Ihre Vorteile

Korrekte Erstellung nach BDSG

Ständige Pflege & Aktualisierung

Gesetzeskonforme Formulierung

Übersicht über Daten

Verbessertes Image nach außen

Bei Bedarf sofort verfügbar

   

Fakten in der Übersicht

Pflicht nach § 4g Abs. 2 BDSG

Pflicht für alle (!) Unternehmen

Erläutert die Datenverarbeitung

Ist die Basis für den DSB

Zeitaufwendige Erstellung

Ständige Pflege notwendig

Muss dem BDSG entsprechen

Bei Fehlern drohen Bußgelder

Erfordert Fachkunde

 

Erstellung und Pflege: Verfahrensverzeichnis (intern und extern)

Erstellung und Pflege des internen und externen VerfahrensverzeichnisDie Anforderungen und Pflichten, die das Bundesdatenschutzgesetz jedem Wirtschaftsunternehmen in Deutschland auferlegt, sind vielschichtig und nicht immer ohne weiteres umzusetzen. Zu den Pflichten, die sich aus dem § 4g Abs. 2 BDSG für sämtliche Unternehmen unabhängig ihrer Größe ergeben, ist das Erstellen des sogenannten Verfahrensverzeichnis. Unsicherheiten über die korrekte Formulierung oder der hohe Aufwand hat bis zum heutigen Tag zahlreiche Unternehmen davon abgehalten, ein entsprechendes Verzeichnis in einer internen bzw. für die Öffentlichkeit freizugebenden Version anzulegen. Um Bußgelder oder schlimmstenfalls eine Besichtigung der eigenen Betriebsräume zu vermeiden, empfiehlt sich auch für Ihr Unternehmen eine zeitnahe Erstellung des Verfahrensverzeichnis unter Zuhilfenahme eines fachkundigen Dienstleisters.

 

Wofür wird ein Verfahrensverzeichnis benötigt?

Das Verfahrensverzeichnis stellt eine interne Dokumentation dar, welche Prozesse, die einem bestimmten Zweck dienen, im eigenen Unternehmen zur Anwendung kommen und welche Personen mit der Umsetzung und Einhaltung der gesetzlichen Richtlinien betraut sind. Diese Prozesse können z.B. "Mitglieder- oder Personalverwaltung", "Telefondatenerfassung", "Videoüberwachung" oder "Kundenbetreuung" sein. Aus dem Verzeichnis sollte bei einer sachkundigen Erstellung hervorgehen, wie mit personenbezogenen Daten umgegangen wird und welche Maßnahmen konkret für den Datenschutz getroffen werden, die sowohl den individuellen Anforderungen an Datensicherheit im eigenen Unternehmen wie der Einhaltung sämtlicher, gesetzlich festgelegter Auflagen entsprechen. Durch das Verfahrensverzeichnis beruft sich ein Unternehmen also nicht einfach auf die Sorgfaltspflicht für einen ausreichenden Datenschutz, sondern kann diesen auch konkret in der Vielfalt der intern getroffenen Maßnahmen nachweisen. Das Verfahrensverzeichnis dient der Vorbereitung der Arbeit des Datenschutzbeauftragten sowie der Informationspflicht gegenüber Außenstehenden. Es stellt eine wichtige Basis dar um gezielte Datenschutzlösungen erstellen zu können.

 

Wer ist für die Erstellung der Verfahrenverzeichnisse verantwortlich?

Neben der Erstellung des internen Verfahrensverzeichnisses obliegt der Unternehmensleitung (z.B. Geschäftsführer oder Vorstand) gem. § 4g Abs. 2 BDSG  auch die Erstellung und Pflege eines öffentlichen Verzeichnisses. Auf Antrag von jedermann (§ 4g Abs. 2 Satz 2 BDSG) ist nach § 4e BDSG das öffentliche Verfahrensverzeichnis zur Verfügung zustellen. Die technischen und organisatorischen Maßnahmen (siehe unten) sowie die Übersicht der zugriffsberechtigten Personen sind davon explizit ausgeschlossen! In der Regel hat die Unternehmensleitung für die Erstellung der Verfahrensverzeichnisse weder die Zeit noch die Fachkenntnisse. Aus diesem Grund bieten wir die Erstellung dieser Dokumente beim Erstaufwand immer optional mit an. Sollten Sie nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet sein, obliegt Ihnen als Geschäftsführer bzw. Vorstand und somit verantwortlichen Stelle für den Datenschutz Ihres Unternehmens diese Pflicht, der unverzüglich nachzukommen ist. Unabhängig von der Anzahl der Mitarbeiter ist jedes Unternehmen - auch Einzelunternehmer und Freiberufler - dazu verpflichtet ein Verfahrensverzeichnis zu führen.

