+49 (0)241 14 94 66 0 beratung@itsecurity-ist-pflicht.de

Welchen Zweck hat ein Verfahrensverzeichnis?

Das Verfahrensverzeichnis liefert eine genaue Übersicht darüber, welche personenbezogenen Daten in einem Unternehmen verarbeitet werden. Dabei wird auch berücksichtigt, welche Daten, wie, wo und zu welchem Zweck benutzt werden. Die Aufstellung eines Verfahrensverzeichnisses ist für jedes Wirtschaftsunternehmen gesetzlich vorgeschrieben.

[toc]

Schritt 1: Verantwortlichkeit

Zu Beginn sollten Sie klären, wer in Ihrem Unternehmen für die Erstellung des Verfahrensverzeichnisses verantwortlich ist. Gesetzlich geregelt ist, dass das Verzeichnis dem Datenschutzbeauftragten zur Verfügung gestellt wird, wer es letztlich anlegt, bleibt allerdings dem Arbeitgeber überlassen, sodass diese Aufgabe oft dem Beauftragten für den Datenschutz übertragen wird. In diesem Fall sollte jedoch geklärt werden, wo im Zweifelsfall Unterstützung eingeholt werden kann.

Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stelle eine Übersicht über die in § 4e Satz 1 genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen.

Schritt 2: Welche Inhalte müssen enthalten sein?

Folgende Inhalte müssen in dem Verzeichnis vorhanden sein:

  • Name des Unternehmens oder der verantwortlichen Stelle
  • Namen der Inhaber, Vorstände, Geschäftsführer oder sonstigen Leiter sowie der Personen, die mit der Leitung der Datenverarbeitung beauftragt sind
  • Anschrift der Stelle (Hauptsitz)
  • Nennung der Zwecke, zu denen personenbezogene Daten erhoben, verarbeitet oder genutzt werden
  • Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien
  • Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können
  • Regelfristen für die Löschung der Daten
  • eine geplante Datenübermittlung in Drittstaaten
  • eine allgemeine Beschreibung, die eine vorläufige Beurteilung erlaubt, ob die Maßnahmen nach § 9 BDSG zur Gewährleistung der Datensicherheit angemessen

Welche Vorteile hat ein effektives Management der Verfahrensverzeichnisse?

  • Der Datenschutzbeauftragte erhält schnell eine Übersicht über die laufenden Verarbeitungen von personenbezogenen Daten und kann darauf seine datenschutzrechtliche Prüfung aufbauen.
  • Bei einer Prüfung durch die zuständige Aufsichtsbehörde für den Datenschutz sind regelmäßig beide Verfahrensverzeichnisse vorzulegen. Dieser Pflicht kann ohne Vorlaufzeit nachgekommen werden.
  • Da Betroffene einen Auskunftsanspruch haben (vgl. § 34 BDSG), lohnt es sich, wenn der Datenschutzbeauftragte das öffentliche Verfahrensverzeichnis schon parat hat und nicht erst im Rahmen einer Anfrage eine Übersicht erstellen muss.

Schritt 3: Planung

Bevor Sie mit der Erstellung des Verzeichnisses beginnen, sollten Sie klar definieren, welche Aufgaben zu erledigen sind und diese im Hinblick auf Arbeits- und Zeitaufwand strukturieren. Dabei sollte darauf geachtet werden, dass Aufgaben entweder unabhängig voneinander zu lösen sind oder aufeinander aufbauen. Legen Sie zum Beispiel eigene Aufgaben für die Auswahl der Hilfsmittel, das Einholen der Informationen oder für die Sortierung und Zusammenfassung an.

Schritt 4: Hilfsmittel auswählen

Für die Erstellung und die Verwaltung stehen bereits einige Hilfsmittel zur Verfügung. Diese bestehen oft aus einfachen Word- oder Excelvorlagen, allerdings gibt es ebenfalls komplette Formular-Manager oder Software, die Sie hierbei unterstützen. Hierbei gibt es keine richtigen oder falschen Möglichkeiten, entscheiden Sie sich individuell für die Lösung, die Ihnen am meisten zusagt.

Schritt 5: Informationen einholen

Das Zusammentragen der Informationen ist einer der Schwerpunkte bei der Erstellung eines Verfahrensverzeichnisses. Dabei sollten Sie zuerst klären, wo im Unternehmen personenbezogene Daten erhoben, verarbeitet und genutzt werden. Außerdem sollte klar sein wer, wie mit diesen Daten umgeht. Die Informationen können dann auf unterschiedliche Arten gesammelt werden.

