Wie mit Verfahren zu verfahren ist

Datenschutz, Paragraph, BDSG, personenbezogene Password, ITDatenschutz, Teil 4

Ein Verfahrensverzeichnis legt Arbeitsabläufe in Abteilungen oder ganzen Unternehmen fest. Es hilft nicht nur der betrieblichen Organisation, sondern ist fast Grundvoraussetzung für einen funktionierenden Datenschutz. Der vierte Teil unserer Datenschutz-Serie.

Organisation ist alles. Gut organisierte Finanzdienstleister und Vermittlerbüros haben in ihren Schubladen Anweisungen für interne Abläufe und Arbeitsprozesse liegen, anhand derer sich jeder Mitarbeiter orientiert. Wer ein solches Verfahrensverzeichnis bislang nicht festgeschrieben hat, sollte dies zügig nachholen. Nicht nur, um sich selbst besser organisiert zu haben, auch aus Dokumentationsgründen für den Datenschützer.

Denn der will im Zweifel wissen, wie das Unternehmen mit Daten verfährt. Ein Verfahren im Sinne des Bundesdatenschutzgesetzes ist immer ein Datenverarbeitungsverfahren – in den meisten Fällen heutzutage handelt es sich auch um ein automatisiertes Datenverarbeitungsverfahren. Das heißt, Vermittler oder Berater nutzen für die Verarbeitung der Daten einen Computer und meistens auch eine Software.

Es gibt jedoch auch nicht automatisierte Datenverarbeitungsverfahren, bei denen die Mitarbeiter die „Daten“ beispielsweise auf Papier „verarbeiten“. Auch diese Verfahren unterliegen selbstverständlich dem Bundesdatenschutzgesetz (BDSG). Allerdings ist hierbei die Gefahr eines Datenmissbrauchs erheblich geringer als bei automatisierten Datenverarbeitungsverfahren, wenn auch nicht gänzlich ausgeschlossen. Man denke nur an die Entsorgung von Gehaltslisten in Papiercontainern, die unverschlossen auf dem Hof einer Firma stehen.

Ein Datenverarbeitungsverfahren ist eine Prozesskette, eine Folge von mehreren Verarbeitungsschritten, mit denen zu einem bestimmten Zweck personenbezogene Daten verarbeitet werden. In einem Unternehmen gibt es üblicherweise nicht nur ein solches Verfahren, auch wenn es erlaubt ist, die einzelnen Verarbeitungsschritte zu größeren Paketen zusammenzufassen. Beispiele sind: Personalverwaltung, Mitgliederverwaltung (in Vereinen), Kundenmanagement, aber auch Videoüberwachung und manche mehr. Die Beschreibung der Datenverarbeitungsverfahren ermöglicht die Herstellung einer Transparenz, welche personenbezogenen Daten in dem Unternehmen wie verarbeitet werden, woher das Unternehmen die Daten bekommt und wohin sie weitergegeben werden.

Das BDSG unterscheidet zwischen einem internen und einem öffentlichen Verzeichnis. Die interne Beschreibung ist dabei deutlich umfangreicher und konkreter. Das öffentliche Verzeichnis dient dazu, den Betroffenen darüber zu informieren, wie das Unternehmen grundsätzlich mit seinen Daten umgeht, es enthält jedoch keinerlei Hinweise darauf, wie konkret zum Beispiel Sicherheitsmaßnahmen zum Schutz der Daten aussehen. Diese Informationen stellen eine Art Betriebsgeheimnis dar und sollten deshalb immer innerhalb des Unternehmens bleiben.

Der Sinn dieser Beschreibung ist also Transparenz und der Sinn des umfangreicheren internen Verfahrensverzeichnisses ist – neben einem effektiven Management der Unternehmensprozesse – das Ermöglichen einer Selbstkontrolle. Deshalb wird auch in §4g Abs. 2 BDSG die Übergabe des internen Verfahrensverzeichnisses von der verantwortlichen Stelle (im Sinne § 3 Abs. 7 BDSG) an den Datenschutzbeauftragten (siehe VSAV-Monitor-Artikel “Der Datenschutzbeauftragte – das unbekannte Wesen!”) des Unternehmens gefordert.

Der Inhalt des (internen) Verfahrensverzeichnisses ist ebenfalls festgelegt:

  1. Name oder Firma der verantwortlichen Stelle,
  2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
  3. Anschrift der verantwortlichen Stelle,
  4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
  5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
  6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
  7. Regelfristen für die Löschung der Daten,
  8. eine geplante Datenübermittlung in Drittstaaten,
  9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.

Das öffentliche Verfahrensverzeichnis beinhaltet die Punkte 1-8 und ist – laut § 4g Abs. 2 BDSG – „vom Datenschutzbeauftragten jedermann in geeigneter Weise verfügbar zu machen“. Welche Weise geeignet ist, überlässt das BDSG dem Datenschutzbeauftragten. Üblich ist heute häufig das öffentliche Verfahrensverzeichnis auf der Webseite des Unternehmens im Punkt „Datenschutz“ darzustellen. Dann hat jeder die Möglichkeit, es sich durchzulesen. Eine E-Mail mit dem Verfahrensverzeichnis an Anfragende zu schicken, ist ebenfalls erlaubt, jedoch mit größerem Aufwand verbunden.

Fazit: Die Erstellung des Verfahrensverzeichnisses ist zwar mit einem gewissen Aufwand verbunden, allerdings liegen die Vorteile der Erstellung auf der Hand:

  • Jeder kann es einfach aus der Schublade ziehen, wenn der Chef oder sein Datenschutzbeauftragter es benötigen.
  • Jeder im Unternehmen hat die Transparenz darüber, was mit personenbezogenen Daten im Unternehmen passiert.
  • Das Unternehmen kann Prozesse viel leichter anpassen, weil die Mitarbeiter wissen, wie sie ablaufen und welche Daten aus einem anderen Verfahren verwendet werden oder in ein anderes Verfahren einfließen.
  • Der Auftrag des BDSG an das Unternehmen ist erfüllt: Die Mitarbeiter gehen mit den Daten verantwortungsvoll um, die ihnen die Betroffenen anvertraut haben!

 

Kontakt:

Startklar – Rose MüllerBild Rose Mueller
Bei der Kelter 5
74321 Bietigheim-Bissingen

Telefon: 07142 3392343
Fax: 07142 9669588
Mobil: 01577 3366800
E-Mail: dsb@startklar-rosemueller.de
Web: www.startklar-rosemueller.de