Verfahrensverzeichnis

Nach § 4g Abs. 2 S. 1 BDSG ist eine Aufstellung der in 4e S. 1 BDSG aufgeführten Informationen und der zugriffsberechtigten Person durch den zuständigen Sachbearbeiter bereitzustellen (häufig als interner Verfahrenskatalog bezeichnet).

Wurde im Betrieb ein Beauftragter für den Datenschutz benannt, so hat er auf Verlangen nach § 4g Abs. 2 S. 2 BDSG einen Teil dieses unternehmensinternen Geschäftsverzeichnisses (insbesondere die Informationen nach 4e S. 1 Nr. 1 bis 8 BDSG) jedermann in angemessener Form zur Verfügung zu stellen. Dies wird oft als öffentliches Verfahrensverzeichnis bezeichnet. Ist kein Beauftragter für den Datenschutz benannt, ist diese Pflicht der zuständigen Behörde vorbehalten.

Höchstspringen ? Verfahrensverzeichnis und Datenschutzrecht - was ist zu beachten?

Verfahrensindex

Ein kurzer Einblick in das BDSG verrät nicht den eigentlichen Ausdruck "Verfahrensverzeichnis". In § 4g Abs. 2 BDSG wird von einer "Übersicht" gesprochen, die dem Betriebsdatenschutzbeauftragten zur Kenntnis gebracht wird. Beim näheren Hinsehen wird zwischen zwei Typen von Prozessverzeichnissen unterschieden, dem inneren und dem allgemeinen Verfahrensverzeichnis.

Was ist der Unterscheid zwischen dem internen und dem öffentlichen Verfahrensverzeichnis? Die Unterscheidung zwischen internen und öffentlichen Verfahrenslisten besteht vor allem im Rahmen der Erstellung und der damit verbundenen Pflicht, die Lerninhalte allen - auch nicht involvierten Dritten - zur Verfügung zu stellen. Im internen Verfahrensverzeichnis (auch Prozedurenbeschreibung genannt) finden Sie detailliertere Informationen als im öffentlichen Verfahrensverzeichnis.

Mit dem öffentlichen Verfahrensverzeichnis soll dagegen eine externe Prozesstransparenz geschaffen werden. Es muss daher im Unterschied zum firmeninternen Verfahrensverzeichnis unter bestimmten Bedingungen jedem Menschen zur Verfügung gestellt werden (daher auch "everyone directory" genannt). Welche Informationen gehören in ein unternehmensinternes Verfahrensverzeichnis? Als Mindestvoraussetzungen für das firmeninterne Verfahrensverzeichnis legt der Gesetzgeber vor.

Die entsprechende Rechtsgrundlage ( 4g Abs. 2 BDSG) lautet: "Der Datenschutzbeauftragte erhält vom zuständigen Sachbearbeiter einen Überblick über die in 4e S. 1 aufgeführten Informationen und über die Zugriffsberechtigten. Das zuständige Organ im Sinne des § 3 Abs. (1)

Das BDSG, d.h. der geschäftsführende Direktor der Gesellschaft, ist dafür verantwortlich, dem behördlichen Datenschutzverantwortlichen einen Überblick über die nachfolgenden Punkte in "Verfahren der automatisierten Verarbeitung" (wie in 4e S: 1) zu geben: Namen oder Gesellschaft des Betreibers, Eigentümers, des Vorstands, des Geschäftsführers oder sonstiger rechtlich oder nach der Satzung der Gesellschaft und der mit der Verwaltung der Verarbeitung betrauten Person, Adresse des Betreibers, Zweck der Erhebung, Verarbeitung oder Nutzung der personenbezogenen Informationen, Bezeichnung der betreffenden Personengruppe und der relevanten Angaben oder Kategorien von Informationen,

Wer sich fragt, was ein " Prozedere " sein soll, dem wird der Gesetzestext an dieser Stellen nicht weiterhelfen - es gibt keine Begriffsbestimmung für dasjenige. Welche Informationen gehören in ein öffentlich zugängliches Verfahrensverzeichnis? Die Zugehörigkeit zum öffentlichen Verfahrensverzeichnis ist in Verbindung mit § 4g Abs. 2 BDSG zu sehen.

Darin steht: "Der Datenschutzbeauftragte stellt die Informationen gemäß 4e S. 1 Nr. 1 bis 8 auf Anfrage jedermann in angemessener Form zur Verfügung. Demnach ist das Öffentliche Verfahrensverzeichnis eine im Verhältnis zum Inneren Verfahrensverzeichnis reduzierte Liste von Informationen, und zwar die oben unter 1-8 dargestellte. Es fehlen im Unterschied zum firmeninternen Adressbuch die allgemeinen Bezeichnungen der fachlichen und betrieblichen Massnahmen und der Berechtigten.

Aus dem Gesetzestext folgt, dass der Beauftragte für den Datenschutz später dafür verantwortlich ist, die Zusammenfassung allen zugänglich zu machen (auf Anfrage). Wie das Verfahrensverzeichnis zur Verfügung gestellt werden soll, ist vom Gesetz nicht vorgegeben. Was sind die Vorzüge einer effektiven Verwaltung der Prozessverzeichnisse? Natürlich ist die Erstellung und Pflege von Verfahrensregistern mit einem bestimmten Arbeitsaufwand verbunden.

Der Beauftragte für den Schutz personenbezogener Informationen bekommt einen schnellen Überblick über die aktuelle Verarbeitung personenbezogener Informationen und kann darauf aufbauend seine Datenschutzrechtsprüfung aufbaut. Im Falle einer Überprüfung durch die für den Schutz der Privatsphäre zuständigen Kontrollstelle müssen beide Verfahrenslisten regelmässig vorgelegt werden. Durch das Auskunftsrecht der Betroffenen (vgl. 34 BDSG) ist es sinnvoll, wenn der Beauftragte für den Schutz der Privatsphäre bereits das Öffentliche Verfahrensverzeichnis bereithält und im Zusammenhang mit einer Untersuchung keine Übersichtsarbeit leisten muss.

Was passiert als nächstes mit den Verfahrensregistern? Bei der künftig geltenden EU-Grundverordnung zum Datenschutz entfällt die Trennung zwischen öffentlichen und internen Verfahrensregistern.