  1. Sie fordern die entsprechenden Fachabteilungen auf, die notwendigen Angaben schriftlich zusammenzutragen Bei dieser Variante sollten Sie Formulare erstellen, mit denen alle benötigten Details abgefragt werden können und diese den jeweiligen Abteilungen zukommen lassen. Solche Formulare können oft mit Hilfe der verwendeten Software erstellt werden. Um auf Rückfragen eingehen zu können, sollte ein Termin für die Wiedervorlage der Dokumente besprochen werden, damit Sie Ihrem Zeitplan treu bleiben können und nicht auf die Informationen warten müssen.
  2. Sie vereinbaren einen persönlichen Besprechungstermin mit dem Abteilungsleiter oder einer delegierten Person. Diese Variante bietet sich besonders bei Kollegen an, die wenig eigene Erfahrung mit Datenschutz haben, weil auf Rückfragen direkt eingegangen werden kann. Zwar müssen Sie für diese Variante mehr Zeit aufwenden, allerdings werden Sie auch sachgerechtere Ergebnisse erhalten, wodurch Sie beim Sichten der Informationen und letztlich auch beim Verfassen des eigentlichen Verfahrensverzeichnisses wieder Zeit sparen können. Auf ein entsprechendes Gespräch sollten Sie sich allerdings ebenfalls vorbereiten. Einige Beispielfragen, die in einem solchen Austausch geklärt werden sollten, haben wir Ihnen hier zusammengetragen:
Beispielfragen
  • Welche personenbezogenen Daten (bzw. Datenkategorien) werden genau verwendet? Sind „besondere Arten personenbezogener Daten“ darunter?
  • Von welchen Personengruppen stammen die Daten (Betroffene)?
  • Warum werden die Daten benötigt (Zwecke)?
  • In welchen Arbeitsschritten wird was mit den Daten genau gemacht? Welche Software kommt dabei zum Einsatz?
  • Woher stammen die Daten (Herkunft)?
  • Wer hat Zugriff auf die Daten?
  • An wen werden die Daten übermittelt (interne und externe Empfänger)? Sitzen Empfänger im Ausland oder in Drittstaaten?
  • Werden die Daten gelöscht? Wann und wie?
  • Mit welchen technischen und organisatorischen Maßnahmen werden die Daten geschützt (Datensicherheit)?
  • Wer ist Ansprechpartner für Detailfragen bzw. Verantwortlicher dieser Datenverarbeitung?

Schritt 6: Verfahrensbezeichnungen definieren

Nachdem Sie alle Informationen zusammengetragen haben, müssen Sie nun beginnen einzelne Prozesse zu „Verfahren“ zusammenfassen. Ein Verfahren umfasst dabei alle Prozesse, die Daten zum gleichen Zweck verwenden. Beachten Sie, dass dennoch alle Bestandteile eines Verfahrens namentlich genannt und dokumentiert werden müssen. Alle diese Einzelprozesse dienen dem gleichen Zweck, nämlich der Verwaltung der Mitglieder. Diese Einzelprozesse können deshalb (aber müssen nicht zwangsläufig) zu einer Verarbeitung zusammengefasst werden. In einem Verfahrensverzeichnis müssen allerdings lediglich sogenannte „automatisierte Verarbeitungen“ erfasst werden, also nur Datenverarbeitungen, die mithilfe von Computern oder IT durchgeführt werden. Handschriftliche Aufzeichnungen müssen nicht berücksichtigt werden.

Beispiel

Ein Verein verwaltet Mitgliederdaten. Zu diesem Zweck werden folgende Einzelprozesse durchgeführt:

 

  • Entgegennahme, Erfassung und Aufbewahrung von Aufnahmeanträgen
  • Entscheidung über die Aufnahme
  • Speicherung der Daten in einer Software mit Datenbank
  • bei Kooperationen: ggf. Weitergabe der Daten an Dritte
  • Sperrung und Löschung der Daten nach einem Austritt

Es können also alle fünf Prozesse zu einem Verfahren „Mitgliederverwaltung“ zusammengefasst werden.

Schritt 7: Verfassen des Verzeichnisses

Wenn Sie einzelne Verfahren gewählt, benannt und definiert haben, müssen Sie nun die inhaltlichen Detail-Beschreibungen verfassen (Variante 2.) oder kontrollieren (Variante 1.). Die einzelnen Verfahren bilden dabei die Überschriften. Arbeiten Sie mit einem Hilfsmittel, werden dort oft schon die Details abgefragt, anderenfalls können Sie sich an der Auflistung der Mindestangaben in §4e BDSG orientieren. Den Verfahren müssen darüber hinaus auch eine Liste mit den jeweiligen Zugriffsberechtigungen beigefügt werden. Außerdem sollten Sie  Unterschiede zwischen den gesetzlichen Vorgaben und der entsprechenden Praxis notieren, um Hinweise für den weiteren Handlungsbedarf von Seiten des Datenschutzbeauftragten anzumerken und auf Verbesserungsmöglichkeiten hinzuweisen. Wenn Sie das Verfahrensverzeichnis vollständig erstellt haben, sollten Sie es an einem geeigneten Platz ablegen, damit es bei Bedarf schnell erreichbar ist. Darüber hinaus können Sie es an die Geschäftsleitung weiterleiten. Dies ist zwar nicht gesetzlich vorgeschrieben, jedoch können Sie dadurch belegen, dass Sie diesbezüglich tatsächlich tätig waren

Schritt 8: Öffentliches Verfahrensverzeichnis

Da jeder das Recht auf einen Einblick in ein öffentliches Verfahrensverzeichnis hat, sollten Sie abschließend noch eine angepasste Version des Verfahrensverzeichnisses anfertigen, in der keine Angaben zu den internen technischen und organisatorischen Maßnahmen enthalten sind. Eine Kopie dieses Verzeichnisses kann dann auf Wunsch an den Anfragenden übermittelt werden. Das komplette, interne Verfahrensverzeichnis müssen Sie nicht verfügbar machen

Schritt 9: Aktualisierungen

Veränderungen der Datenverarbeitung im Laufe der Zeit müssen auch im Verfahrensverzeichnis dokumentiert werden. Da der Datenschutzbeauftrage meist nicht über alle Änderungen im Unternehmen automatisch Kenntnis erhält, ist es ratsam das Verzeichnis regelmäßig/jährlich zu überprüfen.