Verfahrens­dokumentation

Das Bundesdatenschutzgesetz (BDSG) verpflichtet Unternehmen Verfahren zu dokumentieren, in denen personenbezogene Daten verarbeitet werden.

Im Rahmen der Erstaufnahme oder der Prüfung/Überarbeitung der Verfahrensdokumentation bzw. der Dienstleisterverpflichtungen sollte der Datenschutzbeauftragte telefonische bzw. persönliche Interviews durchführen.

Begriffsdefinitionen personenbezogene Daten

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

Beispiele: Name, Adresse und Geburtsdatum

Personenbeziehbare Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse, welche mit einem gewissen Aufwand einer natürlichen Person zugeordnet werden können. Diese Daten unterliegen den gleichen Vorschriften wie personenbezogene Daten.

Beispiele: Kontonummer, Personalnummer, KFZ-Kennzeichen und Kreditkartennummer

Weitaus strengere Regeln gelten für den Umgang mit sogenannten besonderen Arten personenbezogener Daten, da diese besonders schützenswert sind.

Beispiele: Gesundheit, Gewerkschaftszugehörigkeit, ethnische Herkunft, religiöse Überzeugung, Sexualleben und politische Meinung. Sollten Sie eine oder mehrere dieser Datenarten verarbeiten bzw. speichern, so sprechen Sie Ihren Datenschutzbeauftragten auf jeden Fall an!

Verarbeitung von Daten ist der Sammelbegriff im Sinne des § 3 BDSG für das Speichern, Verändern, Übermitteln, Sperren oder Löschen von personenbezogenen Daten.

Die Liste der Verarbeitungen von personenbezogenen Daten (Verfahren) im Unternehmen sollte im Vorfeld notiert werden (z.B. Mitarbeiterlisten, Listen über Schulungen, Gehaltslisten, Programme zur Verwaltung von Mitarbeiter- bzw. Kundendaten, Verarbeitungen von personenbezogenen Daten in Word, Excel oder weiteren Standardprogrammen,…). Für den ersten Überblick sollte eine grafische Dokumentation der Verfahren inkl. der Datenströme erfolgen. Diesem Artikel ist ein Dokument beigefügt, das zur Dokumentation der Verfahren und Datenströme verwendet werden kann.

Den Begriff des „Verfahrens“ definiert das BDSG selbst nicht. Abgeleitet aus Art. 18 Abs. 1 der EU-Richtlinie 95/46 EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 hat sich die folgende Definition durchgesetzt (Quelle: INFO 4, Bundesbeauftragte für den Datenschutz und die Informationsfreiheit): „Unter Verfahren ist die Gesamtheit an Verarbeitungen zu verstehen, mit denen eine oder mehrere miteinander verbundene Zweckbestimmung(en) realisiert werden sollen. Ein Verfahren kann danach eine Vielzahl von Datenverarbeitungsdateien umfassen“.

Beispiel: Im Zusammenhang mit Stellenbesetzungen kann es z. B. unter Umständen verschiedene Verarbeitungen geben. So etwa das Online-Bewerbungsportal, die Durchführung eines Assessment-Centers oder Auswahltests, Dokumentation des Auswahlgesprächs. Diese Verarbeitungen sind alle vom gemeinsamen Zweck getragen, die Bewerberauswahl zu lenken und durchzuführen. Die einzelnen Verarbeitungen werden zum Verfahren „Bewerbermanagement“ gebündelt und dieses Verfahren wird dokumentiert.

Als weitere Beispiele für Verfahren können danach Personalverwaltungs-, Betreuungs- und Abrechnungssysteme, Verfahren zur Abwicklung von Kundenaufträgen, Telekommunikationssysteme, Teledienste und sonstige Systeme, die eine geschlossene Struktur von Verarbeitungen umfassen, genannt werden.

Verarbeitung von personenbezogenen Daten

Im ersten Schritt ist zu klären, welche personenbezogenen Daten in Papierform oder elektronisch im Unternehmen verarbeitet werden.

Fragenkatalog zu den einzelnen Verfahren:

In dem Interview sollten die Verfahren einzeln erfasst und zu jedem Verfahren die folgenden Punkte abgefragt werden.

1. Wer ist der (fachliche) Ansprechpartner für das Verfahren?
2. Aus welchem Grund bzw. zu welchem Zweck erfolgt die jeweilige Datenverarbeitung?
3. Welche Personengruppe ist von der Verarbeitung betroffen? (z.B. Mitarbeiter, Interessenten, Lieferanten, Kunden, Mitglieder,..)
4. Welche Arten von Daten werden verarbeitet?

z.B. Vertragsdaten, Bankdaten, Kontaktdaten, Mitarbeiterdaten, Interessentendaten, …

Werden auch Gesundheitsdaten verarbeitet? Diese bitte gesondert vermerken.

5. Welchen Empfängern werden die Daten mitgeteilt (intern und an Dritte)?
6. Wann werden die jeweiligen gespeicherten Daten des Verfahrens gelöscht?
7. Werden die Daten in das Ausland (Drittstaaten) übermittelt? Wenn ja, in welche Staaten?
8. Wer hat Zugriff auf die personenbezogenen Daten des Verfahrens (Personen, Personengruppen ggf. Dritte)?

Die nachfolgenden Fragen werden meist durch die IT-Abteilung beantwortet.

9. Auf welchen IT-Systemen werden die personenbezogenen Daten des Verfahrens verarbeitet? Ggf. kann die Frage mit dem IT-Verantwortlichen geklärt werden.
10. Welche Software wird für das Verfahren genutzt und/oder erfolgt die Verarbeitung in Papierform?
11. TOM-Prüfung (Prüfung der technischen und organisatorischen Maßnahmen / TOMs nach § 9 BDSG):

Die TOM-Prüfung umfasst die technischen und organisatorischen Maßnahmen, die als Sicherungsmaßnahmen zum Schutz der Daten im Unternehmen getroffen werden. Die technischen und organisatorischen Maßnahmen werden je Verfahren erfasst und geprüft. Da z. B. die Verarbeitung personenbezogener Daten verschiedener Verfahren auf einem System durchgeführt wird, können die TOMs einzelner Verfahren identisch sein.

S•CON

S•CON betreut Unternehmen, Organisationen und Behörden jeder Größenordnung in allen Fragen des Datenschutzes.

Kategorien:Unternehmen

Schlagworte:Dokumentationspflicht, Verfahrensdokumentation