Autor: Kerstin Blossey
„Das Risiko, dass Datenschutzverstöße durch private Unternehmen in die Öffentlichkeit gelangen, ist so hoch wie nie“, leitete der Chief Offi cer Corporate Data Protection der Daimler AG am 23. April 2009 seinen Vortrag auf einem Fachkongress für internationalen Datenschutz in Berlin ein.
Dass er damit einen wunden Punkt ansprechen würde, der ihn höchst persönlich in seiner Funktion als Datenschutzbeauftragter eines weltweit bekannten Konzerns betreffen würde, konnte er, als seine Vortragsunterlagen Wochen vor dem Kongress beim Veranstalter einreichte, noch nicht ahnen. Doch nur wenige Tage vor seinem Vortrag geriet die Daimler AG mit dem Thema des Missbrauchs von Gesundheitsdaten ihrer Beschäftigten selbst als Hauptschlagzeile in den Fokus der globalen Öffentlichkeit. Die Gesellschaft nimmt ihren Anteil an der datenschutzrechtlich vorgesehenen Kontrollfunktion heutzutage also offensichtlich wahr. Doch das Prinzip der Selbstkontrolle geht durch mehrere Instanzen, und gegenüber jeder einzelnen dieser Instanzen ist die Daten verarbeitenden Stelle rechenschaftspflichtig.
In diesem dritten und letzten Teil unserer Serie zum Thema „Transparenz” befassen wir uns mit dem so genannten „internen Verfahrensverzeichnis”, einem sowohl für das Unternehmen als auch für die zuständigen Aufsichtsbehörden grundlegend wichtigen Dokument: Angemessene Transparenz bezüglich der Verfahrensweisen im Umgang mit personenbezogenen Daten ermöglicht die vorgeschriebene Erfüllung von Auskunfts-, Korrekturund Nutzungs-Widerspruchs-Ansprüchen sowie der Meldepflichten.
Das Grundprinzip der Selbstkontrolle im Überblick
Der betriebliche Datenschutz basiert laut Gesetz auf dem Prinzip der Selbstkontrolle. Dies klingt Die Kehrseite der Medaille: Nimmt das Unternehmen als Daten verarbeitende Stelle nicht oder nur unzureichend wahr, steigt mit jedem Tag das Risiko eines unzulässigen Umgangs mit teils hoch sensiblen personenbezogenen Daten enorm. Je nach Unternehmensgröße und Komplexität der Geschäftsprozesse wird es mit jedem Tag, der ohne ganzheitliches Datenschutzmanagement gelebt und gewirkt wird, schwieriger und teurer, einen wirklichen Überblick über die tatsächlich gelebten Geschäftsprozesse zu behalten und diese im Sinne der gesetzlichen Anforderungen zu leben. Die Selbstkontrolle ist aber nicht nur Verantwortung der Daten verarbeitenden Stelle, sondern ebenso Verantwortung jedes einzelnen Betroffenen und der Gesellschaft in Summe.
Die Meldepflichten gegenüber den Aufsichtsbehörden aus dem Bundesdatenschutzgesetz (BDSG) heraus sind ein nicht zu vernachlässigender Bestandteil der Selbstregulierung im Datenschutz. Kerngegenstand ist das so genannte „interne Verfahrensverzeichnis”, das von Kollegen und Fachliteratur gelegentlich anders betitelt wird, beispielsweise „Verfahrensregister”. Sehen wir uns – bereits sensibilisiert durch das uneinheitliche Wording – die Schlüsselfakten und die damit verbundene Verdeutlichung der Anforderungen hinsichtlich der zu definierenden, zu analysierenden und schließlich schriftlich zu fixierende Verfahrensaspekte an.
1. Begrifflichkeit und Ausgangssituation
„Verfahren” – Der Begriff meint die Summe aller Geschäftsprozesse, die eine automatisierte Verarbeitung bestimmter personenbezogener Daten zu ein und demselben Geschäftszweck abdecken. Ein Beispiel: ein beliebig sinnvoll zu benennendes Verfahren „Personalkostenabwicklung” kann Lohnbuchhaltung, Gehaltszahlungen, die Meldung an die anhängigen Versicherungsund Kostenträger sowie alle weiteren Einzelprozesse beinhalten, die im Rahmen dieses Überbegriffs anfallen können. Ein einziges Verfahren kann also mehrere Geschäftsprozesse, rechnergestützte Anwendungen oder Dateien (so genannte „Systeme”) oder auch standardisierte analoge Vorgehensweisen enthalten, was die Erstellung einer Übersicht aller Verfahren in einem zentralen Verzeichnis wesentlich handlicher und aussagekräftiger macht. Im Vordergrund steht bei der Formulierung eines Verfahrens immer der Aspekt des Geschäftszwecks, zu dem die personenbezogenen Daten verarbeitet werden.
