Bundesamt für Sicherheit in der Informationstechnik

M 2.508 Führung von Verfahrensverzeichnissen und Erfüllung der Meldepflichten bei der Verarbeitung personenbezogener Daten

Verantwortlich für Initiierung: Datenschutzbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Datenschutzbeauftragter, Fachverantwortliche

Neben den zentralen Datenverarbeitungsanlagen sind bei dezentraler Datenverarbeitung alle eingesetzten IT-Systeme zu erfassen (siehe auch BSI -Standard 100-2, Erfassung der IT-Systeme und Erfassung der IT-Anwendungen und der zugehörigen Informationen).

Es muss jederzeit auf ein aktuelles Verzeichnis der eingesetzten Hardware, Software und Verfahren sowie der erfassten personenbezogenen Daten zugegriffen werden können. In einigen Datenschutzvorschriften gibt es konkrete Vorgaben für die Ausgestaltung dieser Verzeichnisse.

Verfahren automatisierter Verarbeitungen zur Erhebung, Verarbeitung oder Nutzung personenbezogener Daten sind von der verantwortlichen Stelle in einer Übersicht (Verfahrensverzeichnis) zu führen. Die Übersicht enthält grundsätzlich die Angaben nach §§ 4d und 4e BDSG und wird nach § 4g Absatz 2 BDSG in den meisten Fällen vom bDSB geführt. Ähnliche Regelungen enthalten auch die Datenschutzgesetze der Länder, sofern die Bestellung eines bDSB vorgesehen ist.

Unter bestimmten Voraussetzungen sind nicht-öffentliche Stellen verpflichtet, Registermeldungen, die mit den Angaben des Verfahrensverzeichnisses weitgehend übereinstimmen, gegenüber der zuständigen Aufsichtsbehörde abzugeben. Von der Meldepflicht sind nach § 4d Abs. 4 BDSG im Prinzip nur Stellen erfasst, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung verarbeiten.

Während für öffentliche Stellen des Bundes gegenüber dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit keine Meldepflicht besteht, sind öffentliche Stellen in den Ländern nach Landesrecht teilweise dazu verpflichtet, solche Meldungen gegenüber den jeweiligen Landesbeauftragten für den Datenschutz abzugeben, insbesondere auf Grund von Regelungen in den Bereichen der Strafverfolgung und der Gefahrenabwehr.

Damit der bDSB seiner Aufgabe zur Führung des Verfahrensverzeichnisses nachkommen kann, müssen die dafür erforderlichen Angaben nach § 4e BDSG vollständig und aktuell sein. Dabei ist besonders darauf zu achten, dass die Rechtsgrundlage für die Datenverarbeitung und die Zweckbindung hinreichend präzisiert sind, damit eine spätere Zweckänderung ausschließlich im Rahmen der gesetzlichen Anforderungen erfolgen kann.

Prüffragen:

  • Existiert ein aktuelles Verzeichnis der eingesetzten Hardware, Software und Verfahren sowie der erfassten personenbezogenen Daten?

Stand: 13. EL Stand 2013