Verfahren automatisierter Verarbeitungen sind vor ihrer Inbetriebnahme der zuständigen Aufsichtsbehörde nach Maßgabe von § 4e BDSG zu melden.
Inhalt der Meldepflicht 4e BDSG
- Name oder Firma der verantwortlichen Stelle,
- Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
- Anschrift der verantwortlichen Stelle,
- Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
- eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
- Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
- Regelfristen für die Löschung der Daten,
- eine geplante Datenübermittlung in Drittstaaten,
- eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 BDSG zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.
Ausnahmen
Die Meldepflicht entfällt, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat.
Die Meldepflicht entfällt ferner, wenn die verantwortliche Stelle personenbezogene Daten für eigene Zwecke erhebt, verarbeitet oder nutzt, hierbei in der Regel höchstens neun Personen ständig mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt und entweder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.
Diese Regelungen gelten nicht, wenn es sich um automatisierte Verarbeitungen handelt, in denen geschäftsmäßig personenbezogene Daten von der jeweiligen Stelle
- zum Zweck der Übermittlung,
- zum Zweck der anonymisierten Übermittlung oder
- für Zwecke der Markt- oder Meinungsforschung
gespeichert werden.
Verfahrenzeichnis
Damit hat jedes Unternehmen, das in der Regel mit mehr als neun Beschäftigten personenbezogene Daten automatisiert verarbeitet, ein Verfahrensverzeichnis zu führen. Ein Verfahrensverzeichnis enthält wiederum mehrere Verfahrensbeschreibungen. In den Verfahrensbeschreibungen werden die Verarbeitungsschritte von personenbezogenen Daten dokumentiert. Aus den Dokumenten muss hervorgehen, welche personenbezogenen Daten die Stelle mit Hilfe welcher automatisierter Verfahren auf welche Weise verarbeitet und welche technisch-organisatorische Maßnahmen zum Schutz dieser Daten sie dabei getroffen hat.
Man unterscheidet zwischen einem externen und dem internen Verfahrensverzeichnis. In dem internen Verfahrensverzeichnis werden die einzelnen Verfahren, bei denen personenbezogene Daten in irgendeiner Form verarbeitet werden, detailliert beschrieben und die Maßnahmen, die für den Schutz dieser Daten getroffen wurden, dargelegt. Diese internen Verfahrensbeschreibungen sind nicht für die Öffentlichkeit gedacht, sondern dienen unter anderem zur Vorlage bei Kontrollen des Landesamtes und ersetzen die gesetzliche Meldepflicht. Sie haben das Ziel, die unternehmensspezifischen Prozesse, die der angemessenen Absicherung von vertraulichen Daten dienen, zu dokumentieren. Die Prozesse werden durch die Beschreibung transparenter und können effizienter gestaltet werden.
Das externe Verfahrensverzeichnis ist für Jedermann gedacht und auf Verlangen öffentlich zugänglich zu machen. Es wird meist aus dem internen Verfahrensverzeichnis erstellt, enthält aber keine detaillierten Angaben zu den einzelnen Verfahren.
Bei der Erstellung eines internen Verfahrensverzeichnisses ermitteln, gruppieren und benennen Sie zuerst die Verfahren nach Zweck der personenbezogenen Datenverarbeitung. Beschreiben Sie den Prozess genauer. Danach dokumentieren Sie, welche Daten von diesem Verfahren betroffen sind: Mitarbeiter-, Kunden-, Interessententen- oder sonstige personenbezogenen Daten.
Vorlagen für Verfahrensverzeichnisse
Bei der activeMind AG finden Sie passende Vorlagen für Verfahrensverzeichnisse.
