Grundsätzlich sind Unternehmen gemäß § 4d (1) BDSG verpflichtet, ihre “automatisierten Verarbeitungen” bei der zuständigen Aufsichtsbehörde anzumelden, bevor sie diese in Betrieb nehmen. Die meldepflichtigen Angaben ergeben sich dabei aus § 4e Satz 1 BDSG. Die Angaben der Meldung führt die Aufsichtsbehörde in einem für jedermann einsehbaren Register – auch bekannt als “Jedermann- Verfahrensverzeichnis”.
Nun die gute Nachricht: Hat ein Unternehmen einen Datenschutzbeauftragten (DSB) bestellt, entfällt diese Meldepflicht in der Regel. Allerdings erlöst dies das Unternehmen nicht davon, die meldepflichtigen Angaben dennoch zu erheben und zu dokumentieren. Zum einen ist das Unternehmen verpflichtet, dem DSB für seine tägliche Arbeit eine Übersicht zu machen, mit den Angaben, die sonst an die Aufsichtbehörde gemeldet werden müssen. Diese Übersicht soll es dem DSB ermöglichen, die Rechtmäßigkeit der Verarbeitung der Daten zu kontrollieren und besondere Risiken zu erkennen.
Zum anderen muss der DSB in der Lage sein, sozusagen statt der Aufsichtsbehörde, auf Antrag bestimmte Angaben jedermann “in geeigneter Weise verfügbar” zu machen. Angesichts der unterschiedlichen Zielrichtungen dieser Übersichten entspricht es guter betrieblicher Praxis, letztlich zwei Verfahrensverzeichnisse zu führen: eines für “Jedermann” und eine “interne” Übersicht, die weitere und detaillierte Angaben enthält, welche der DSB zur Durchführung seiner Aufgaben benötigt.
Ein so genanntes “Jedermann-Verfahrensverzeichnis” muss dabei lediglich die nach § 4 e Satz 1 Nr. 1-8 BDSG geforderten Angaben enthalten. Das heißt im Detail:
Ein “internes” Verfahrensverzeichnis sollte darüber hinaus insbesondere Informationen zu den technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten liefern (§ 4e Satz 1 Nr. 9 BDSG), außerdem Angaben über zugriffsberechtigte Personen (§ 4g Abs. 2 Satz 1 BDSG), sowie genauere Daten zum Standort der jeweiligen Datenverarbeitung. Zudem eventuelle Ansprechpartner am Ort, die Beschreibung der eingesetzten Hard- und Software und Angaben zum Stand der Planungen im Falle eines neu einzuführenden Verfahrens. Das gilt insbesondere für die so genannte Vorab-Kontrolle (§ 4d Abs. 5 BDSG).
Da die Vorgaben des BDSG zum Verfahrensverzeichnis recht abstrakt sind, soll im nächsten Teil dieser Serie genauer auf die mögliche Gestaltung und den Aufbau des Verfahrensverzeichnisses eingegangen werden.
Kurz vor der Fußball-Europameisterschaft in Deutschland nehmen die Cyberbedrohungen für Sportfans zu, warnt Marco Eggerling…
Software für das Customer Relationship Management muss passgenau ausgewählt und im Praxistest an das einzelne…
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…