Gemäß Bundesdatenschutzgesetz hat jedes Unternehmen, das in der Regel mit mehr als neun Beschäftigten personenbezogene Daten automatisiert verarbeitet, ein Verfahrensverzeichnis zu führen. Ein Verfahrensverzeichnis enthält wiederum mehrere Verfahrensbeschreibungen. In den Verfahrensbeschreibungen werden die Verarbeitungsschritte von personenbezogenen Daten dokumentiert. Aus den Dokumenten muss hervorgehen, welche personenbezogenen Daten die Stelle mit Hilfe welcher automatisierter Verfahren auf welche Weise verarbeitet und welche technisch-organisatorische Maßnahmen zum Schutz dieser Daten sie dabei getroffen hat.

Man unterscheidet zwischen einem externen und dem internen Verfahrensverzeichnis. In dem internen Verfahrensverzeichnis werden die einzelnen Verfahren, bei denen personenbezogene Daten in irgendeiner Form verarbeitet werden, detailliert beschrieben und die Maßnahmen, die für den Schutz dieser Daten getroffen wurden, dargelegt. Diese internen Verfahrensbeschreibungen sind nicht für die Öffentlichkeit gedacht, sondern dienen unter anderem zur Vorlage bei Kontrollen des Landesamtes und ersetzen die gesetzliche Meldepflicht. Sie haben das Ziel, die unternehmensspezifischen Prozesse, die der angemessenen Absicherung von vertraulichen Daten dienen, zu dokumentieren. Die Prozesse werden durch die Beschreibung transparenter und können effizienter gestaltet werden.
Das externe Verfahrensverzeichnis ist für Jedermann gedacht und auf Verlangen öffentlich zugänglich zu machen. Es wird meist aus dem internen Verfahrensverzeichnis erstellt, enthält aber keine detaillierten Angaben zu den einzelnen Verfahren.

Bei der Erstellung eines internen Verfahrensverzeichnisses ermitteln, gruppieren und benennen Sie zuerst die Verfahren nach Zweck der personenbezogenen Datenverarbeitung. Beschreiben Sie den Prozess genauer. Danach dokumentieren Sie, welche Daten von diesem Verfahren betroffen sind: Mitarbeiter-, Kunden-, Interessententen- oder sonstige personenbezogenen Daten. Klassifizieren sie dann die Daten nach Schadenspotential. Eine gute Hilfestellung bei der Bestimmung des Schadenspotentials liefert das Schutzstufenkonzept des Landesbeauftragten für Datenschutz Niedersachsen.


Quelle: LfD Niedersachsen. 2010. Schutzstufenkonzept. http://www.lfd.niedersachsen.de/portal/. [Abrufdatum: 19.11.2013].

Zusätzlich zu der Einstufung ist es empfehlenswert, eine Eintrittswahrscheinlichkeit eines Schadens und eine Schadenshöhe zu ermitteln. Von diesen Werten leitet sich ab, welche technischen und organisatorischen Maßnahmen Sie treffen müssen, um die Daten angemessen zu schützen. Je höher die Schutzstufe und je größer die Eintrittswahrscheinlichkeit, desto qualifiziertere technische und organisatorische Maßnahmen müssen Sie ergreifen und diese hier dokumentieren. Fertigen Sie zu jedem Verfahren eine eigene Verfahrensbeschreibung, d.h. ein eigenes Dokument an.
Vorlagen:

Worddokument: Vorlage Verfahrensverzeichnis
Worddokument: Vorlage Jedermannsverzeichnis / Verfahrensverzeichnis
0 Kommentare

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.