen des BDSG erstellt wird und zum Zweck der [[Transparenz]] für jedermann zur Verfügung steht.
* „öffentlichen“ Verfahrensverzeichnis, welches aus den Informationen der internen Übersicht nach den Mindestanforderungen des BDSG erstellt wird und zum Zweck der [[Transparenz]] für jedermann zur Verfügung steht.


Wobei jedoch angemerkt werden muss, dass das BDSG keine Unterscheidung dieser beiden Verfahrensverzeichnisse kennt. Die interne Übersicht dient demnach dem Zweck einer umfangreichen innerbetrieblichen Transparenz, welche die Selbstkontrolle des Unternehmens erleichtert<ref>LDI NRW: [https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Verfahrensregister/Inhalt/FAQ/oeffentliches_und_internes_Verfahrensverzeichnis_identisch.php Müssen das öffentliche und das interne Verfahrensverzeichnis bezüglich der Angaben nach § 4e Satz 1 Nr. 1 bis 8 BDSG inhaltlich identisch sein?], zuletzt abgerufen am 27.04.2016</ref>.
Wobei jedoch angemerkt werden muss, dass das BDSG keine Unterscheidung dieser beiden Verfahrensverzeichnisse kennt. Die interne Übersicht dient demnach dem Zweck einer umfangreichen innerbetrieblichen Transparenz, welche die Selbstkontrolle des Unternehmens erleichtert<ref>LDI NRW: [https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Verfahrensregister/Inhalt/FAQ/oeffentliches_und_internes_Verfahrensverzeichnis_identisch.php Müssen das öffentliche und das interne Verfahrensverzeichnis bezüglich der Angaben nach § 4e Satz 1 Nr. 1 bis 8 BDSG inhaltlich identisch sein?], zuletzt abgerufen am 27.04.2016</ref>.
Zeile 9: Zeile 18:
Öffentliche Stellen müssen ein Verzeichnis der automatisierten Verfahren führen, mit denen sie personenbezogene Daten verarbeiten.
Öffentliche Stellen müssen ein Verzeichnis der automatisierten Verfahren führen, mit denen sie personenbezogene Daten verarbeiten.


==Gesetzliche Anforderung==
=== Gesetzliche Anforderung ===
Das BDSG unterscheidet zwei Anforderungen an ein Verfahrensverzeichnis, welche in der  Meldepflicht zum Register nach {{bdsgl|38|2}}, {{bdsgl|4d}} BDSG und dem Verfahrensverzeichnis gem. {{bdsgl|4g|2}} und 2a BDSG bestehen. Die Angaben zu beiden Anforderungen sind identisch.<br/>
Das BDSG unterscheidet zwei Anforderungen an ein Verfahrensverzeichnis, welche in der  Meldepflicht zum Register nach {{bdsgl|38|2}}, {{bdsgl|4d}} BDSG und dem Verfahrensverzeichnis gem. {{bdsgl|4g|2}} und 2a BDSG bestehen. Die Angaben zu beiden Anforderungen sind identisch.<br/>
Die Vorschrift zum Verfahrensverzeichnis setzt {{eur|Doc=31995L0046|Lang=DE|Text=Art.18 der EU-Richtlinie 95/46/EG}} des Europäischen Parlaments und des Rates vom 24. Oktober 1995 um.
Die Vorschrift zum Verfahrensverzeichnis setzt {{eur|Doc=31995L0046|Lang=DE|Text=Art.18 der EU-Richtlinie 95/46/EG}} des Europäischen Parlaments und des Rates vom 24. Oktober 1995 um.


====Meldepflicht zum Register nach § 38 Abs. 2, § 4d BDSG====
==== Meldepflicht zum Register nach § 38 Abs. 2, § 4d BDSG ====
[[Nicht-öffentliche Stellen]] sind verpflichtet, die Verfahren automatisierter [[verarbeiten|Verarbeitungen]] vor ihrer Inbetriebnahme der zuständigen [[ASB|Aufsichtsbehörde]] zu melden. Im Einzelnen betrifft dies z.B. Unternehmen
[[Nicht-öffentliche Stellen]] sind verpflichtet, die Verfahren automatisierter [[verarbeiten|Verarbeitungen]] vor ihrer Inbetriebnahme der zuständigen [[ASB|Aufsichtsbehörde]] zu melden. Im Einzelnen betrifft dies z.B. Unternehmen
* die geschäftsmäßig Daten für [[Dritte]] zur Verfügung stellen
* die geschäftsmäßig Daten für [[Dritte]] zur Verfügung stellen
Zeile 25: Zeile 34:
Wird diese Meldung versäumt, kann durch die zuständige Aufsichtsbehörde ein Bußgeld erhoben werden.
Wird diese Meldung versäumt, kann durch die zuständige Aufsichtsbehörde ein Bußgeld erhoben werden.


