Dr. Martin H. Ludwig - betrieblicher Datenschutzbeauftragter - DSB - in NRW und im Ruhrgebiet mit den Großstädten Bochum, Dortmund, Essen, Gelsenkirchen, Herne, Mülheim, Oberhausen aber auch im Rheinland mit Düsseldorf, Leverkusen, Neuss und Köln und auch bundesweit.

Das Verfahrensverzeichnis

Über das Verfahrensverzeichnis, folgernd aus §4e BDSG und §4g BDSG, ist im Internet viel und leider auch viel Unsinn zu lesen.

Wer muss ein Verfahrensverzeichnis haben

Zuerst muss festgestellt werden, wer ein Verfahrensverzeichnis führen muss: §4e BDSG legt fest "Sofern Verfahren automatisierter Verarbeitungen meldepflichtig sind, sind folgende Angaben zu machen". Es ist also zu überprüfen, ob 1) ein Verfahren automatisierter Verarbeitung meldepflichtig ist und 2) ob es neben dem §4e BDSG eine weitere Rechtsgrundlage für die nach §4e geforderten Angaben gibt.

Welche Verfahren meldepflichtig sind, regelt primär §4d des BDSG: "Verfahren automatisierter Verarbeitungen sind vor ihrer Inbetriebnahme ... zu melden." Somit sind erst einmal alle Verfahren automatisierter Verarbeitungen meldepflichtig. Die Absätze (2) und (3) des §4d BDSG machen nun Ausnahmen für verantwortliche Stellen, die einen Datenschutzbeauftragen bestellt haben sowie verantwortliche Stellen, die "Daten für eigene Zwecke erheb[en], verarbeite[en] oder nutz[en], hierbei in der Regel höchstens neun Personen [beschäftigen]". Nachfolgend werden dann wieder Ausnahmen von den Ausnahmen festgehalten. Somit unterlägen ja eigentlich keine verantwortlichen Stellen der Meldepflicht: Die einen, ab 10 Personen, die mit personenbezogenen Daten umgehen, haben doch einen betrieblichen Datenschutzbeauftragten, die anderen sind von der Meldepflicht ausgenommen, oder?

Im Groben ist dies für die Meldepflicht richtig. Dies hat jedoch keine Auswirkung auf die Verpflichtung in Bezug auf das Verfahrensverzeichnis: Denn §4g (2) BDSG bestimmt: "Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stelle eine Übersicht über die in § 4e Satz 1 genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen." Die Verfahren müssen also nicht der Aufsichtsbehörde gemeldet, sondern dem Datenschutzbeauftragten zur Verfügung gestellt werden. Und dieser macht einen großen Teil dieser Informationen dann in geeigneter Weise jedermann verfügbar ("Der Beauftragte für den Datenschutz macht die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar.").

Eine Ausnahme gibt es also, von den Ausnahmen der Ausnahme in §4d (4) einmal abgesehen, nach §4d (3) nur, "wenn die verantwortliche Stelle personenbezogene Daten für eigene Zwecke erhebt, verarbeitet oder nutzt, hierbei in der Regel höchstens neun Personen ständig mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt und entweder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.", also jedenfalls nur für kleine verantwortliche Stellen.

Gibt es verschiedene Verfahrensverzeichnisse, ein internes und ein externes?

Diese Frage wird mir regelmäßig gestellt. Die Antwort ist einfach und lautet: Nein! Es gibt nur ein Verfahrensverzeichnis und die notwendigen Angaben in diesem Verzeichnis sind in §4e BDSG genau festgelegt und sind:

  1. Name oder Firma der verantwortlichen Stelle,
  2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
  3. Anschrift der verantwortlichen Stelle,
  4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
  5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
  6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
  7. Regelfristen für die Löschung der Daten,
  8. eine geplante Datenübermittlung in Drittstaaten,
  9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.

Lediglich die Angaben nach Nr. 9 sind nach §4g (2) BDSG nicht für jedermann zur Verfügung zu stellen.

Wie umfangreich muss das Verfahrensverzeichnis sein?

Man findet im Internet recht häufig "Verfahrensverzeichnisse", die einen Umfang einer Bildschirmseite aufweisen. Die geforderten Angaben nach den Nummern 1-3 sind dort vollständig ausgeführt, die folgenden Punkte jedoch stark zusammengefasst. Diese "Verfahrensverzeichnisse" sind reine Marketingangaben und erfüllen in keinster Weise die Anforderungen an ein Verfahrensverzeichnis nach §4e / §4g BDSG!

Schon aus dem Sinn des Verfahrensverzeichnis, nämlich dass sich ein möglicherweise Betroffener sich ein Bild über die Verarbeitung seiner Daten machen kann, ergibt sich, dass die einzelnen Verfahren getrennt und spezifiziert sein müssen.

Ich möchte an dieser Stelle die einzelnen Anforderungen nicht einzeln aufführen, sondern verweise auf zwei Formulare, die der Landesbeauftragte für den Datenschutz und Informationsfreiheit NRW zur Verfügung stellt:

Dies sind zum einen ein "Hauptblatt", in dem die für alle Verfahren identischen Informationen aufgeführt sind und zum anderen ein Beschreibungsblatt für jedes einzelne Verfahren.

Sehr lesenswert ist der FAQ-Punkt zum Verfahrensverzeichnis, den der LDI NRW anbietet. Hier wird sehr anschaulich an Beispielen dargestellt, wie detailiert die einzelnen Punkte des Verfahrensverzeichnisses ausgearbeitet sein müssen: "Formelhafte Angaben ... sind ... daher unzureichend."

Bitte sprechen Sie mich, wenn Sie Fragen zu Ihrem Verfahrensverzeichnis haben, an. Ich unterstütze Sie gerne: Kontakt.