Verfahrensverzeichnis (Verfahrensregister)
Für den nicht-öffentlichen Bereich
Was ist meldepflichtig?
Nach § 4d des Bundesdatenschutzgesetzes (BDSG) müssen nicht-öffentliche Stellen – also insbesondere Unternehmen – Verfahren automatisierter Datenverarbeitung vor ihrer Inbetriebnahme der zuständigen Aufsichtsbehörde (für alle Unternehmen und Vereine ist dies in Baden-Württemberg der Landesbeauftragte für den Datenschutz) melden. Die Aufsichtsbehörde führt gemäß § 38 Absatz 2 BDSG ein Register dieser Meldungen (sog. „Verfahrensregister“), das, bis auf die gemeldeten Datensicherungsmaßnahmen und die gemeldeten zugriffsberechtigten Personen, von jedermann eingesehen werden kann.
Diese Meldepflicht entfällt, wenn
– die verantwortliche Stelle einen (betrieblichen) Beauftragten für den Datenschutz bestellt hat (§ 4d Absatz 2 BDSG) oder
– die verantwortliche Stelle personenbezogene Daten für eigene Zwecke erhebt, verarbeitet oder nutzt, hierbei in der Regel höchstens neun Personen ständig mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt sind und entweder eine Einwilligung der Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist (§ 4d Absatz 3 BDSG).
Der Meldepflicht unterliegen Verfahren automatisierter Verarbeitung von personenbezogenen Daten nach § 4d Abs. 4 BDSG immer dann (also unabhängig von den beiden eben genannten Ausnahmen), wenn diese Daten geschäftsmäßig
– zum Zweck der Übermittlung (§ 29 BDSG, z. B. Auskunfteien, Adresshandel) oder
– zum Zweck der anonymisierten Übermittlung (§ 30 BDSG) oder
– zum Zweck der Markt- oder Meinungsforschung (§ 30a BDSG)
gespeichert werden.
Eine Meldung nach § 4d BDSG stellt keinen Antrag auf Überprüfung der Datenverarbeitungsverfahren durch die Aufsichtsbehörde dar. Eine solche Vorabkontrolle ist nur in besonders sensiblen und risikobehafteten Fällen der Datenverarbeitung nach § 4d Absatz 5 BDSG erforderlich. Für diese Kontrolle ist nicht die Aufsichtsbehörde, sondern der betriebliche Datenschutzbeauftragte zuständig, § 4d Absatz 6 BDSG. Ein Unternehmen ist gemäß § 4f Absatz 1 Satz 6 BDSG zur Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet, wenn die Datenverarbeitung einer Vorabkontrolle bedarf.
Was ist der Unterschied zwischen der Meldepflicht, der Verfahrensübersicht und dem sog. Verfahrensverzeichnis?
Auch wenn die Meldepflicht nach § 4d Absätze 2, 3 BDSG entfällt, muss jedes Unternehmen zumindest eine (interne) Verarbeitungsübersicht erstellen (Transparenz nach innen). Dies ergibt sich aus § 4g Absatz 2 Satz 1 BDSG: „Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stelle eine Übersicht über die in § 4e Satz 1 genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen.“ Diese Verarbeitungsübersicht ist sozusagen die Arbeitsgrundlage für den betrieblichen Datenschutzbeauftragten. Die Mindestinhalte dieser Übersicht sind in § 4e Satz 1 BDSG geregelt.
Der betriebliche Datenschutzbeauftragte muss die Inhalte des § 4e Satz 1 Nr. 1 bis 8 BDSG dieser Verarbeitungsübersicht (also alles aus der Verarbeitungsübersicht bis auf den Bereich Daten-Sicherheitsmanagement) auf Antrag für jedermann zugänglich machen, § 4g Absatz 2 Satz 2 BDSG. Dieses öffentlich zugängliche Papier nennt man Verfahrensverzeichnis (Transparenz nach außen).