====Entscheidungsübersicht====
==== Entscheidungsübersicht ====
Entscheidungsübersicht der Meldepflicht (MP) gegenüber den Datenschutzaufsichtsbehörden - § 4d BDSG<ref>LfD Niedersachsen: [http://www.lfd.niedersachsen.de/download/32238 Entscheidungsbaum Meldepflicht (MP)] gegenüber den Datenschutzaufsichtsbehörden - § 4d BDSG (PDF), zuletzt abgerufen am 27.04.2016</ref>
Entscheidungsübersicht der Meldepflicht (MP) gegenüber den Datenschutzaufsichtsbehörden - § 4d BDSG<ref>LfD Niedersachsen: [http://www.lfd.niedersachsen.de/download/32238 Entscheidungsbaum Meldepflicht (MP)] gegenüber den Datenschutzaufsichtsbehörden - § 4d BDSG (PDF), zuletzt abgerufen am 27.04.2016</ref>


Zeile 54: Zeile 63:
Im [[Merkblatt zur Meldepflicht]] des [[Düsseldorfer Kreis|Düsseldorfer Kreises]] sind weitere Einzelheiten erläutert.
Im [[Merkblatt zur Meldepflicht]] des [[Düsseldorfer Kreis|Düsseldorfer Kreises]] sind weitere Einzelheiten erläutert.


====Meldepflicht öffentlicher Stellen====
==== Meldepflicht öffentlicher Stellen ====
Die öffentlichen Stellen des Bundes sowie von den Post- und Telekommunikationsunternehmen sind verpflichtet, die Verfahren der [https://www.bfdi.bund.de/DE/BfDI/Artikel_BFDI/AufgabenBFDI.html BfDI] nach Maßgabe von {{bdsg|4e}} BDSG zu melden.
Die öffentlichen Stellen des Bundes sowie von den Post- und Telekommunikationsunternehmen sind verpflichtet, die Verfahren der [https://www.bfdi.bund.de/DE/BfDI/Artikel_BFDI/AufgabenBFDI.html BfDI] nach Maßgabe von {{bdsg|4e}} BDSG zu melden.
Die Meldepflichten für [[öffentliche Stellen]] der Länder können bei den jeweiligen Aufsichtsbehörden angefragt werden.
Die Meldepflichten für [[öffentliche Stellen]] der Länder können bei den jeweiligen Aufsichtsbehörden angefragt werden.


====Aufgaben des DSB====
==== Aufgaben des DSB ====
In den Aufgaben des Beauftragten für den Datenschutz ist in {{bdsg|4g|2}} BDSG die Verpflichtung zur Erstellung des Verfahrensverzeichnisses festgelegt. Die grundlegenden Inhalte (z.B. Einzelangaben der Verfahren, zugriffsberechtigte Personen) für diese Erstellung des sogenannten "internen Verfahrensverzeichnisses" sind von der [[verantwortliche Stelle|verantwortlichen Stelle]] beizusteuern.
In den Aufgaben des Beauftragten für den Datenschutz ist in {{bdsg|4g|2}} BDSG die Verpflichtung zur Erstellung des Verfahrensverzeichnisses festgelegt. Die grundlegenden Inhalte (z.B. Einzelangaben der Verfahren, zugriffsberechtigte Personen) für diese Erstellung des sogenannten "internen Verfahrensverzeichnisses" sind von der [[verantwortliche Stelle|verantwortlichen Stelle]] beizusteuern.