 

Was ist ein Verfahren?

Die Formulierung des Verzeichnisses scheitert bei vielen Unternehmen bereits an der Begriffsbildung "Verzeichnis" und den Aspekten, die demnach in der internen oder öffentlichen Aufstellung aufzuführen sind. Grundsätzlich wird mit einem Verfahren jede automatisierte Maßnahme der personenbezogenen Datenverarbeitung bezeichnet, die im eigenen Unternehmen zum Einsatz kommt. Dazu zählen z.B. "Mitglieder- oder Personalverwaltung", "Telefondatenerfassung", "Videoüberwachung" oder "Kundenbetreuung"

 

Was muss ins Verfahrensverzeichnis?

Gemäß § 4e BDSG müssen im Verfahrensverzeichnis folgende Angaben festgehalten werden:

  1. Name oder Firma der verantwortlichen Stelle
  2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen
  3. Anschrift der verantwortlichen Stelle
  4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung
  5. Eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien
  6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können
  7. Regelfristen für die Löschung der Daten
  8. Ob eine Datenübermittlung in Drittstaaten geplant ist
  9. Eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 BDSG zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind

Achtung: Die in Punkt 9 erwähnten technischen und organisatorischen Maßnahmen (Anlage zu § 9 BDSG) dürfen aus Sicherheitsgründen nur in das interne Verfahrensverzeichnis aufgenommen werden!

Die technischen und organisatorischen Maßnahmen (TOM) bestehen aus:

  • Zutrittskontrolle - z.B. Zäune, Pforte, Videoüberwachung
  • Zugangskontrolle - z.B. Firewall, Benutzerkennung mit Passwort
  • Zugriffskontrolle - z.B Berechtigungskonzept, Datenträgerverwaltung
  • Weitergabekontrolle - z.B. Bei Übertragung: VPN, Verschlüsselung, verschlossene Behälter
  • Eingabekontrolle - z.B. Protokollierung, Benutzeridentifikation
  • Auftragskontrolle - z.B. Weisungsbefugnisse klären, Vor-Ort Kontrollen, Verträge gem. § 11 BDSG
  • Verfügbarkeitskontrolle - z.B. Brandschutzmaßnahmen, Backupkonzept, USV, RAID
  • Trennungskontrolle - z.B. Trennung von Produktiv- und Testsystem, getrennte Datenbanken etc.

 

Das Verfahrensverzeichnis - Notwendigkeit und unangenehme Verpflichtung

Zweifelsohne stellt das Verfahrensverzeichnis eine der unbeliebtesten Seiten in der Umsetzung des modernen Datenschutzgesetzes dar. Dies liegt vorrangig am Aufwand, der mit der Erstellung eines entsprechenden Verzeichnisses einhergeht und nur selten mit den alltäglichen Arbeitsprozessen von Wirtschaftsunternehmen zu vereinbaren ist. Das Anlegen eines Verfahrensverzeichnisses ist zudem keine einmalige Tätigkeit, vielmehr ist eine ständige Pflege des Verzeichnisses notwendig, um neue Datenschutzmaßnahmen des eigenen Unternehmens ebenso zu dokumentieren wie die Umsetzung von gesetzlichen Anpassungen im eigenen Betrieb. Die Zusammenstellung aller relevanten Daten ist ebenso Pflicht wie die gesetzeskonforme Formulierung des Verzeichnisses, welches ohne entsprechendes Fachwissen kaum zu bewerkstelligen ist.

 

Unternehmerische Vorteile des Verfahrensverzeichnisses kennen lernen

Auch wenn die Erstellung von Verfahrensverzeichnissen mühsam ist, ergeben sich einige Vorteile für Sie als Geschäftsführer oder Entscheider, wenn dieser Schritt des modernen Datenschutzes geleistet wird. Zunächst genießen Sie die umfassende Sicherheit, jederzeit präzise und fachgerecht einen gesetzeskonformen Überblick über den Datenschutz in Ihrem Unternehmen geben zu können. Ein Vorteil, der nicht nur gegenüber Behörden und Prüfstellen zu einem vertrauensvollen Verhältnis beiträgt, sondern auch Ihr Image in der Öffentlichkeit als datenschutzbewusstes Unternehmen stärkt. Auch die schnelle Bearbeitung von Einblicken in das öffentliche Verfahrensverzeichnis wirkt sich in dieser Hinsicht positiv aus. Letztlich genießen Sie die Sicherheit, nach Erstellung eines Verfahrensverzeichnisses die Vorgaben des Gesetzgebers zu erfüllen und so nicht vor drohende Konsequenzen bei einem Fehlen des Verzeichnisses fürchten zu müssen - Konsequenzen, die für jedes Wirtschaftsunternehmen mehr als unangenehm sein dürften.

