Das Bundesdatenschutzgesetzt (BSDG) war bereits oft Thema hier im Blog. Sei es die Novelle, einzelne unklare Bestimmungen als auch allgemeinen Themen rund um den leider recht großen Graubereich der Interpretationsmöglichkeiten einzelner Paragraphen. Dieses Gesetz gibt viel Stoff für Diskussionen.
Heute möchte ich mich einem recht unbekannten Thema im BDSG widmen, dem Verfahrensverzeichnis.
Jedes Unternehmer ist gemäß § 4g Abs. 2 BDSG dazu verpflichtet, ein so genanntes Verfahrensverzeichnis aufzustellen. Dieses hat bestimmte gesetzlich vorgeschriebene Angaben zu enthalten (wie beispielsweise zugriffsberechtigte Personen). Dieses Verfahrensverzeichnis ist dem Datenschutzbeauftragten zur Verfügung zu stellen (kein “kann”, sondern ein “muss”). Zudem kann jeder Dritte Einsicht in dieses Verzeichnis bei Ihnen verlangen.
Beides, sprich das Verfahrensverzeichnis an sich sowie das jederzeitige Einsichtsrecht in dieses, ist leider fast dem Großteil aller Unternehmen in Deutschland noch völlig unbekannt (oder bekannt, aber nicht umgesetzt…)
Aber was muss in diesem Verfahrensverzeichnis nun genau stehen? Ein Überblick der Angaben gemäß § 4e BDSG:
1. Name oder Firma der verantwortlichen Stelle
2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen
3. Anschrift der verantwortlichen Stelle
4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung
5. Eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien
6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können
7. Regelfristen für die Löschung der Daten
8. Eine geplante Datenübermittlung in Drittstaaten
9. Eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die getroffenen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung ausreichend und angemessen sind.
(Quelle der neun Punkte: Dr. Ostermaier)
Wichtig: Soweit die automatisierte Datenverarbeitung mit besonderen Risiken der Betroffenen verbunden ist (beispielsweise weil besonders sensible Daten verarbeitet und ausgewertet werden sollen) muss der Datenschutzbeauftragte eine Vorabkontrolle durchführen, sprich eine Prüfung vor Beginn der Verarbeitung.
Fazit: Wie sie beim lesen der neun oben genannten Punkte sicher feststellen mussten, sind viele davon derart schwammig formuliert, das man nach dem Lesen wahrscheinlich genau so schlau wie vorher ist. Da es in diesem Bereich bisher keine rechtlichen Fälle zur Orientierung gibt, was erlaubt/gewollt/falsch/richtig/zulässig/etc. ist (jedenfalls mir nicht bekannt), ist dies ein weitere Graubereich, der viel Spielraum für Interpretationen hergibt.
Allen sei daher wie immer geraten, sich zumindest zu bemühen der Verpflichtung der Existenz eines solchen Verfahrensverzeichnis nachzukommen. Es ist sicher besser ein nicht perfektes zu besitzen, als diese Verpflichtung komplett zu ignorieren.
Mit freundlichen Grüßen aus Essen,
Jan-Philip Ziebold
Direktmarketing Blog 