Verfahrensverzeichnis, § 4e BDSG

Der Datenschutzbeauftragte ist verantwortlich für die ordnungsgemäße Dokumentation des Umgangs mit den relevanten Daten. Hierzu erstellt der Datenschutzbeauftragte ein Verfahrensverzeichnis (auch Verfahrensübersicht genannt). Man unterscheidet zwischen dem internen Verfahrensverzeichnis und dem öffentlichen Verfahrensverzeichnis. Die Inhalte des Verfahrensverzeichnisses sind in § 4e BDSG genannt.

Internes Verfahrensverzeichnis

Der Inhalt des internen Verfahrensverzeichnisses ist in § 4 e BDSG aufgeführt. Danach muss das Verfahrenverzeichnis die folgenden Angaben enthalten:

  1. Name oder Firma der verantwortlichen Stelle,
  2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
  3. Anschrift der verantwortlichen Stelle,
  4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
  5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
  6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
  7. Regelfristen für die Löschung der Daten,
  8. eine geplante Datenübermittlung in Drittstaaten,
  9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.

In Ziff. 9 verweist § 4 e BDSG auf § 9 BDSG. Danach ist anhand von technischen und organisatorischen Maßnahmen sicherzustellen, dass die Vorschriften des BDSG eingehalten werden. Dabei verweist § 9 BDSG auf eine Anlage zum BDSG. Insoweit sind die folgenden Vorgaben zu beachten bzw. im Verfahrensverzeichnis weitere Angaben zu dem nachfolgenden Punkten auszuführen:

  1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
  2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
  3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
  4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
  5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
  6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
  8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Gem. § 9 BDSG findet der Grundsatz der Verhältnismäßigkeit Anwendung. Maßnahmen sind nur dann erforderlich, wenn der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Dies ist im Einzelfall zu beurteilen.

Neben den vorgenannten Angaben sollte das Verfahrensverzeichnis auch Ausführungen zu Zugangsberechtigungen enthalten. § 4 g Abs. 2 S 1 BDSG verpflichtet die verantwortliche Stelle insoweit, dem Datenschutzbeauftragten die erforderlichen Informationen zur Verfügung zu stellen.

Öffentliches Verfahrensverzeichnis.

Das öffentliche Verfahrensverzeichnis beinhaltet die Angaben nach § 4e S. 1 Nr. 1 bis 8 BDSG. Nicht Bestandteil sind damit Angaben zu technisch organisatorischen Maßnahmen gem. § 9 BDSG einschließlich der Angaben der Anlage zum BDSG.

Ähnliche Beiträge

Unverbindliche Anfrage

Kontaktieren Sie uns kostenfrei und unverbindlich bei Fragen zu Wirtschaftsrecht und Steuerrecht. Wir melden uns kurzfristig zurück.

Achtung! Bei Fristabläufen oder anderem sofortigen Handlungsbedarf kontaktieren Sie uns für eine Bearbeitung am selben Tag bitte ausschließlich telefonisch Montag bis Freitag vor 17 Uhr: +49 30 39 88 53 860