(openPR) Kein Wunder, dass betroffenen Unternehmen allerlei Halbwahrheiten präsentiert werden, meint Steffen Schröder, Datenschutzberater und externer Datenschutzbeauftragter aus Sachsen: Schließlich gehen die Meinungen über Sinn und Unsinn des Verfahrensverzeichnisses selbst unter Datenschutzexperten auseinander.
Verfahrensverzeichnis nach BDSG
In einem Artikel auf seiner Internetseite "der-datenschutzbeauftragte.de" verweist der Berater für Datenschutz & Datensicherheit zunächst auf die Forderungen aus dem Bundesdatenschutzgesetz: Das BDSG regelt den Datenschutz für die meisten privatwirtschaftlichen Unternehmen, aber z.B. auch für Verbände und Vereine. Im § 4e des BDSG wird festgelegt, welche Angaben zu jeder "automatisierten Verarbeitung personenbezogener Daten" zu erfassen sind: Neben den Stammdaten der "verantwortlichen Stelle" vor allem der Zweck der Datenverarbeitung, die betroffenen Personen, Daten und Datenarten, mögliche Empfänger im In- und Ausland sowie Löschfristen. Diese Informationen sind nach § 4g Absatz 2 BDSG durch den Beauftragten für den Datenschutz "auf Antrag jedermann in geeigneter Weise verfügbar" zu machen. Für diese Zusammenstellung hat sich der Begriff "(öffentliches) Verfahrensverzeichnius" oder "Verfahrensverzeichnis für jedermann" eingebürgert. Daneben gibt es noch eine sogenannte "(interne) Verarbeitungsübersicht", die über die Angaben des Verfahrensverzeichnisses hinaus eine allgemeine Beschreibung der Datensicherheitsmaßnahmen enthält und nicht veröffentlicht werden muss.
Blinddarm?
Wenn Datenschutzleistungen für Unternehmen an den Mann oder die Frau gebracht werden sollen, werde von unseriösen Anbietern oft auf zweierlei Weise mit dem Verfahrensverzeichnis argumentiert, meint Schröder: "Mythos Nr.1: Die Aufsichtsbehörden verhängen schwere Strafen für nicht vorhandene Verfahrensverzeichnisse. Die Praxis zeigt aber: Man wird kaum "nur" wegen einem fehlenden Verfahrensverzeichnis zu einem Bußgeld verdonnert. Mir persönlich ist kein einziger Fall bekannt. Untersuchen Sie dazu die Tätigkeitsberichte der Aufsichtsbehörden und sprechen Sie im Zweifelsfall mit Ihrer Behörde." Eine weitere Behauptung gegenüber potentiellen Kunden: Das öffentliche Verfahrensverzeichnis werde tatsächlich von "jedermann" abgefragt. Der Berater dazu: "Vergessen Sie es! Die meisten Verfahrensverzeichnisse werden für die Schublade produziert. Wenn überhaupt, dann fragen nur "Eingeweihte", also andere Datenschutzbeauftragte oder Datenschutzinteressierte, danach. Sollte sich doch jemand unvorhergesehen danach erkundigen, können Sie immer noch reagieren."
Auf diese Weise verunsichert, behelfen sich gewissensgeplagte Unternehmer häufig mit einer Kombination von "Alibi-Datenschutzbeauftragtem" und einer eingekauften Verfahrensverzeichnis-Software. Beides zusammen bringe letztlich nur Frust und unnötige Kosten, ohne daß die Unternehmen in der Sache vorankommen. Natürlich müssen die gesetzlichen Anforderungen zum Datenschutz erfüllt werden. Es sei nur schade um jede Stunde, die in ein "totes" Verfahrensverzeichnis gesteckt wird.
Oder Rückgrat?
Während große Unternehmen in der Regel über umfangreiche IT-Sicherheitskonzepte verfügen und ihr Personal regelmäßig zu den unterschiedlichsten Themen schulen lassen, fehlen diese umfassenden Lösungen in kleinen und mittleren Unternehmen häufig. Dort macht das Verfahrenszeichnis auch ohne gesetzgeberischen Druck Sinn. "Oftmals ist das neu zu erstellende Verfahrensverzeichnis die erste unternehmensweit dokumentierte Übersicht über die vorhandenen Datenmengen und Datenflüsse", berichtet der Datenschutzberater seine praktischen Erfahrungen. "Nicht selten führt das zu Aha-Effekten bei der Geschäftsleitung oder im IT-Bereich und offenbart Handlungsbedarf z.B. für die Datensicherheit. Aber auch der einzelne Mitarbeiter bekommt anhand der konkreten Verfahren den Überblick: Worauf muss ich ganz persönlich an meinem Arbeitsplatz im Umgang mit personenbezogenen Daten achten? Wie verhalte ich mich richtig, wenn es Anfragen von Kollegen oder Kunden gibt?"
Sein abschließender Rat: "Lassen Sie deshalb besser einen erfahrenen externen Berater einen Blick auf Ihre Datenlandschaft werfen: Er weiß, was genau in Ihrem Unternehmen notwendig ist."
Ansprechpartner benennen die Datenschutzverbände, beispielsweise unter http://www.bvdnet.de/arbeitskreise/akextdsb, oder gern auch der Autor.
Den kompletten Artikel finden Sie unter http://www.schroeder-datenschutz.de/?Verfahrensverzeichnis
