Wie alle Daten verarbeitenden Stellen haben öffentliche Stellen des Bundes eine Übersicht über die bei ihnen
eingesetzten Verfahren automatisierter Verarbeitungen zu führen (§ 4g Abs. 2 Satz 1 i. V. m. §§ 4e, 18 Abs. 2
Satz 2 bis 4 BDSG). Erstellung und Inhalt eines solchen Verfahrensverzeichnisses bereiten in der Praxis erfahrungsgemäß Schwierigkeiten und waren mehrfach Gegenstand meines Erfahrungsaustauschs mit den behördlichen Datenschutzbeauftragten der obersten Bundesbehörden (vgl. unten Nr. 22.2). Die Anregung für eine konkretisierende Hilfestellung habe ich gerne in Form einer Handreichung (vgl. Anlage 15) aufgegriffen.
Dabei war es mir wichtig deutlich zu machen, dass die Erstellung und Aktualisierung des Verfahrensverzeichnisses - anders als in der Praxis bisweilen gehandhabt - nicht die Aufgabe der behördlichen Datenschutzbeauftragten ist. Gesetzlicher Adressat der Verzeichnispflicht ist allein die verantwortliche Stelle, die zur Erstellung
und Führung der Übersicht auf ihre mit den jeweiligen Datenverarbeitungsverfahren befassten Organisationseinheiten zurückgreifen kann und soll. Den behördlichen Datenschutzbeauftragten ist das Verfahrensverzeichnis lediglich „zur Verfügung zu stellen“ (§ 4g Abs. 2 Satz 1 BDSG), damit diese einen Überblick über Art, Umfang,
Ablauf und Zweck der eingesetzten Datenverarbeitungsverfahren gewinnen können.
Schwierigkeiten bereitet bisweilen schon die Frage, was überhaupt in das Verfahrensverzeichnis aufzunehmen,
was also unter einem „Verfahren automatisierter Verarbeitung“ zu verstehen ist. Hier hilft ein Blick auf Artikel 18 Absatz 1 der europäischen Datenschutzrichtlinie 95/46/EG, der u. a. in § 4e BDSG (Inhalt der Meldepflicht) umgesetzt wurde, auf den wiederum die Vorschriften zum Verfahrensverzeichnis Bezug nehmen. Danach ist ein Verfahren die Gesamtheit von Verarbeitungsvorgängen „zur Realisierung einer oder mehrerer verbundener Zweckbestimmungen“. Aufzunehmen ist also nicht jeder einzelne Verarbeitungsschritt, sondern es
sind am Verarbeitungszweck orientierte Zusammenfassungen verschiedener Arbeitsschritte vorzunehmen. Zu
erfassen sind also etwa Personalverwaltungs-, Zugangskontroll- oder Zeiterfassungssysteme, nicht aber diesen
zugrunde liegende einzelne Verarbeitungsschritte oder aus diesen resultierende elektronische Dokumente und
(Text-)Dateien. Der Verarbeitungszweck des Verfahrens muss so aussagekräftig sein, dass externe Dritte anhand der Angaben unzweifelhaft erkennen können, um was für eine Art von Datenverarbeitung es sich handelt.
In der Praxis wird die Erstellung des Verfahrensverzeichnisses nicht selten als bürokratische Pflichtaufgabe angesehen, deren Mehrwert hinterfragt wird. Zwar scheint die Publizitätsfunktion - das Verfahrensverzeichnis ist
jedermann auf Antrag verfügbar zu machen - in der Praxis ein Schattendasein zu führen. Gleichwohl schafft das
Verfahrensverzeichnis Transparenz für die interessierte Öffentlichkeit. Jede Person kann hierdurch feststellen,
ob und inwieweit sie von einer Datenverarbeitung betroffen ist oder sein kann und kann daran anknüpfend ihre
Datenschutzrechte geltend machen. Seiner Transparenzfunktion nach außen und innen wird das Verfahrensverzeichnis aber nur gerecht, wenn es stets vollständig und auf aktuellem Stand ist. Das permanente „Nachhalten“
kostet sicherlich Zeit und Mühe. Jede verantwortliche Stelle muss sich jedoch vor Beginn der Datenverarbeitung
Gedanken über die Zwecke, den betroffenen Personenkreis, Löschfristen und über Fragen der Datensicherheit
machen. Dies dokumentieren zu müssen, trägt bei der verantwortlichen Stelle auch zur Bewusstseinsbildung
über Umfang und Auswirkung des jeweils von ihr eingesetzten Verfahrens automatisierter Verarbeitung bei.
Eine vollständige Auflistung aller Orientierungshilfen und vergleichbarer Veröffentlichungen finden Sie auf
meiner Internetseite unter www.datenschutz.bund.de.
– 52 –
BfDI 25. Tätigkeitsbericht 2013-2014