Wozu ein Verfahrensverzeichnis?
Die Frage, wieso ein Verfahrensverzeichnis erstellt und gepflegt werden muss, werden nicht nur Sie sich stellen. Auch die verantwortliche Stelle in den jeweiligen Fachbereichen und die Geschäftsleitung wird hierauf eine Antwort haben wollen, wenn Sie Ihre Erkenntnis mitteilen, dass das Verfahrensverzeichnis noch fehlt oder lückenhaft ist.
Das Verfahrensverzeichnis dient Ihnen und der Aufsichtsbehörde bei der Datenschutzkontrolle als zentrale Basis auf Anfragen Dritter zur Datenverarbeitung in Ihrem Unternehmen.
Gibt es eine gesetzliche Grundlage?
Ja, diese wird unter §4d sowie §4e BDSG (Bundesdatenschutzgesetzes) geregelt. Dadurch muss jede staatliche oder auch private Stelle, die personenbezogene Daten verarbeitet (erhebt, verarbeitet oder nutzt), den Umgang mit diesen Daten dokumentieren.
Stellt die Datenschutzaufsichtsbehörden bei einer Prüfung das Fehlen oder Mängel im Verfahrensverzeichnis fest, so kann diese nach § 38 Abs. 5 Satz 1 BDSG die Erstellung eines Verfahrensverzeichnisses anordnen.
Wird ein fehlendes Verfahrensverzeichnis bestraft?
Ja, es besteht die Gefahr eines Zwangsgeldes bei fehlenden oder mangelhaften Verfahrensverzeichnissen.
Wer ist für die Erstellung eines Verfahrensverzeichnissen zuständig.
In der Praxis wird häufig versucht, den Datenschutzbeauftragten für die Erstellung verantwortlich zu machen. Dies ist jedoch eine Zusatzaufgabe, die über die gesetzlichen Aufgaben als Datenschutzbeauftragter hinausgeht.
Muss ein Verfahrensverzeichnissen veröffentlicht werden?
Bevor eine Übersicht der Verfahren zur automatisierten Verarbeitung personenbezogener Daten öffentlich verfügbar gemacht werden, sollten eine klare Unterscheidung getroffen werden. Es gibt
- die interne Verarbeitungsübersicht (§ 4e BDSG) und
- das öffentliche Verfahrensverzeichnis (§ 4g BDSG).
Der Unterschied steckt im Detail.