Definition zum Verfahrensverzeichnis
Forscht man im Bundesschutzgesetz (BDSG) nach dem Begriff Verfahrensverzeichnis, sucht man dort vergebens.
Gemeint ist mit diesem Begriff ein Element des Datenschutzmanagements, das der Bestandsaufnahme über die laufenden Verarbeitungen von personenbezogenen Daten dient.
In § 4g Abs. 2 BDSG wird von einer „Übersicht“, die dem betrieblichen Datenschutzbeauftragten zur Verfügung gestellt wird, gesprochen.
Wenn man das ganze einmal genauer betrachtet, unterscheidet der Gesetzgeber zwischen zwei Arten von Verfahrensverzeichnissen, dem internen und dem öffentlichen Verfahrensverzeichnis.
Unterschiede internes und öffentliches Verfahrensverzeichnis
- Öffentliches Verfahrensverzeichnis
Das öffentliche Verfahrensverzeichnis soll nach außen hin Transparenz über die Datenverarbeitungsvorgänge schaffen.
Daher muss es unter gewissen Voraussetzungen für jedermann zugänglich gemacht werden.
- Internes Verfahrensverzeichnis
Das interne Verfahrensverzeichnis wird auch einfach nur Verfahrensverzeichnis genannt.
Es enthält umfangreichere Angaben als das öffentliche Verfahrensverzeichnis und dient dazu, eine betriebsinterne Selbstkontrolle zu ermöglichen.
Persönliche Informationen im Verfahrensverzeichnis
Oft wird die Frage gestellt, ob das Verfahrensverzeichnis täglich mit den aktuellen Daten ergänzt werden muss. Dem ist nicht so.
In ein Verfahrensverzeichnis kommt ausschließlich die Beschreibung allgemeiner Verfahren!
Alle Verarbeitungen werden dort einmal generell beschrieben.
Namen der einzelnen Kunden, Lieferanten und Dienstleistern gehören auf keinen Fall in die Verarbeitungsübersicht.
Rechtmäßigkeit nach dem DSGVO Artikel 6
Ein Verfahren muss immer auf einer Rechtmäßigkeit nach Artikel 6 basieren:
- Der Betroffene gibt eine freiwillige Einwilligung.
- Die Verarbeitung der Daten basiert auf einem Vertrag oder vorvertraglichen Maßnahmen (mündlich oder schriftlich).
- Die Verarbeitung basiert auf einem Gesetz oder sonstigen rechtlichen Verpflichtungen.
- Es geht um den Schutz lebenswichtiger Interessen des Betroffenen.
- Die Verarbeitung der personenbezogenen Daten ist für das Wahrnehmen von Aufgaben notwendig, die im öffentlichen Interesse liegen oder dem Ausüben öffentlicher Gewalt.
- Das berechtigte Interesse des Verantwortlichen liegt vor und die Grundrechte der betroffenen Person werden nicht verletzt.
Beispiele für Verfahrensverzeichnisse nach DSGVO
Allgemeine Verfahren in einem Verfahrensverzeichnis
Verfahren | Beschreibung | Rechtmäßigkeit | Anmerkung |
Zahlungsverkehr (externe Rechnungsstellung) | Erstellung von Rechnungen für erbrachte Dienstleistungen oder übergebene Waren. Ggf. unter Einbeziehung eines externen Dienstleisters, welcher sich um die Rechnungsstellung und Zahlungsabwicklung kümmert. | Art. 6 (1) b – Vertrag | Bei externem Dienstleister für die Rechnungsstellung handelt es sich um einen Auftragsverarbeiter. |
Kommunikation per E-Mail | Durchführung von interner und externer Kommunikation per E-Mail. | Art. 6 (1) b – Vertrag oder vorvertragliche Maßnahmen Art. 6 (1) c – Rechtliche Verpflichtung/ gesetzliche Vorgabe | Ist der E-Mail Provider extern, z. B. der Webhoster, dann ist er Auftragsverarbeiter. |
IT- Support | Zugriff auf die interne IT-Infrastruktur durch einen externen Dienstleister aufgrund von IT-Support und Wartungstätigkeiten. Dabei kann der Supportmitarbeiter Einsicht auf personenbezogene Daten von Kunden erhalten. | Art. 6 (1) b – Vertrag | Beziehen sich die Wartungs- und Supporttätigkeiten überwiegend auf Programme, die keine personenbezogenen Daten enthalten, sollte eine Geheimhaltungsvereinbarung getroffen werden. Sind aber vorrangig Programme im Support betroffene, wie z. B. Lohnverwaltung oder andere personenbezogene Daten, dann wäre ein Auftragsverarbeitungsvertrag besser. |
Verfahren mit Dienstleistern
In diesem Verfahrensverzeichnis werden die Dienstleistungen erfasst, welche auch mit personenbezogenen Daten in Kontakt kommen oder bei denen die Verarbeitung personenbezogener Daten dazu gehört.