==Das Verfahrensverzeichnis==
=== Das Verfahrensverzeichnis ===
====Verfahren automatisierter Verarbeitung====
==== Verfahren automatisierter Verarbeitun g====
Den Begriff des "Verfahrens" definiert das Gesetz selbst nicht. Abgeleitet aus Art. 18 Abs.1 der EU-Richtlinie 95/46 EG hat sich die folgende Definition durchgesetzt:
Den Begriff des „Verfahrens" definiert das Gesetz selbst nicht. Abgeleitet aus Art. 18 Abs.1 der EU-Richtlinie 95/46 EG hat sich die folgende Definition durchgesetzt:
:"Unter Verfahren ist die Gesamtheit an Verarbeitungen zu verstehen, mit denen eine oder mehrere miteinander verbundene Zweckbestimmung(en) realisiert werden sollen. Ein Verfahren kann danach eine Vielzahl von DV-Dateien umfassen." (siehe Merkblatt zur Meldepflicht)
:"Unter Verfahren ist die Gesamtheit an Verarbeitungen zu verstehen, mit denen eine oder mehrere miteinander verbundene Zweckbestimmung(en) realisiert werden sollen. Ein Verfahren kann danach eine Vielzahl von DV-Dateien umfassen." (siehe Merkblatt zur Meldepflicht)
<br/>
<br/>
Zeile 80: Zeile 89:
<br/><br/>
<br/><br/>


====Internes Verfahrensverzeichnis====
==== Internes Verfahrensverzeichnis ====
Die datenschutzrechtlich konforme Gestaltung des Umgangs mit personenbezogenen Daten erfordert zunächst die Ermittlung der Information, welche Daten genutzt werden und welche Verfahren zur [[nutzen|Nutzung]] im Einsatz sind. Durch diese Bestandsaufnahme bildet sich die Grundlage für den Bezug
Die datenschutzrechtlich konforme Gestaltung des Umgangs mit personenbezogenen Daten erfordert zunächst die Ermittlung der Information, welche Daten genutzt werden und welche Verfahren zur [[nutzen|Nutzung]] im Einsatz sind. Durch diese Bestandsaufnahme bildet sich die Grundlage für den Bezug
* '''vorhandene Daten'''
* '''vorhandene Daten'''
Zeile 95: Zeile 104:
<br/><br/>
<br/><br/>


====Mindestanforderung an den Inhalt====
==== Mindestanforderung an den Inhalt ====
Nach § 4e BDSG werden folgende Angaben für meldepflichtige Verfahren automatisierter Verarbeitungen gefordert:
Nach § 4e BDSG werden folgende Angaben für meldepflichtige Verfahren automatisierter Verarbeitungen gefordert:
<blockquote style="background-color:#eeeef3;border:1px dotted #434550;">
<blockquote style="background-color:#eeeef3;border:1px dotted #434550;">
Zeile 110: Zeile 119:
<br/>
<br/>


====Verfahrenverzeichnis nach §4g i.V.m. §18 und §4e BDSG====
==== Verfahrenverzeichnis nach § 4g i.V.m. § 18 und § 4e BDSG ====
{| cellpadding="6" cellspacing="0"
{| cellpadding="6" cellspacing="0"
|- valign="top"
|- valign="top"
Zeile 298: Zeile 307:
<br/><br/>
<br/><br/>


====Einsichtsrecht in das Verfahrensverzeichnis====
==== Einsichtsrecht in das Verfahrensverzeichnis ====
Gesetzliche Bestimmungen: §§ 4g Absatz 2, 4d sowie 4e, 38 Absatz 2 BDSG<ref>[https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO1.html BfDI – Info 1]: Bundesdatenschutzgesetz - Text und Erläuterung, zuletzt abgerufen am 27.04.2016</ref>
Gesetzliche Bestimmungen: §§ 4g Absatz 2, 4d sowie 4e, 38 Absatz 2 BDSG<ref>[https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO1.html BfDI – Info 1]: Bundesdatenschutzgesetz - Text und Erläuterung, zuletzt abgerufen am 27.04.2016</ref>
<br/><br/>
<br/><br/>
Zeile 314: Zeile 323:
* öffentliche Stellen der Finanzverwaltung, soweit sie personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern.
* öffentliche Stellen der Finanzverwaltung, soweit sie personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern.


