Was muss im Verfahrensverzeichnis aufgeführt werden?
Gemäß § 4e BDSG müssen in das Verfahrensverzeichnis die folgenden Angaben aufgenommen werden:
- Der Name oder die Firma der verantwortlichen Stelle, welche personenbezogene Daten für sich selbst verarbeitet oder durch andere im Auftrag verarbeiten lässt, inklusive der Nennung der Inhaber, Vorstände, Geschäftsführer oder sonstigen gesetzlichen oder nach der Verfassung des Unternehmens berufenen Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen. Zusätzlich muss die Anschrift der verantwortlichen Stelle genannt werden.
- Die Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung; diese muss vorher bestimmt und schriftlich dokumentiert werden (Beispiel "Personalverwaltung"). Tritt eine Änderung des Zwecks ein, so muss auch dies dokumentiert werden.
- Eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien; Zweck ist insoweit eine Abgrenzung hinsichtlich "sensibler Daten" (§ 3 Abs. 9 BDSG).
- Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können. Zusätzlich sind ergänzende Angaben erforderlich, wenn Daten in Drittstaaten übermittelt werden sollen.
- Regelfristen für die Löschung der Daten. Diese hat die verantwortliche Stelle bei der Festlegung der Verarbeitungszwecke zu treffen.
- Eine allgemeine Beschreibung die es ermöglicht zu beurteilen, ob die Maßnahmen nach § 9 BDSG ("Technische und organisatorische Maßnahmen") zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.
- Anmerkung: Gemäß § 4g Abs. 2 S. 1 BDSG muss dem betrieblichen Datenschutzbeauftragten von der Unternehmensleitung zudem eine Übersicht der Personen zur Verfügung gestellt werden, die Zugriff auf personenbezogene Daten nehmen können. Zugriffsberechtigte Personen sind dabei nur die Beschäftigten der verantwortlichen Stelle, die auf Grund ihrer Position oder Funktion Zugang zu den relevanten Daten haben. Bei Nennung der Positionen kann auf eine namentliche Nennung verzichtet werden.