In den meisten Fällen ist die Grundlage für dieses Verfahren ein Vertrag, der mit dem Kunden geschlossen wurde.
Verfahren | Beschreibung | Rechtmäßigkeit | Anmerkung |
Kundenverwaltung | Verwaltung und Organisation der Kunden- und Interessentendaten in eiern Datenbank/ Programm | Art. 6 (1) c – Vertrag oder Art. 6 (1) f – Berechtigtes Interesse | Je nach Umfang der Kundenverwaltung kann man die Erfassung der Kontaktdaten auch in den Dienstleistungsverfahren mit beschreiben. |
Online-Coaching | Persönliches Coaching im Rahmen von Online- oder Telefonmeetings. Aufzeichnung des Coachings als Video und Dokumentation des Gesprächs in Notizen. | Art. 6 (1) c – Vertrag | Je nachdem, wie genau das Coaching abläuft, muss natürlich die Beschreibung angepasst werden. Wenn das Coaching die Hauptdienstleistung ist, dann würde ich an dieser Stelle auch die Kontaktdatenerfassung mit aufnehmen und nicht als separates Verfahren beschreiben. |
Persönliches Coaching | Individuelle Beratung einer Person in persönlichen Gesprächen. Notizen und Empfehlungen werden während des Gesprächs in schriftlicher Form notiert. | Art. 6 (1) c – Vertrag | Beziehen sich die Wartungs- und Supporttätigkeiten überwiegend auf Programme, die keine personenbezogenen Daten enthalten, sollte eine Geheimhaltungsvereinbarung getroffen werden. Sind aber vorrangig Programme im Support betroffene, wie z. B. Lohnverwaltung oder andere personenbezogene Daten, dann wäre ein Auftragsverarbeitungsvertrag besser. |
Schulungen/ Training | Durchführung von Schulungen/ Trainings mit Qualifizierungstest zum Abschluss | Art. 6 (1) c – Vertrag | Wenn der Dozent die Daten der Teilnehmer nicht erhält oder auch nicht benötigt, ist es kein Verfahren im Sinne des Datenschutzes. |
Verfahrensverzeichnis Mitarbeiter
Wenn ein Unternehmen Mitarbeiter bzw. Zeitarbeiter beschäftigt, müssen einige grundsätzliche Tätigkeiten abgedeckt werden.
Wenn Mitarbeiter beispielsweise Firmenwägen oder andere personenbezogene Geräte ausgehändigt bekommen, können im Einzelfall noch zusätzliche Verfahren hinzukommen.
Verfahren | Beschreibung | Rechtmäßigkeit | Anmerkung |
Lohnabrechnung | Überweisung von Löhnen und Gehältern. Abgabe von Steuern und Gebühren. | Art. 6 (1) b – Vertrag | Externer Dienstleister zur Lohnabrechnung ist in der Regel kein Auftragsverarbeiter, sondern eine Funktionsübertragung. |
Bewerbungen | Bewerber bewirbt sich initiativ oder konkret auf eine ausgeschriebene Stelle per E-Mail oder per Post. Bewerbungen werden bei nicht eingestellten Personen zurückgeschickt. | Art. 6 (1) b – Vertrag oder vorvertraglicher Maßnahmen Art. 6 (1) c – Rechtliche Verpflichtung/ gesetzliche Vorgabe (E-Mail -Archivierung) | Bewerbungen müssen gelöscht oder zurück- geschickt werden. Alternativ kann der Bewerber aktiv zustimmen, dass seine Unterlagen einbehalten werden dürfen, falls ähnliche Stellen später wieder besetzt werden müssen. |