==[[:Kategorie:Online-Kommentare|Online-Kommentare]]==
=== [[:Kategorie:Online-Kommentare|Online-Kommentare]] ===
[[4d_BDSG_Kommentar_Absatz_1-4|Kommentar zu §&nbsp;4d&nbsp;Meldepflicht]]<br/>
[[4d_BDSG_Kommentar_Absatz_1-4|Kommentar zu §&nbsp;4d&nbsp;Meldepflicht]]<br/>
[[4e_BDSG_Kommentar|Kommentar zu §&nbsp;4e&nbsp;Inhalt der Meldepflicht]]
[[4e_BDSG_Kommentar|Kommentar zu §&nbsp;4e&nbsp;Inhalt der Meldepflicht]]


==Formulare==
== Formulare==
* [[Checkliste Vorabkontrolle]]
* [[Checkliste Vorabkontrolle]]
* Ausfüllhinweise zum Meldeformular, das Hauptblatt zum Meldeformular und die Anlage werden von den jeweiligen [[Aufsichtsbehörde|Aufsichtsbehörden]] zur Verfügung gestellt und können auf deren Webseite heruntergeladen werden.
* Ausfüllhinweise zum Meldeformular, das Hauptblatt zum Meldeformular und die Anlage werden von den jeweiligen [[Aufsichtsbehörde|Aufsichtsbehörden]] zur Verfügung gestellt und können auf deren Webseite heruntergeladen werden.


====DS-GVO====
== Muster ==
* [https://www.bvdnet.de/wp-content/uploads/2017/06/Hinweise_zum_VVT_Art_30_final.pdf Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO] (PDF), zuletzt abgerufen am 01.09.2017
* [https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungst%C3%A4tigkeiten_Verantwortlicher.pdf Muster VVZ Verantwortlicher, Art. 30 Abs. 1] (PDF), zuletzt abgerufen am 01.09.2017
* [https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungst%C3%A4tigkeiten_Auftragsverarbeiter.pdf Muster VVZ Auftragsverarbeiter, Art. 30 Abs. 2] (PDF), zuletzt abgerufen am 01.09.2017
* [https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungst%C3%A4tigkeiten_TOMs.pdf Muster VVZ technische und organisatorische Maßnahmen, Art. 32 Abs. 1] (PDF), zuletzt abgerufen am 01.09.2017
 
====Muster====
* [https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO4.pdf?__blob=publicationFile&v=3 BfDI Info 4 Anlage 3] (PDF), zuletzt abgerufen am 27.04.2016
* [https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO4.pdf?__blob=publicationFile&v=3 BfDI Info 4 Anlage 3] (PDF), zuletzt abgerufen am 27.04.2016
* [https://www.gdd.de/nachrichten/arbeitshilfen/verfahrensverzeichnis.pdf GDD - Das Verfahrensverzeichnis für Jedermann], (PDF), zuletzt abgerufen am 27.04.2016
* [https://www.gdd.de/nachrichten/arbeitshilfen/verfahrensverzeichnis.pdf GDD - Das Verfahrensverzeichnis für Jedermann], (PDF), zuletzt abgerufen am 27.04.2016


====Arbeitsmittel====
=== Arbeitsmittel ===
[https://www.bfdi.bund.de/bfdi_forum/showthread.php?2105-Input-frr-elektronische-Vorlage-zum-Verfahrensverzeichnis-gesucht Datenschutzforum - Input für elektronische Vorlage zum Verfahrensverzeichnis gesucht]
[https://www.bfdi.bund.de/bfdi_forum/showthread.php?2105-Input-frr-elektronische-Vorlage-zum-Verfahrensverzeichnis-gesucht Datenschutzforum - Input für elektronische Vorlage zum Verfahrensverzeichnis gesucht]


==Weblinks==
== Netzverweise ==
* [https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Verfahrensregister/index.php LDI NRW Verfahrensregister]<br/>
* [https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Verfahrensregister/index.php LDI NRW Verfahrensregister]<br/>
* [https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/baust/b01/b01005.html BSI Baustein Datenschutz]
* [https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/baust/b01/b01005.html BSI Baustein Datenschutz]


==Einzelnachweise==
== Einzelnachweise ==
<references/>
<references/>


Template-Autor
128

Bearbeitungen