Grundsätzlich sind Unternehmen gemäß § 4d (1) BDSG verpflichtet, ihre “automatisierten Verarbeitungen” bei der zuständigen Aufsichtsbehörde anzumelden, bevor sie diese in Betrieb nehmen. Die meldepflichtigen Angaben ergeben sich dabei aus § 4e Satz 1 BDSG. Die Angaben der Meldung führt die Aufsichtsbehörde in einem für jedermann einsehbaren Register – auch bekannt als “Jedermann- Verfahrensverzeichnis”.
Nun die gute Nachricht: Hat ein Unternehmen einen Datenschutzbeauftragten (DSB) bestellt, entfällt diese Meldepflicht in der Regel. Allerdings erlöst dies das Unternehmen nicht davon, die meldepflichtigen Angaben dennoch zu erheben und zu dokumentieren. Zum einen ist das Unternehmen verpflichtet, dem DSB für seine tägliche Arbeit eine Übersicht zu machen, mit den Angaben, die sonst an die Aufsichtbehörde gemeldet werden müssen. Diese Übersicht soll es dem DSB ermöglichen, die Rechtmäßigkeit der Verarbeitung der Daten zu kontrollieren und besondere Risiken zu erkennen.
Zum anderen muss der DSB in der Lage sein, sozusagen statt der Aufsichtsbehörde, auf Antrag bestimmte Angaben jedermann “in geeigneter Weise verfügbar” zu machen. Angesichts der unterschiedlichen Zielrichtungen dieser Übersichten entspricht es guter betrieblicher Praxis, letztlich zwei Verfahrensverzeichnisse zu führen: eines für “Jedermann” und eine “interne” Übersicht, die weitere und detaillierte Angaben enthält, welche der DSB zur Durchführung seiner Aufgaben benötigt.
Ein so genanntes “Jedermann-Verfahrensverzeichnis” muss dabei lediglich die nach § 4 e Satz 1 Nr. 1-8 BDSG geforderten Angaben enthalten. Das heißt im Detail:
Ein “internes” Verfahrensverzeichnis sollte darüber hinaus insbesondere Informationen zu den technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten liefern (§ 4e Satz 1 Nr. 9 BDSG), außerdem Angaben über zugriffsberechtigte Personen (§ 4g Abs. 2 Satz 1 BDSG), sowie genauere Daten zum Standort der jeweiligen Datenverarbeitung. Zudem eventuelle Ansprechpartner am Ort, die Beschreibung der eingesetzten Hard- und Software und Angaben zum Stand der Planungen im Falle eines neu einzuführenden Verfahrens. Das gilt insbesondere für die so genannte Vorab-Kontrolle (§ 4d Abs. 5 BDSG).
Da die Vorgaben des BDSG zum Verfahrensverzeichnis recht abstrakt sind, soll im nächsten Teil dieser Serie genauer auf die mögliche Gestaltung und den Aufbau des Verfahrensverzeichnisses eingegangen werden.
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.
Mit KI können Unternehmen der Paketbranche Prozesse optimieren, Kosten einsparen und sich zukunftssicher aufstellen.
Land Niedersachsen schließt datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Teams ab.
Ein Großteil der Inventurdifferenzen im deutschen Einzelhandel wird durch Ladendiebstähle verursacht.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.