Verfahrensverzeichnis
Das Verfahrensverzeichnis war ein Element des deutschen Datenschutzrechts.
Bis 2018
Nach § 4d, § 4e des Bundesdatenschutzgesetzes in der bis 2018 geltenden Fassung (BDSG a.F.) musste jede staatliche oder private Stelle, die personenbezogene Daten verarbeitet, den Umgang mit diesen Daten dokumentieren. Für diese Dokumentation hat sich die Bezeichnung Verfahrensverzeichnis oder Verfahrensübersicht eingebürgert.
Gemäß § 4g Abs. 2 S. 1 BDSG a.F. war von der verantwortlichen Stelle eine Übersicht über die in § 4e Satz 1 BDSG a.F. genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen (häufig bezeichnet als internes Verfahrensverzeichnis).
Soweit im Unternehmen ein Datenschutzbeauftragter ernannt ist, war dieser gemäß § 4g Abs. 2 S. 2 BDSG a.F. verpflichtet, Teile dieses internen Verfahrensverzeichnisses (konkret die Angaben nach § 4e Satz 1 Nr. 1 bis 8 BDSG a.F.) auf Antrag jedermann in geeigneter Weise verfügbar zu machen (öffentliches Verfahrensverzeichnis). Sofern ein Datenschutzbeauftragter nicht bestellt war, oblag diese Verpflichtung der verantwortlichen Stelle.
Wurde das Verfahrensverzeichnis nicht oder nicht ordnungsgemäß geführt, war mit einem Einschreiten der Aufsichtsbehörden zu rechnen, die häufig von Dritten informiert werden, wenn ein Unternehmen auf Anfrage kein Verfahrensverzeichnis vorlegen kann. Die Aufsichtsbehörden hatten ausweislich des § 38 Abs. 4 BDSG a.F. einen Anspruch auf Einsicht des Verfahrensverzeichnisses. Die von der Aufsichtsbehörde mit der Kontrolle beauftragten Personen waren hierzu notfalls befugt, während der Betriebs- und Geschäftszeiten Grundstücke und Geschäftsräume der Stelle zu betreten und dort Prüfungen und Besichtigungen vorzunehmen. Lag kein ordnungsgemäßes Verfahrensverzeichnis vor, so konnte dies je nach Aufsichtsbehörde auch die Verhängung eines Zwangsgeldes zur Folge haben, um die Erstellung eines Verzeichnisses zu erwirken.[1]
Seit 2018
Die am 28. Mai 2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO) löste die bis dahin geltenden Bestimmungen des Bundesdatenschutzgesetzes ab. Anstelle des Verfahrensverzeichnisses ist nun nach Art. 30 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten zu führen.
Einzelnachweise
- Verfahrensverzeichnis und Datenschutzgesetz – was muss beachtet werden? (Memento des Originals vom 29. November 2009 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis. Artikel des IITR vom 4. November 2009.