Alle Unternehmen sind zur Einhaltung der gesetzlichen Bestimmungen des Bundesdatenschutzgesetzes (BDSG) verpflichtet. Für die meisten Unternehmen besteht demnach die Pflicht, einen betrieblichen Datenschutzbeauftragten zu bestellen und zwar dann, wenn die folgenden Bedingungen erfüllt sind (vgl. § 4f (1) BDSG):
-
Es findet die Erhebung, Verarbeitung oder das Nutzen personenbezogener Daten statt. Hierunter fallen z.B. Kundendaten, aber auch Personaldaten und insbesondere die Daten von Mietern und Genossenschaftsmitgliedern.
-
Es sind mehr als 19 Mitarbeiter in diesem Bereich beschäftigt (Änderung des BDSG am 23. 9. 2005).
Automatisierte Verarbeitung bedeutet die Nutzung eines DV-Systems, um o. g. Daten zu verarbeiten. “Nicht automatisierte” Verarbeitung liegt dann vor, wenn die Daten in Akten aufbewahrt werden, die es nicht zulassen, unmittelbar Rückschlüsse auf die Daten einer Person zu ziehen. In der Praxis verarbeitet fast jedes Unternehmen seine Daten automatisiert. In der Wohnungswirtschaft liegt dieser Sachverhalt ausnahmslos vor.
Treffen die o.g. Bedingungen zu, muss ein Datenschutzbeauftragter benannt werden. Die Eignung ist per Gesetz nicht genau definiert. Es wird lediglich bestimmt, dass “Zum Beauftragten für den Datenschutz nur bestellt werden darf, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.” vgl. § 4 f (2) BDSG. Bei der Auswahl eines Mitarbeiters als Datenschutzbeauftragten gibt es einige Einschränkungen. Generell gilt, dass sich der Kontrollierende nicht selbst kontrollieren darf. Damit scheiden z.B. Vorstände, Geschäftsführer, Prokuristen, Personalleiter, IT-Leiter etc. als Datenschutzbeauftragte aus. Zudem genießt der Mitarbeiter einen erweiterten Kündigungsschutz. Alternativ kann der Datenschutzbeauftragte auch extern bestellt werden und wird dann als Dienstleister für das Unternehmen tätig. Der Vorteil dieser Verfahrensweise besteht zweifelsohne darin, dass die damit verbundenen Kosten sowie erforderliche der Zeit- und Schulungsaufwand genau bekannt und kalkulierbar sind.
Zur Gliederung einer Verfahrensdokumentation gibt es keine datenschutzrechtlich verbindlichen Vorgaben. In der Zielsetzung bei der Erstellung und Gestaltung der Verfahrensdokumentation sollte transparent sein, wie das jeweilige Verfahren arbeitet. Dazu gehört die Beschreibung der technischen Infrastruktur, auf der die Verfahren betrieben werden, einschließlich der
-
verwendeten Systemprogramme,
-
der Bürosoftware, einschließlich individueller Anpassungen für das Verfahren (z.B. Makroprogrammierung oder Visual Basic),
-
Löschungsvorschriften,
-
Beschreibung der Spezialsoftware für Branchenanwendung einschließlich der Beschreibung der Eingabedaten, der Verarbeitungsprozesse und der Ausgabedaten,
-
Programmdokumentationen für individuell erstellte Programme,
-
Beschreibung der Wartungsroutinen.
In der Beschreibung müssen die Schnittstellen des Verfahrens zu anderen Verfahren enthalten sein:
-
die Schnittstellen des verwendeten Systems nach außen (z.B. Datev, Fernwartung) ,
-
Zugriffsprofile der Benutzer,
-
Benennung von Verantwortlichen für den Datenschutz, IT-Sicherheit, Systemverwaltung,
-
Unterlagen zu den Verfahrenstests, Freigabedokumentation sowie Hinweise zur Qualifikation der mit dem Verfahren arbeitenden Mitarbeiter,
-
Beschreibung von Maßnahmen, die zur Sicherstellung der Sicherheit der Datenverarbeitung getroffen werden. Dies schließt auch den Umgang mit Papier ein, etwa die Aktenunterbringung, -entsorgung, und -vernichtung.
