Sind Sie fit im Datenschutz?

In Teil 3 dieser Serie wurde allgemein erklärt, was ein ‘Jedermann’-Verfahrensverzeichnis (öffentliches Verzeichnis) und was ein ‘internes’ Verfahrensverzeichnis (nicht öffentliches Verzeichnis) ist. Nunmehr soll auf die einzelnen Anforderungen des § 4e Satz 1 des Bundesdatenschutzgesetzes (BDSG) eingegangen werden, bevor in Teil 5 dieser Serie ein Beispiel für ein ‘Jedermann’- und für ein ‘internes’ Verfahrensverzeichnis gegeben wird.

Grundsätzlich kann gesagt werden, dass das ‘Jedermann’-Verzeichnis auf recht pauschale Angaben begrenzt sein kann, während das ‘interne’ Verfahrensverzeichnis detaillierter sein sollte, um gleichzeitig als Organisationsinstrument für den Datenschutzbeauftragten zu dienen.

Ein ‘Verfahren’ im datenschutzrechtlichen Sinne ist dabei als Bündel von Verarbeitungen zu verstehen, die über eine vorher definierte Zweckbestimmung verbunden sind. Als Beispiel hierzu sei die Verarbeitung personenbezogener Daten für die Personalverwaltung genannt (nicht zu verwechseln mit dem Einsatz eines Textverarbeitungsprogramms durch die Personalverwaltung).

Was muss die Verarbeitungsübersicht enthalten?

1. Verantwortliche Stelle
Hier ist der Name der juristischen oder natürlichen Person, mit Anschrift und Vertretungsberechtigten (Geschäftsführer, Vorstände) zu benennen. Bei einem internen Verfahrensverzeichnis ergibt sich dies in der Regel schon oftmals von selbst, denn es genügt, wenn das verantwortliche Unternehmen einmal im Mantelteil des Verzeichnisses benannt ist. Beim internen Verfahrensverzeichnis sollte aber auf jeden Fall auch die verantwortliche Fachabteilung (z.B. Personalabteilung) sowie der für die Verarbeitung verantwortliche Abteilungsleiter (z.B. Leiter Personalwesen) benannt werden.

2. Bezeichnung und Zweck der Verarbeitung
Zunächst sollte die Verarbeitung, um die es geht, kurz und knapp bezeichnet werden. Daraus sollte sich Sinn und Zweck ergeben (z.B. Lohn- und Gehaltsabrechnung), gegebenenfalls auch der Empfänger der Daten.

Für das interne Verfahrensverzeichnis sollte zusätzlich noch die gesetzliche Grundlage für die Verarbeitung angegeben werden. Hier die häufigsten Fallgruppen:
– Vertragsverhältnis oder vertragsähnliches Vertrauensverhältnis; Beispiel: Lohn- und Gehaltsabrechnung
– berechtigte Interessen der verantwortlichen Stelle; Beispiel: Veröffentlichungen im Konzerntelefonbuch, Datenweitergabe im Konzern
– Werbung, Markt- Meinungsforschung; Beispiel: Direktmarketingaktionen, – Abgleichprogramme (z.B. interne Robinsonliste), Adressweitergabe
– Anordnung durch gesetzliche Rechtsvorschrift; Beispiel: Übermittlung von – Arbeitnehmerdaten an Sozialversicherungsträger
andere Zwecke mit Einwilligung; Beispiel: Cross-Selling (z.B. Allfinanzklausel)

3. Betroffene Personengruppe
Hier sind allgemeine Angaben über die Personen zu machen, von denen personenbezogene Daten erhoben und genutzt werden. In der Regel leitet sich dies bereits aus dem Verfahren ab. Beispiel: Mitarbeiter des Unternehmens, Kunden, Lieferanten, etc.

4. Daten oder Datenkategorien
Diese Angaben sollen insbesondere ersichtlich machen, ob sensible Daten gemäß § 3 Abs. 9 BDSG verarbeitet werden. Dazu gehören Angaben über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Darüber hinaus genügt es für das ‘Jedermann’-Verzeichnis, wenn allgemein die Datenkategorie beschrieben wird, beispielsweise “Für die Abrechnung erforderliche Adress- und Kontodaten”.

Im internen Verfahrensverzeichnis sollte man detaillierter die im einzelnen erhobenen Daten auflisten und angeben, wofür diese verwendet werden. Beispiel:
Name; Adresse Stammdaten; Lieferadresse
Kontodaten Abrechnung

5. Empfänger oder Kategorien von Empfängern, denen Daten mitgeteilt werden
Für das so genannte ‘Jedermann’-Verzeichnis genügen hier allgemeine Angaben, zum Beispiel: “Übermittlung von Daten an kontoführende Stelle zwecks Abrechnung.” Für ein internes Verfahrensverzeichnis sollte aber der Datenschutzbeauftragte so konkrete Angaben haben, dass er überprüfen kann, ob die Übermittlung rechtmäßig ist.

Es sollten daher die Empfänger möglichst konkret benannt sein. Eine Übermittlung liegt dabei auch dann vor, wenn konzernintern in ein anderes Unternehmen übermittelt wird, da auch dieses Unternehmen ein “Dritter” im Sinne des Bundesdatenschutzgesetzes ist. Beispiel: öffentliche Stellen (Krankenkassen, Rentenversicherungsträger), interne Stellen (Rechnungswesen), externe Stellen (Inkassobüro, Call-Center), Konzernunternehmen.