„Internes Verfahrensverzeichnis” – Gemäß § 4g Abs. 2 Satz 1 BDSG stellt die verantwortliche personenbezogene Daten verarbeitende Stelle dem Beauftragten für den Datenschutz (DSB) eine Übersicht über die in § 4e Satz 1 BDSG genannten Angaben sowie über die jeweils zugriffsberechtigten Personen zur Verfügung - das so genannte "interne Verfahrensverzeichnis". Der DSB übernimmt an dieser Stelle quasi die Position der Aufsichtsbehörde und erspart in dieser Funktion die gesetzlich vorgesehene Meldung an die offi zielle Stelle, die sicherlich wesentlich aufwändiger umzusetzen wäre – allein aus formalen Gründen wie dem äußeren Erscheinungsbild, der maximalen Vollständigkeit der erfassten Verfahren und anderem mehr. Die Datenschutzpraxis hat über die Jahre gezeigt, dass die verantwortlichen Stellen in der Regel nicht über ein Verzeichnis der einzelnen Verfahrensprozesse zur Datenverarbeitung und Verarbeitung personenbezogener Daten verfügten. Etwa 2008 ist hier ein Bewußtsein gewachsen, und die bestellten DSBs haben die Erstellung des entsprechenden Registers in vielen Fällen selbst übernommen, sofern sie dazu qualifi ziert und praxiserfahren genug waren. Tatsächlich haben wir bei unseren Kunden in den letzten fünf Jahren kein einziges Unternehmen erlebt, das uns zur Basis unserer Aufgaben das interne Verfahrensverzeichnis hätte zur Verfügung stellen können, so dass der betriebliche DSB sich einer durchaus zeitintensiven Zusatzaufgabe gegenüber stehen sieht.
Alle Verfahren automatisierter Verarbeitung, in denen personenbezogene Daten geschäftsmäßig zum Zweck der (anonymisierten) Übermittlung (§§ 29, 30 BDSG, z. B. Auskunftstätigkeit, Adresshandel, Markt- und Meinungsforschung) verarbeitet werden, sind nach § 4d Abs. 4 BDSG ohne Ausnahme meldepflichtig. Die Meldepflicht für Verfahren, die anderen (Geschäfts-) Zwecken dienen, entfällt, wenn die verantwortliche Stelle einen betrieblichen DSB bestellt hat (§ 4d Abs. 2 BDSG). Bestimmte Stellen sind gemäß § 4f BDSG dagegen generell zur Bestellung eines DSB oder zur Meldung ihrer Verfahren direkt an die Aufsichtsbehörde verpflichtet. Wenn ein fachkundiger zuverlässiger DSB bestellt ist, übernimmt dieser bezüglich des Verfahrensverzeichnisses in vielen Fällen stellvertretend die Kontrollfunktion der zuständigen Aufsichtsbehörde, so dass eine Meldung an die offizielle Dienststelle außerhalb des Unternehmens nicht erforderlich ist, sofern das Unternehmen nicht bestimmten Branchen angehören, die generell den Behörden Auskunft schulden.
Auch wenn keine Pflicht dazu besteht, kann ein DSB bestellt werden, um sich damit von der Meldepflicht zu befreien. Sie entfällt zudem, wenn solche Daten für eigene Zwecke verarbeitet werden, hiermit höchstens neun Personen beschäftigt sind und entweder die Einwilligung der Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses (z.B. ein laufendes Bewerbungsverfahren) mit dem Betroffenen dient (§ 4d Abs. 3 BDSG).
2. Erfahrungswerte zum internen Verfahrensverzeichnis
Der Kommentar von Dammann/Simitis zur EG Datenschutzrichtlinie (Art. 18 und 19) gibt bereits eine hinreichend bestimmte Defi nition für das so genannte Verfahren automatisierter Verarbeitung. Gegenstand eines Verfahrens ist gemäß der EG-Richtlinie, die insoweit durch § 4d BDSG in nationales ........