Wenn es keinen betrieblichen Datenschutzbeauftragten gibt, muss nach § 4g Absatz 2a BDSG der Leiter der nicht-öffentlichen Stelle (z.B. der Geschäftsführer des Unternehmens, der Firmenchef) dafür sorgen, dass in ein solches Verfahrensverzeichnis Einblick genommen werden kann.
Wenn die Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erfolgt, stellt dies eine Ordnungswidrigkeit dar, die mit einer Geldbuße von bis zu fünfzigtausend Euro geahndet werden kann (§ 43 Absatz 1 Nr. 1 i.V.m. Absatz 3 Satz 1 BDSG)
Für den öffentlichen Bereich
Was ist das Verfahrensverzeichnis?
Das Landesdatenschutzgesetz (LDSG) verpflichtet in § 11 alle öffentlichen Stellen, ein Verzeichnis der automatisierten Verfahren, die von der Stelle genutzt werden, zu führen.
In das Verzeichnis sind mit Ausnahme der in § 11 Absatz 3 LDSG beschriebenen Verfahren alle Verfahren aufzunehmen, mit denen personenbezogene Daten verarbeitet werden. Welche Informationen ein Verzeichniseintrag umfassen muss, ist in § 11 Absatz 2 LDSG geregelt (insbesondere Name und Anschrift der verantwortlichen Stelle, Zweck und Rechtsgrundlage des Verfahrens, Betroffene, Lösch- und Sperrfristen, technische Rahmenbedingungen). Das Verzeichnis dieser Verfahren trägt die Bezeichnung Verfahrensverzeichnis.
Wozu führen öffentliche Stellen ein Verfahrensverzeichnis?
Mit dem Verfahrensverzeichnis werden zwei Ziele verfolgt: Zum einen hat das Verfahrensverzeichnis den Zweck, Transparenz hinsichtlich der in der Stelle verarbeiteten personenbezogenen Daten zu schaffen. Zum anderen soll das Verfahrensverzeichnis den Stellen als internes Kontrollinstrument dienen. An Hand der Eintragungen des Verzeichnisses kann die Stelle die Recht- und Zweckmäßigkeit der Verarbeitung prüfen. Im Verfahrensverzeichnis ist auch zu dokumentieren, wie die Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit der Daten im Rahmen der einzelnen Verfahren gewährleistet wird. An Hand dieser Beschreibung kann sich bei Kontrollen aber auch der Landesbeauftragte für den Datenschutz einen Überblick verschaffen, ob die tatsächlich getroffenen technischen und organisatorischen Maßnahmen denen im Verfahrensverzeichnis entsprechen.
Wer führt das Verfahrensverzeichnis?
Wenn eine öffentliche Stelle einen behördlichen Datenschutzbeauftragten bestellt hat, hat dieser nach § 10 Absatz 4 Satz 2 Nummer 3 LDSG das Verfahrensverzeichnis der Stelle selbst zu führen. Ansonsten kann die verantwortliche Stelle auch eine andere Stelle beauftragen, das Verfahrensverzeichnis für sie zu führen (§ 11 Absatz 1 Satz 2 LDSG).
Wie verhält es sich mit der Meldepflicht?
Öffentliche Stellen, die keinen Datenschutzbeauftragten bestellt haben, trifft nach § 32 LDSG eine Meldepflicht. Sie müssen spätestens mit der produktiven Inbetriebnahme des Verfahrens die gemäß § 11 Absatz 2 LDSG zu dokumentierenden Informationen dem Landesbeauftragten für den Datenschutz mitteilen. Die Stelle ist auch dann meldepflichtig, wenn eine andere Stelle ihr Verfahrensverzeichnis führt.
Eine detaillierte Beschreibung, welche Datenverarbeitungen zu dokumentieren sind, welche Angaben gemacht werden müssen und wie man zweckmäßigerweise dabei vorgeht, sind diesem Merkblatt zu entnehmen.