Verpflichtung zum Führen eines Verfahrensverzeichnisses

(„Jedermann-Verzeichnis“ und „interne Verarbeitungsübersicht“)

Dem Beauftragten für den Datenschutz eines Unternehmens (betrieblicher Datenschutzbeauftragter) ist von der verantwortlichen Stelle eine Übersicht über die in § 4 e Satz 1 BDSG genannten Angaben sowie (zusätzlich) über die zugriffsberechtigten Personen zur Verfügung zu stellen.

§ 4 e Satz 1 BDSG gibt Aufschluss darüber, welche Informationen ein Unternehmen im Falle einer Meldepflicht an die Aufsichtsbehörde zu melden hat. Die Meldepflicht ist für Unternehmen heute jedoch eher die Ausnahme. Der wichtigste Befreiungsgrund von der Meldepflicht ist, dass ein Datenschutzbeauftragter im Unternehmen bestellt wurde.

Man unterscheidet zwischen dem (öffentlichen) Verfahrensverzeichnis / „Jedermann-Verzeichnis“ und der internen Verarbeitungsübersicht.

Das öffentliche Verfahrensverzeichnis ist „Jedermann“ auf Antrag verfügbar zu machen. Eine besondere Antragsbefugnis ist hierfür nicht erforderlich, jeder interessierte Bürger kann sich hierzu an eine beliebige verantwortliche Stelle (Unternehmen) werden. Das öffentliche Verfahrensverzeichnis hingegen enthält nur einen Teil der eigentlich meldepflichtigen Informationen, nämlich die Angaben nach § 4e Abs. 1 Nr. 1- 8 BDSG. Die Beschreibungen der technisch-organisatorische Maßnahmen (§ 4 e Nr. 9 BDSG) sind hier nicht enthalten.

Sofern die Meldepflicht entfällt, da ein Beauftragter für den Datenschutz bestellt wurde, macht dieser das (öffentlich) Verfahrensverzeichnis im Falle eines Antrags dem Anfragenden verfügbar.

Sofern die Meldepflicht lediglich entfällt, da die Mitarbeitergrenzen unterschritten wurde, trifft diese Verpflichtung die verantwortliche Stelle (vgl. § 4 g Abs. 2 Satz 3), d.h. die Geschäftsführung.

Die (interne) Verarbeitungsübersicht besteht aus den meldepflichtigen Informationen ds § 4 e BDSG sowie (zusätzlich) den Angaben über zugriffsberechtigte Personen (vgl. § 4g Abs. 2 Satz 1 BDSG). Diese Übersicht ist ausschließlich für interne Zwecke zu erstellen und dient dem Datenschutzbeauftragten zur Erfüllung seiner Standardaufgaben (Prüfung aller automatisierter Verarbeitungen, Vornahme der Vorabkontrolle in den gesetzlich geregelten Fällen).

Die Pflicht eine Übersicht über die in § 4 e Satz 1 Nr. 1 bis 8 BDSG genannten Angaben zu führen (und, dass sei am Rande erwähnt, die Zulässigkeit automatisierter Verarbeitungen zu prüfen) besteht auch dann, wenn keine Meldepflicht besteht, insbesondere dann, wenn lediglich neun „Personen“ oder weniger als mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Unternehmen beschäftigt sind, und kein Datenschutzbeauftragter bestellt worden ist.

Nicht entnehmen lässt sich der gesetzlichen Regelung, dass auch eine Liste der zugriffsberechtigten Personen zu führen ist, wenn weder eine Meldepflicht, noch eine Verpflichtung einen Datenschutzbeauftragten zu bestellen, besteht (vgl. § 4 g Abs. 2 Satz 1).

Weiterführende Informationen zum Thema Verfahrensverzeichnis:

Interne Verarbeitungsübersicht
Verfahrensverzeichnis und Verarbeitungsübersicht nach BDSG -Ein Praxisleitfaden-