Das Verfahrensverzeichnis – zentrales Element der Transparenzpflicht

Das Verfahrensverzeichnis – zentrales Element der Transparenzpflicht in verantwortlichen Stellen

Unternehmen sind laut BDSG gesetzlich dazu verpflichtet umfangreichen datenschutzrechtlichen Transparenz- und Dokumentationspflichten nachzukommen. Das Verfahrensverzeichnis, welches als zentrales Instrument zur Unterstützung der Umsetzung der Transparenzpflicht durch den betrieblichen Datenschutzbeauftragten dient, ist der Mehrheit bekannt. Doch wie die Vorgehensweise dazu in der Praxis aussieht, ist oftmals ein Buch mit sieben Siegeln. Der Artikel soll Ihnen einen Weg aufzeigen, um in fünf Schritten effektiv das Verfahrensverzeichnis aufzubauen oder gar aktuell zu halten.

Die Erstellung des Verfahrensverzeichnisses ist nach wie vor ein Dauerbrenner. Diese Vorschrift gibt es zwar schon seit Inkrafttreten des ersten Bayerischen Datenschutzgesetzes; Datenschutz-Newcomer haben aber – wie die Erfahrung zeigt – Probleme bei der Erstellung und Aktualisierung des Verfahrensverzeichnisses.

Grundsätzlich muss für jedes automatisierte DV-Verfahren, in dem personenbezogene Daten verarbeitet werden, eine Meldung zum Verfahrensverzeichnis (in manchen Bundesländern wird es Verfahrensübersicht genannt) erstellt werden. Die Summe aller Meldungen ergibt das Verfahrensverzeichnis.

Es ist sinnvoll, wenn der interne Datenschutzbeauftragte diese Aufgabe aufgrund des Lerneffektes zunächst selbst erledigt. Der „Datenschutz Assistent®“ leistet dabei eine wertvolle Unterstützung. Der „Datenschutz Assistent®“ leitet dabei durch die wesentlichen Prozesse der Verfahrenseinführung, -änderung und –stilllegung. Dabei werden entsprechende Formblattmuster bereitgestellt.

04_Erstellung des Verfahrensverzeichnisses_Dr. Abel_HHA_Bild1_final

Bild: Auszug aus den Prüfansätzen im „Datenschutz Assistent®“ zur Sicherstellung des Verfahrensverzeichnisses.

Dabei hilft der „Datenschutz Assistent®“, den Überblick im Laufe der vielen Verfahrensänderungen zu behalten, indem er sich in den jeweiligen IT-gestützten Geschäftsprozess einbettet und diesen dokumentiert. So kann der Datenschutzbeauftragte das jeweils gültige Verzeichnis mit den künftigen Änderungen abgleichen.

Welches Vorgehen empfiehlt sich nun?

In 5 Schritten erfolgreich zum Verfahrensverzeichnis04_Erstellung_des_Verfahrensverzeichnisses_Dr__Abel_HHA_final

Schritt 1. Anschreiben aller Organisationseinheiten eines Unternehmens

Unabhängig davon, ob bereits ein Verfahrensverzeichnis existiert, sollte sich der Datenschutzbeauftragte regelmäßig (etwa alle zwei Jahre) an alle Abteilungen wenden und Informationen über alle Verfahren, in denen personenbezogene Daten verarbeitet werden, anfordern. Aus diesen Informationen sollte insbesondere hervorgehen, zu welchen Zwecken welche personenbezogenen Daten verarbeitet werden und seit wann ein Verfahren im Einsatz ist.

Auch hier hilft der „Datenschutz Assistent®“, da er Funktionsträger (z. B. Datenschutzkoordinatoren in den Organisationseinheiten oder Verfahrensverantwortliche) mit einbinden kann. Diesen können Aufgaben und Termine zugeteilt werden.

04_Erstellung des Verfahrensverzeichnisses_Dr. Abel_HHA_Bild3_final

Bild: Auszug aus der Termin- / Aufgabensteuerung im „Datenschutz Assistent®“.

Schritt 2. Abgleich der Informationen mit dem Verfahrensverzeichnis

Anhand dieser Informationen kann der Datenschutzbeauftragte feststellen, ob ein Verfahren zum Verfahrensverzeichnis bereits gemeldet wurde oder nicht.

Schritt 3. Erfassung fehlender Verfahren oder etwaiger Verfahrensänderungen

Stellt der Datenschutzbeauftragte fest, dass bestimmte Verfahren im Verfahrensverzeichnis fehlen oder nur unvollständig beschrieben sind, muss er sich an die verantwortlichen Stellen (Fachabteilungen) wenden und die Angaben anfordern, die er für das Verfahrensverzeichnis benötigt. Dazu benützt der Datenschutzbeauftragte eines der Formblattmuster im „Datenschutz Assistent®“. Das Formblatt entspricht den derzeitigen Anforderungen der Datenschutzaufsichtsbehörden im nicht-öffentlichen Bereich. Im öffentlichen Bereich werden per Landesgesetze unterschiedliche Formblätter von den Aufsichtsbehörden für die verantwortlichen Stellen empfohlen.

04_Erstellung des Verfahrensverzeichnisses_Dr. Abel_HHA_Bild4_final

Bild: Auszug über die Musterformulare im „Datenschutz Assistent®“ u. a. zum Verfahrensverzeichnis.

Schritt 4. Überprüfung der Meldungen

Der Datenschutzbeauftragte sollte der Fachabteilung für die Beantwortung seiner Anfragen eine angemessene Frist (je nach Größe, aber nicht länger als 4 Wochen) setzen. Nach Erhalt der Informationen überprüft der Datenschutzbeauftragte die Vollständigkeit der Angaben.

Schritt 5. Beteiligung des Datenschutzbeauftragten an der Verfahrensentwicklung

Damit das Verfahrensverzeichnis ständig aktuell gehalten wird, muss der Datenschutzbeauftragte an der Entwicklung neuer oder der Erweiterung bestehender Verfahren unaufgefordert beteiligt werden.

Nur mit einem aktuellen Verfahrensverzeichnis kann der Datenschutzbeauftragte den gesetzlich verbrieften Auskunftsersuchen von Betroffenen in einer akzeptablen Zeit nachkommen. Auch für die interne Kontrolltätigkeit liefert ein aktuelles und aussagefähiges Verfahrensverzeichnis wertvolle Informationen.

Dr. Horst G. Abel und Hannes Hahn

Datenfelder zur Erhebung zum Verteiler „IT-Sicherheit und IT-Recht“

Links:
http://www.datenschutzassistent.de/
http://www.roedl.de/themen/cyber-sicherheits-check-hilft-eigene-position-zu-bestimmen
http://www.roedl.de/themen/penetrationstest-cyber-sicherheit