Verfahrensverzeichnis: Pflichten und Umsetzung

Gemäß Bundesdatenschutzgesetz hat jedes Unternehmen, das in der Regel mit mehr als neun Beschäftigten personenbezogene Daten automatisiert verarbeitet, ein Verfahrensverzeichnis zu führen. Ein Verfahrensverzeichnis enthält wiederum mehrere Verfahrensbeschreibungen. In den Verfahrensbeschreibungen werden die Verarbeitungsschritte von personenbezogenen Daten dokumentiert. Aus den Dokumenten muss hervorgehen, welche personenbezogenen Daten die Stelle mit Hilfe welcher automatisierter Verfahren auf welche Weise verarbeitet und welche technisch-organisatorische Maßnahmen zum Schutz dieser Daten sie dabei getroffen hat.

Man unterscheidet zwischen einem externen und dem internen Verfahrensverzeichnis. In dem internen Verfahrensverzeichnis werden die einzelnen Verfahren, bei denen personenbezogene Daten in irgendeiner Form verarbeitet werden, detailliert beschrieben und die Maßnahmen, die für den Schutz dieser Daten getroffen wurden, dargelegt. Diese internen Verfahrensbeschreibungen sind nicht für die Öffentlichkeit gedacht, sondern dienen unter anderem zur Vorlage bei Kontrollen des Landesamtes und ersetzen die gesetzliche Meldepflicht. Sie haben das Ziel, die unternehmensspezifischen Prozesse, die der angemessenen Absicherung von vertraulichen Daten dienen, zu dokumentieren. Die Prozesse werden durch die Beschreibung transparenter und können effizienter gestaltet werden.
Das externe Verfahrensverzeichnis ist für Jedermann gedacht und auf Verlangen öffentlich zugänglich zu machen. Es wird meist aus dem internen Verfahrensverzeichnis erstellt, enthält aber keine detaillierten Angaben zu den einzelnen Verfahren.

Bei der Erstellung eines internen Verfahrensverzeichnisses ermitteln, gruppieren und benennen Sie zuerst die Verfahren nach Zweck der personenbezogenen Datenverarbeitung. Beschreiben Sie den Prozess genauer. Danach dokumentieren Sie, welche Daten von diesem Verfahren betroffen sind: Mitarbeiter-, Kunden-, Interessententen- oder sonstige personenbezogenen Daten. Klassifizieren sie dann die Daten nach Schadenspotential. Eine gute Hilfestellung bei der Bestimmung des Schadenspotentials liefert das Schutzstufenkonzept des Landesbeauftragten für Datenschutz Niedersachsen.


Quelle: LfD Niedersachsen. 2010. Schutzstufenkonzept. http://www.lfd.niedersachsen.de/portal/. [Abrufdatum: 19.11.2013].

Zusätzlich zu der Einstufung ist es empfehlenswert, eine Eintrittswahrscheinlichkeit eines Schadens und eine Schadenshöhe zu ermitteln. Von diesen Werten leitet sich ab, welche technischen und organisatorischen Maßnahmen Sie treffen müssen, um die Daten angemessen zu schützen. Je höher die Schutzstufe und je größer die Eintrittswahrscheinlichkeit, desto qualifiziertere technische und organisatorische Maßnahmen müssen Sie ergreifen und diese hier dokumentieren. Fertigen Sie zu jedem Verfahren eine eigene Verfahrensbeschreibung, d.h. ein eigenes Dokument an.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Leave a Reply

Your email address will not be published. * Required fields.

Nettiquette: We do not tolerate grossly unobjective contributions or advertising on our own behalf and will not publish corresponding entries but delete them.