6. Regelfristen für die Löschung
Grundsätzlich sind personenbezogene Daten zu löschen, wenn sie für den konkreten Zweck, zu dem sie gespeichert wurden, nicht mehr benötigt werden. Über diesen Zeitpunkt dürfen sie nur dann weiter gespeichert sein, wenn dies durch eine Rechtsvorschrift oder die Einwilligung des Betroffenen gestattet ist. Dabei ist auch darauf zu achten, dass bestimmte Daten, die zwar über einen längeren Zeitpunkt gespeichert werden dürfen, nicht notwendigerweise jedermann zugänglich sein müssen. Insoweit sind die Daten dann zwar nicht zu löschen, aber gegebenenfalls zu sperren. Beispiel: 10 Jahre für Lohn- und Gehaltsdaten; 6 Jahre für Unterlagen zu vermögenswirksamen Leistungen.

7. Geplante Datenübermittlung in Drittstaaten
Hier sollten Angaben darüber gemacht werden, ob die personenbezogenen Daten ins Ausland übermittelt werden, auch wenn es sich um einen unternehmensinternen Datentransfer handelt. Beispiel: “Übermittlung der Lieferanschrift an unser Auslieferungslager in Frankreich (7 Rue de Chaise, 92524 Neuilly-sur-Seine)”.

Die Übermittlung von personenbezogenen Daten innerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) ist unproblematisch. Bei einer Übermittlung in Nicht-EU-Länder ist dagegen zu prüfen, ob der betreffende Staat ein sogenanntes “angemessenes Datenschutzniveau” aufweisen kann. Ist dies nicht der Fall, sind entsprechende vertragliche Grundlagen beziehungsweise eine Einwilligung des Betroffenen erforderlich.

8. Beschreibung der technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit

Diese Angaben gehören nicht ins ‘Jedermann’-Verzeichnis. Sie dienen allein der internen Kontrolle, ob ausreichende technische und organisatorische Maßnahmen zum Schutz der Daten getroffen wurden. Konkret geht es um Maßnahmen gemäß § 9 BDSG. Einzelne Maßnahmen sind dabei in der Anlage zu § 9 BDSG aufgelistet. Es handelt sich um Maßnahmen der Zutrittskontrolle, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle. Beispiele:
– Zutrittskontrolle: Zutritt zum Rechenzentrum und zur Personalabteilung nur mit individuell vergebener Magnetkarte. Aufzeichnung von Zugang und Abgang.
– Zugangskontrolle: Passwortschutz für Server
– Zugriffskontrolle: Zugriff nach Maßgabe des internen Berechtigungskonzeptes
– Weitergabekontrolle: Verschlüsselung (VPN)
– Eingabekontrolle: Protokollierungs- und Protokollauswertungssystem
– Auftragskontrolle: Auftragserteilung nur schriftlich (Formular), Kritierien zur Auswahl des Auftragnehmers, Kontrolle der Vertragsdurchführung durch DSB
– Verfügbarkeitskontrolle: Sicherheitskopien in zweitem Rechenzentrum.

Weitere sinnvolle Angaben für das interne Verfahrensverzeichnis

Der Datenschutzbeauftragte sollte darüber hinaus über folgende Informationen verfügen:

Zugriffsberechtigung
Grundsätzlich sollten Berechtigungskonzepte für den Zugriff auf bestimmte Daten vorliegen. Der Datenschutzbeauftragte (DSB) sollte wissen, welche Berechtigungsprofile existieren und in welchen Abteilungen diese zum Einsatz kommen. Der DSB soll dadurch in die Lage versetzt werden, zu prüfen, ob nur solche Berechtigungsprofile eingesetzt werden, die den Aufgaben der jeweiligen Abteilung gerecht werden. Personenbezogene Daten sollten grundsätzlich nur auf einer so genannten “Need-to-Know”-Basis zur Verfügung gestellt werden. Insbesondere sollte der Zugriff auf Personaldaten restriktiv gehandhabt werden.

Ort der Datenverarbeitung
Um dem DSB eine Überprüfung der Rechtmäßigkeit der Datenverarbeitung zu erleichtern, sollte angegeben werden, wo die Datenverarbeitung physisch stattfindet.

Systeminformation über Hard- und Software
Der DSB muss eine Übersicht über die Art der eingesetzten Datenverarbeitungsanlagen (Konfigurationsübersicht, Netzwerkstruktur) haben. Datenverarbeitungsanlagen sind dabei alle eingesetzten Rechner (Host, Client, Server) sowie alle sonstigen physikalischen Komponenten. Ferner sollte die Auflistung Betriebs- und Anwendungssoftware sowie spezielle Sicherheitssoftware aufführen, jeweils mit Angaben darüber, welcher Stand und welcher Release im Einsatz ist.

Stadium des Betriebs
Da der DSB bereits im Planungsstadium bei der Einführung neuer Systeme einzubeziehen ist, sollten auch die geplanten Verarbeitungen bereits in der Verarbeitungsübersicht dokumentiert sein, um einen vollständigen Überblick notwendiger Aktivitäten zu behalten. Zu diesem Zweck sollten Angaben darüber gemacht werden, in welchem Stadium sich die Einführung befindet (z.B. Planungsphase, Einführungsphase, Testbetrieb, Produktivbetrieb, außer Betrieb).

Neue Verarbeitung oder Veränderung
Aus der Übersicht sollte schließlich hervorgehen, ob es sich um eine neue Verarbeitung oder eine Veränderung einer bereits bestehenden Verarbeitung handelt. Änderungen bestehender Verarbeitungen sind besonders zu kennzeichnen, wenn damit die beschriebenen Zwecke, Datenkategorien oder Empfänger und Zugriffsberechtigte der jeweiligen Verarbeitung geändert werden.