Verantwortlichen in Unternehmen ist die rechtliche Bedeutung von vollständigen Verfahrensverzeichnissen und nachweisbar durchgeführten Vorabkontrollen häufig nicht bewusst: Alle Verfahren innerhalb eines Unternehmens, mit denen personenbezogene Daten verarbeitet werden, müssen in einem sogenannten Verfahrensverzeichnis abgebildet sein. Damit möchte der Gesetzgeber sicherstellen, dass das Unternehmen sich ausreichend mit dem notwendigen Schutz dieser Daten auseinandergesetzt hat. Selbst wenn für die Art der in Frage stehenden Datenverarbeitung eine gültige Rechtsgrundlage vorhanden ist, wird sie dennoch rechtswidrig, wenn kein oder ein nur unvollständiges Verfahrensverzeichnis vorliegt oder wenn keine Vorabkontrolle dokumentiert durchgeführt wurde.

Verfahrensverzeichnis Vorabkontrolle

Mittlerweile hat es sich in den meisten Unternehmen herumgesprochen: Das Bundesdatenschutzgesetz verlangt die Erstellung von Verfahrensverzeichnissen und die Durchführung der Vorabkontrolle. Nachdem hiermit aber regelmäßig Aufwand verbunden ist, wird die Erfüllung dieser Pflichten oft hintenan gestellt, verschoben oder aber eher halbherzig erledigt. Schließlich entfällt bei Bestellung eines Datenschutzbeauftragten die Meldepflicht gegenüber der Aufsichtsbehörde und jedermann vorzuhalten ist nur das öffentliche Verfahrensverzeichnis. Was soll also noch groß passieren? Diese Einschätzung kann ungeahnte Konsequenzen haben.

Als ganz zentrale Pflicht für Unternehmen und andere Organisationen sieht das Datenschutzrecht die Beschäftigung mit den eigenen datenschutzrelevanten Prozessen vor. Das Bundesdatenschutzgesetz sieht vor, dass dem Beauftragten für den Datenschutz von der verantwortlichen Stelle eine Übersicht über alle relevanten Informationen über die Verfahren, mit denen Daten verarbeitet werden sowie über zugriffsberechtigte Personen zur Verfügung zu stellen ist (§ 4g Abs. 2 Satz 1 BDSG). Diese „Verarbeitungsübersicht“ stellt das interne Verfahrensverzeichnis der Organisation dar. Bereits an dieser Stelle wird sehr oft übersehen, dass die Pflicht zur Erstellung dieser Verzeichnisse ganz klar auch dann besteht, wenn es keinen Datenschutzbeauftragten im Unternehmen gibt. Auch in diesem Fall hat die Unternehmensleitung die Erfüllung dieser Pflicht sicher zu stellen (§ 4g Abs. 2a BDSG). Dies ist nur konsequent, immerhin besteht ohne Datenschutzbeauftragten die Pflicht, Verfahren automatisierter Datenverarbeitung vor ihrer Inbetriebnahme der Aufsichtsbehörde mit den im Verfahrensverzeichnis enthaltenen Informationen zu melden (§ 4d Abs. 1 und § 4e BDSG). Diese müssen also vorab zusammengetragen werden.

Ist aber ein DatenschutzbeauftragterDatenschutzberatung vorhanden, muss man sich also nicht selbsttätig an die Aufsichtsbehörde wenden, warum dann noch die Verzeichnisse mit Priorität behandeln? Macht man sich deutlich, dass das Vorhandensein korrekter und vollständiger Verfahrensbeschreibungen eine zusätzliche formale Voraussetzung für die Rechtmäßigkeit eines Verfahrens ist, wird der Grund schnell erkennbar. Liegt kein oder nur ein unvollständiges Verzeichnis vor, ist die in Frage stehende Art der Datenverarbeitung rechtswidrig und zwar ungeachtet einer grundsätzlich vielleicht vorhandenen Rechtsgrundlage (siehe hierzu etwa: Urteil des Verwaltungsgerichts Wiesbaden vom 28.04.2010 – 26 K 1273/09). Betroffene können sich allein wegen des Fehlens der Übersicht auf die Unzulässigkeit der Datenverarbeitung berufen und die vollständige Löschung ihrer Daten verlangen und ggf. auch Schadensersatz geltend machen.

So gesehen ist es keine große Überraschung, dass entsprechende Konsequenzen auch bei Mängeln der Vorabkontrolle drohen. Der Beauftragte für den Datenschutz hat, nach Erhalt der Verfahrensverzeichnisse und auf deren Basis, aber eben noch vor Beginn einer Verarbeitung, die Vorabkontrolle durchzuführen (§ 4d Abs. 5 und 6 BDSG). Dass der Gesetzgeber, gerade diese Pflicht besonders ernst nimmt, sieht man zusätzlich an einem weiteren Punkt, der in der Praxis häufig übersehen wird: Hat der Datenschutzbeauftragte Zweifel, kann er sich nicht nur an die Aufsichtsbehörde wenden – er muss dies tun (§ 4d Abs. 6 Satz 2 BDSG).
Auch die Vorabkontrolle ist damit eine zusätzliche Rechtmäßigkeitsvoraussetzung für betroffene Datenverarbeitungsprozesse. Mängel führen wiederum zur Rechtswidrigkeit der betroffenen Prozesse. Betroffene können sich wie oben beschrieben zur Wehr setzen.

Wir führen für Sie die Vorabkontrolle durch und unterstützen Sie bei der Erstellung des Verfahrensverzeichnisses. Kontaktieren Sie uns für eine unverbindliche Erstberatung unter:
089 / 418 560 170 oder anfrage@activemind.de
Intensivseminar „Verfahrensverzeichnis und Auftragsdatenverarbeitung“:
Lernen Sie in dieser eintägigen Schulung den Umgang mit den Kernthemen für den Datenschutz im Unternehmen: Zur Seminarseite

 

Das könnte Sie auch interessieren:
Vorlage Verfahrensverzeichnis
Vorlage Vorabkontrolle
Sicherer Umgang mit mobilen Geräten im Unternehmen
Elektronische Signatur: Was ist zu beachten?
ISO 27001 Zertifizierung zum Festpreis
Pentest: Wie sicher ist Ihr Netzwerk?

Artikelbild: Symbolbild (c) fill

0 Kommentare

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.