ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvo

Das Verfahrensverzeichnis des BDSG

[Update 2019]

Offenbar hat die Aufsichtsbehörde Hamburg „aufgeräumt“ und alte (veraltete) Inhalte entfernt. Daher sind die in diesem Artikel verlinkten Dokumente und/oder Seiten nicht mehr aufrufbar.

[Update Ende]

Eigentlich existiert es im Text des BDSG gar nicht als eigenständiger Begriff: Das öffentliche Verfahrensverzeichnis oder Verfahrensverzeichnis für jedermann. Dennoch ist es ein feststehender Begriff und es ist auch klar, was damit gemeint ist. Verstreut sind diese Informationen allerdings über mehrere Paragrafen.

Es beginnt mit der Meldepflicht

Fangen wir aber vorne an: In § 4d BDSG ist die Meldepflicht definiert: Nicht-öffentliche verantwortliche Stellen (also z. B. Unternehmen und Vereine) haben „automatisierte Verarbeitungen“ (gemeint ist EDV) vor der Inbetriebnahme und jeweils bei Änderung und nach Außerbetriebsetzung an die zuständige Aufsichtsbehörde zu melden.  Im Gesetzestext folgen noch viele Ausnahmen und Spezifizierungen, bis hin zur Vorabkontrolle durch den Datenschutzbeauftragten. Ob ein Unternehmen meldepflichtig ist, muss letztlich in jedem Einzelfall geprüft werden. Sicher entkommen kann man der Meldepflicht übrigens in den meisten Fällen, indem man einen betrieblichen Datenschutzbeauftragten bestellt.

§ 4e BDSG regelt dann den Inhalt der Meldepflicht. Folgende neun Informationen sind zu melden [Zitat aus dem BDSG]:

  1. Name oder Firma der verantwortlichen Stelle,
  2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
  3. Anschrift der verantwortlichen Stelle,
  4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
  5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
  6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
  7. Regelfristen für die Löschung der Daten,
  8. eine geplante Datenübermittlung in Drittstaaten,
  9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.

Das öffentliche Verfahrensverzeichnis wird durch die Hintertür definiert

§ 4g BDSG definiert nun die Aufgaben des Datenschutzbeauftragten. Und hierzu gehört u. a. (§ 4g Abs. 2 Satz 2) die Verfügbarmachung der Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag für jedermann in geeigneter Weise. Achtung: Für jedermann müssen nur die Angaben 1 bis 8 verfügbar gemacht werden. Und das auch aus gutem Grund, denn Nr. 9 würde vermutlich Interna der verantwortlichen Stelle offenlegen.

Bei der Beschreibung dieser Aufgabe des Datenschutzbeauftragten bezieht sich das BDSG zwar auf die Inhalte der Meldepflicht. Das öffentliche Verfahrensverzeichnis ist aber völlig unabhängig von der Meldepflicht zu erstellen, zu pflegen und jedermann verfügbar zu machen.

Das war’s eigentlich auch schon. Die o. g. acht Informationen bilden das öffentliche Verfahrensverzeichnis. Eine Vorlage, wie so etwas aussehen kann findet sich z. B. bei der Hamburger Aufsichtsbehörde.

Verfügbarmachung in geeigneter Weise

Ich möchte allerdings noch auf die Formulierung der Verfügbarmachung „in geeigneter Weise“ eingehen. Diese Formulierung legt nämlich nahe, dass das öffentliche Verfahrensverzeichnis nicht zwingend per Post oder E-Mail versandt werden muss. Vielmehr könnte es auch auf der Homepage (z. B. im Umfeld der Datenschutzerklärung) angezeigt oder als Dokument zum Download angeboten werden. Eine Nachfrage bei der Hamburger Aufsichtsbehörde hat ergeben, dass es sogar möglich sein kann, es gar nicht „nach außen“ zu geben. Es kann z. B. in den eigenen Geschäftsräumen zur Einsicht bereit liegen. Allerdings ist dabei zu beachten, dass es vermutlich niemandem zuzumuten ist, hierfür quer durch die Republik zu reisen. Wieder einmal mehr gilt also auch hier das Prinzip der Angemessenheit.

Keine Diskussion gibt es übrigens darüber, wer berechtigt ist, Einblick in das öffentliche Verfahrensverzeichnis zu erhalten: Jedermann. Das BDSG macht hier keinerlei Einschränkungen und somit ist wirklich jeder berechtigt , Einsicht in das öffentliche Verfahrensverzeichnis zu verlangen. Völlig unabhängig davon, ob eine Geschäftsbeziehung zwischen der verantwortlichen Stelle und demjenigen besteht und völlig unabhängig davon, ob die verantwortliche Stelle überhaupt Daten des Anfragenden verarbeitet.

Sollten Sie über die hier gegebenen Informationen hinaus noch Unterstützung benötigen, helfe ich gerne weiter.


Diesen Beitrag teilen