 

Welche Konsequenzen bei einem Fehlen des Verzeichnisses drohen

Probleme können sich für jedes Unternehmen ergeben, falls einer Anfrage auf ein öffentliches Verfahrensverzeichnis nicht in einer angemessenen Zeitspanne nachgekommen werden konnte. In diesem Fall ist es nicht selten, dass die anfragende Seite eine Meldung bei den entsprechenden Aufsichtsbehörden vornimmt, die nach Bundesdatenschutzgesetz jederzeit ein Anrecht auf den Einblick in Ihr Verfahrensverzeichnis haben. Sollten Sie dies nicht vorlegen können, ist nicht alleine mit empfindlichen Bußgeldern zu rechnen. Vielmehr verfügen die Aufsichtsbehörden über das Recht, während der Betriebs- und Geschäftszeiten Grundstücke und Geschäftsräume der Stelle zu betreten und dort Prüfungen und Besichtigungen Ihrer betriebswirtschaftlichen Tätigkeit vorzunehmen und sich ein unmittelbares Bild vom Datenschutz in Ihrem Haus zu machen. Nicht selten treten hierbei weitere Missstände zu Tage, die mit höheren Bußgeldern verbunden sind - vom Schaden in der öffentlichen Wahrnehmung Ihres Unternehmens ganz zu schweigen.

 

Geschäftsführer haftet bei Datenschutzverstoß persönlich

Geschäftsführer einer GmbH ("Gesellschaft mit beschränkter Haftung") sind sich oft nicht bewusst, dass sie bei Verstößen im Datenschutzrecht persönlich der GmbH oder auch dritten Personen gegenüber in die Haftung genommen werden können. D.h. sie haften mit ihrem privaten Vermögen. Dies gilt auch dann, wenn der Geschäftsführer Arbeiten durch Angestellte delegiert. Rechtsgrundlage ist das GmbHG. Eine Haftung gegenüber der GmbH wird dabei als Innenhaftung bezeichnet. Gemäß § 43 Abs. 1 GmbHG hat der Geschäftsführer in den Angelegenheit der Gesellschaft die "Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden". In diesem Fall haftet er jedoch nur der Gesellschaft gegenüber, siehe § 43 Abs. 2 GmbHG. Des Weiteren droht das Strafgesetzbuch in § 266 StGB bei Verletzung der Treuepflicht mit bis zu fünf Jahren Haft oder mit einer Geldstrafe.

§ 9 BDSG schreibt vor, dass personenbezogene Daten besonders gesichert werden müssen. Im Falle eines Missbrauchs ist das Unternehmen nach §7 BDSG zu Schadensersatz verpflichtet. Auch an dieser Stelle werden die Geschäftsführer in die Verantwortung genommen, nicht nur der externe Dienstleister. Der Haftung kann sich der Geschäftsführer nur dann entziehen, wenn er die in § 43 GmbHG vorgeschriebene Sorgfalt hat walten lassen. Das ist aber nicht der Fall, wenn gesetzliche Vorgaben nicht umgesetzt wurden. Auch eine D&O-Versicherung (Directors-and-Officers-Versicherung, auch Organ- oder Manager-Haftpflichtversicherung) bietet bei Gesetzesverstößen keinen Schutz.

 

Mit einem fachkundigen Datenschutzbeauftragten zu neuer Sicherheit

Immer mehr Geschäftsführern deutscher Unternehmen wird die Wichtigkeit des Verfahrensverzeichnisses bewusst. Da sich die oben genannten Probleme nicht nur bei einem fehlenden, sondern auch bei einem nicht ordnungsgemäß geführten Verzeichnis ergeben, ist eine schnelle und eigenhändige Erstellung eines gesetzeskonformen Verfahrensverzeichnisses faktisch kaum möglich. Sowohl bei der Erstellung wie auch der Pflege eines rundum stimmigen Verzeichnisses sind wir als externe Dienstleister und Datenschutzbeauftragte der richtige Ansprechpartner. Über eine längere Zusammenarbeit sind wir sowohl in der Lage, erstmalig alle Schritte zu Erstellung eines Verzeichnisses durchzuführen, wie auch für eine fortwährende Aktualisierung der aufgeführten Verfahren und Personen zu sorgen. Das Verfahrensverzeichnis und seine fortwährende Pflege gehört bei uns zu den wichtigen Aufgaben, die ein moderner Datenschutzbeauftragter zu erfüllen hat. Genau dies sollte auch in Ihrem Unternehmen auf eine professionelle Weise nach den Vorgaben des Bundesdatenschutzgesetzes erfolgen.