Zu bevorzugen ist dabei die Zusammenführung der Einzelmaßnahmen zu einem Sicherheitskonzept, das integraler Bestandteil des Risikomanagementsystems im Unternehmen ist.
Anleitung zur Erstellung eines Verfahrensverzeichnisses, erarbeitet durch den AK “BDSG 2001” der GDD e.V.
Gemäß § 4 g BDSG ist die unten stehende Systematik mit den jeweiligen konkreten, firmenspezifischen Daten jedermann in geeigneter Weise verfügbar zu machen. Ist kein Datenschutzbeauftragter vorhanden, obliegt diese Aufgabe der sog. verantwortlichen Stelle. Die insgesamt etwas abstrakt klingenden Formulierungen lassen sich relativ schnell und einfach anhand von Beispielen erschließen, die problemlos über Google und die Suchbegriffe “öffentliches Verfahrensverzeichnis” eingesehen werden können. Zumindest für die Erfüllung dieses Erfordernisses des BDSG ist nun sicherlich keine externe Hilfe mehr notwendig.
Angaben der verantwortlichen Stelle
1. Name oder Firma der verantwortlichen Stelle
2.1 Leiter der verantwortlichen Stelle und der Datenverarbeitung
2.2 Angaben zu dem im Inland ansässigen Vertreter einer außerhalb der Europäischen Union oder der Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum (Island, Norwegen und Lichtenstein) gelegenen verantwortlichen Stelle gem. § 1 Abs. 5 Satz 3 BDSG
3. Anschrift der verantwortlichen Stelle
Angaben zur automatisierten Verarbeitung
4. Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung
Abgeleitet aus der Satzung des Unternehmens ist der Hauptzweck die Abwicklung von Kundenverträgen.
Nebenzwecke sind die Personal-, die Lieferantenverwaltung, Handelsvertreter- und Interessentenbetreuung.
5. Beschreibung der betroffenen Personengruppen und der diesbezgl. Daten oder Datenkategorien
Die betroffenen Personengruppen ergeben sich aus der Zweckbestimmung (Nr. 4). Es handelt sich um folgende Datenkategorien (bei allen können IT-Nutzungsdaten anfallen):
Kundenverwaltungsverfahren: (z.B. Ansprechpartner, Adress-, Vertrags-, Zahlungs-, Steuerungsdaten)
Personalverwaltungsverfahren: (z.B. Planungs-, Vertragsstamm- und -abrechnungsdaten von z.B. Bewerbern/Mitarbeitern/Rentner/möglichen Anspruchsberechtigten)
Lieferantenverwaltungsverfahren: (z.B. Vertragsstamm- und -abrechnungsdaten)
Handelsvertreterverwaltungsverfahren: (z.B. Vertragsstamm- und -abrechnungsdaten, Steuerungsdaten)
Interessentenbetreuungsverfahren: (Adressdaten, Produktinteresse)
6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können
öffentliche Stellen bei Vorliegen vorrangiger Rechtsvorschriften
interne Stellen
Dienstleister (§ 11 BDSG)
externe Stellen zur Erfüllung der unter 4. genannten Zwecke
7. Regelfristen für die Löschung der Daten
Die Löschung der Daten erfolgt nach Ablauf der gesetzlichen, satzungsmäßigen oder vertraglichen Aufbewahrungsfristen. Sofern Daten hiervon nicht betroffen sind, werden sie gelöscht, wenn die unter 4. genannten Zwecke entfallen.
8. Geplante Datenübermittlung in Drittstaaten (z.B. “nicht geplant”. Wenn ja, die Zwecke, die betroffenen Datenkategorien und die Länder oder Kategorien von Ländern angeben.)
Das Zitat zum Datenschutz
Forsche nie nach des Nachbarn und des Freundes Geheimnis.
Johann Kaspar Lavater (1741 – 1801)