Verfahrensverzeichnis

Was hat es mit dem Verfahrensverzeichnis auf sich?

Das Verfahrensverzeichnis - Blinddarm oder Rückgrat des betrieblichen Datenschutzes?
Das sagenumwobene "Verfahrensverzeichnis" ist eine der großen Mythen im Vertrieb von Datenschutzleistungen. Die Meinungen über Sinn und Unsinn des Verfahrensverzeichnisses gehen selbst unter Datenschutzexperten auseinander. Kein Wunder, dass betroffenen Unternehmen allerlei Halbwahrheiten präsentiert werden.

Was fordert das Gesetz?
Das Bundesdatenschutzgesetz - kurz: BDSG - regelt den Datenschutz für die meisten privatwirtschaftlichen Unternehmen, aber auch z.B. für Verbände und Vereine. Im § 4e des BDSG wird festgelegt, welche Angaben zu jeder "automatisierten Verarbeitung personenbezogener Daten" zu erfassen sind: Neben den Stammdaten der "verantwortlichen Stelle" vor allem der Zweck der Datenverarbeitung, die betroffenen Personen, Daten und Datenarten, mögliche Empfänger im In- und Ausland sowie Löschfristen. Diese Informationen sind nach § 4g Absatz 2 BDSG durch den Beauftragten für den Datenschutz "auf Antrag jedermann in geeigneter Weise verfügbar" zu machen. Für diese Zusammenstellung hat sich der Begriff "(öffentliches) Verfahrensverzeichnius" oder "Verfahrensverzeichnis für jedermann" eingebürgert. Daneben gibt es noch eine sogenannte "(interne) Verarbeitungsübersicht", die über die Angaben des Verfahrensverzeichnisses hinaus eine allgemeine Beschreibung der Datensicherheitsmaßnahmen enthält und nicht veröffentlicht werden muss.

Warum Sie kein Verfahrensverzeichnis brauchen
Wenn Datenschutzleistungen für Unternehmen an den Mann oder die Frau gebracht werden sollen, wird von unseriösen Anbietern oft auf zweierlei Weise mit dem Verfahrensverzeichnis argumentiert:

Mythos Nr.1: Aufsichtsbehörden verhängen schwere Strafen für nicht vorhandene Verfahrensverzeichnisse

In den einschlägigen Bußgeldvorschriften in § 43 BDSG wird das Verfahrensverzeichnis nicht ausdrücklich erwähnt. Auch die Praxis zeigt: Man wird kaum "nur" wegen einem fehlenden Verfahrensverzeichnis zu einem Bußgeld verdonnert. Mir persönlich ist kein einziger Fall bekannt. Untersuchen Sie dazu die Tätigkeitsberichte der Aufsichtsbehörden und sprechen Sie im Zweifelsfall mit Ihrer Aufsichtsbehörde.

Mythos Nr. 2: Das öffentliche Verfahrensverzeichnis wird tatsächlich von "jedermann" abgefragt

Vergessen Sie es! Die meisten Verfahrensverzeichnisse werden für die Schublade produziert. Wenn überhaupt, dann fragen nur "Eingeweihte", also andere Datenschutzbeauftragte oder Datenschutzinteressierte, danach. Sollte sich doch jemand unvorhergesehen dafür interessieren, können Sie immer noch reagieren.

Damit kein falscher Eindruck entsteht: Natürlich sollen Sie die gesetzlichen Anforderungen zum Datenschutz erfüllen. Es ist nur schade um die Zeit, die Sie in ein "totes" Verfahrensverzeichnis stecken.

Warum und wann Sie besser doch ein Verfahrensverzeichnis haben sollten
Große Unternehmen verfügen in der Regel über umfangreiche IT-Sicherheitskonzepte und schulen ihr Personal regelmäßig zu den unterschiedlichsten Themen. Das ergibt sich häufig bereits aus verschiedenen Zertifizierungsanforderungen. Dadurch werden und bleiben die Mitarbeiter auch für die Datenschutzbelange ihrer Tätigkeit geschult und sensibilisiert.

Wo diese umfassenden Lösungen fehlen, macht das Verfahrenszeichnis gerade in kleinen und mittleren Unternehmen Sinn - auch ohne gesetzgeberischen Druck oder aufsichtsbehördliche Keule im Nacken. Oftmals ist das neu zu erstellende Verfahrensverzeichnis die erste unternehmensweit dokumentierte Übersicht über die vorhandenen Datenmengen und Datenflüsse. Nicht selten führt das zu Aha-Effekten bei der Geschäftsleitung oder im IT-Bereich und offenbart Handlungsbedarf z.B. für die Datensicherheit.

Aber auch der einzelne Mitarbeiter bekommt anhand der konkreten Verfahren den Überblick: Worauf muss ich ganz persönlich an meinem Arbeitsplatz im Umgang mit personenbezogenen Daten achten? Wie verhalte ich mich richtig, wenn es Anfragen von Kollegen oder Kunden gibt? Der grundrechtsschwere Begriff der informationellen Selbtbestimmung wird durch das Verfahrensverzeichnis in die alltäglichen Betriebsabläufe des einzelnen Angestellten übersetzt. Was will man mehr?!

Sie ahnen es schon: Werbung in eigener Sache
Zunehmend behelfen sich gewissensgeplagte Unternehmer mit der Kombination von Alibi-Datenschutzbeauftragtem und einer eingekauften Verfahrensverzeichnis-Software. Beides zusammen bringt Ihnen nur Frust und unnötige Kosten, ohne daß Sie in der Sache vorankommen. Lassen Sie besser einen erfahrenen externen Berater einen Blick auf Ihre Datenlandschaft werfen: Er weiß, was genau in Ihrem Unternehmen notwendig ist.
Ansprechpartner benennen Ihne die Datenschutzverbände, beispielsweise unter http://www.bvdnet.de/arbeitskreise/akextdsb, oder gern auch der Autor.

Welche gesetzlichen Regelungen sind zu beachten?
Wer muß einen Datenschutzbeauftragten bestellen?
Welche Aufgaben hat der betriebliche Datenschutzbeauftragte?

Verfahrensverzeichnis