Verfahrensverzeichnis

In einem Verfahrensverzeichnis soll dokumentiert werden, welche personenbezogene Daten  innerhalb eines Prozesses auf welche Art und Weise erhoben, verarbeitet und genutzt werden und welche Datenschutzmaßnahmen für dieses Verfahren getroffen werden.

Die KDO schreibt in § 3a vor, dass Einrichtungen ein solches Verzeichnis für jedes Verfahren/für jeden Prozess, mit folgenden Angaben, vorhalten müssen.

  1. Name und Anschrift der Verantwortlichen Stelle (Einrichtung)
  2. Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung der Stelle berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen
  3. Zweckbestimmung der Datenerhebung, -Verarbeitung oder -Nutzung (für das bestimmte Verfahren)
  4. eine Beschreibung der betroffenen Personengruppe und der diesbezüglichen Daten oder Datenkategorien (von wem werden welche Daten aufgenommen? die Einteilung in Datenkategorien ist in der KDO-DVO beschrieben)
  5. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden
  6. Regelfristen für die Löschung der Daten (genaue Angabe der gesetzlichen Aufbewahrungsfrist für dieses Verfahren)
  7. eine geplante Datenübermittlung ins Ausland (Supportzugriff bei Wartungsverträgen)
  8. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 6 KDO zur Gewährleistung der Sicherheit der Bearbeitung angemessen sind (Auflistung der technischen und organisatorischen Maßnahmen für dieses Verfahren)
  9. zugriffsberechtigte Personen

Die Punkte eins bis sieben können Betroffenen bei Darlegung eines berechtigten Interesses zur Verfügung gestellte werden (Jedermann-Verzeichnis). Der Datenschutzaufsicht ist Einsicht in das komplette vollumfängliche Verfahrensverzeichnis zu gewähren.

Für die Erstellung eines Verfahrensverzeichnisses ist der jeweilige Verantwortliche für das Verfahren zuständig, er kann bei Bedarf fachlich von Mitarbeitern aus der IT und des betrieblichen Datenschutzbeauftragten unterstützt werden. Die Verfahrensverzeichnisse dienen dem betrieblichen Datenschutzbeauftragten als Grundlage für die Einschätzung zur Notwendigkeit einer Vorabkontrolle (§ 21 Abs. 2 KDO), sie sind ihm vor der Inbetriebnahme eines neuen Verfahrens zur Verfügung zu stellen.

Der betriebliche Datenschutzbeauftragte hält die Verfahrensverzeichnisse vor und gibt bei berechtigten Interesse Auskunft an Betroffene.

 

Aktuelle Meldungen zum Datenschutz