Erstellung und Aktualisierung des Verfahrensverzeichnisses

Auf Grundlage des § 11 des Landesdatenschutzgesetzes des Bundeslandes Baden-Württemberg  (LDSG BW) ist die Universität Konstanz als verantwortliche Stelle zur Erstellung, Aktualisierung und Führung eines Verzeichnisses der automatisierten Verfahren, mit denen personenbezogene Daten verarbeitet werden ("Verfahrensverzeichnisses"), verpflichtet. Diese Webseite soll Ihnen als Verantwortlicher eines Verfahrens eine Hilfe sein, dieser Aufgabe nachzukommen.

Definitionen

Verfahren automatisierter Datenverarbeitung

(IT-) Verfahren dienen der IT-gestützten Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung. Ihre Abläufe und Komponenten bilden eine arbeitsorganisatorisch abgeschlossene Einheit zur Realisierung einer oder mehrerer verbundener Zweckbestimmungen (Abgeleitet aus Art. 18 Abs. 1 der EU-Richtlinie 95/46/EG).

Für das Verfahrensverzeichnis nach LDSG sind selbstverständlich nur die IT-Verfahren relevant, die personenbezogene Daten automatisiert verarbeiten. Im Prinzip bezeichnet "verarbeiten" jegliche Aktion, welche mit/auf/von Daten durchgeführt werden kann. Dazu zählen im Kontext des LDSG das "Erheben, Speichern, Verändern, Übermitteln, Nutzen, Sperren und Löschen personenbezogener Daten" (§ 3 Abs. 2 Satz 1 LDSG BW). Die Definitionen der Begriffe finden sich in § 3 Abs. 2 Satz 2 LDSG BW.

Eine einheitliche Definition und damit Abgrenzung eines "Verfahrens automatisierter Datenverarbeitung" gibt es leider nicht:

"Da es [nach o.g. Definition] entscheidend auf die Zweckbestimmung ankommt, ist der Begriff des 'Verfahrens automatisierter Verarbeitungen' von einer Flexibilität und Offenheit geprägt, je nachdem, wie eng oder weit ein spezifischer Zweck definiert wird. Der Daten verarbeitenden Stelle kommt daher bei der Erfassung automatisierter Verfahren ein nicht unerheblicher Gestaltungsspielraum zu." [DSB14]

"Eine automatisierte Verarbeitung ermöglicht, personenbezogene Daten programmgesteuert nach ihrem Informationsgehalt zu selektieren und unterschiedlich zu handhaben. Maßgeblich ist daher, dass die erhobenen oder gespeicherten Daten programmgesteuert („automatisiert“) nach ihrem Informationsgehalt unterscheidbar oder auswertbar sind, die Anlage also über ein Programm verfügt, das in der Lage ist, die dargestellten Inhalte in Abhängigkeit von ihren personenbezogenen Informationsgehalten zu behandeln." [DSB14]

Personenbezogene Daten

Bei personenbezogenen Daten handelt es sich um Daten, von denen direkt auf eine einzelne Person geschlossen bzw. mithilfe derer ein Bezug zu einer Person hergestellt werden kann. Es gilt ein Bezug auch dann als herstellbar, wenn es möglich ist, mithilfe der gegebenen Informationen auch über Umwege auf die Person schließen zu können.

Dabei kann schon die Kombination aus Vorname und Nachname genügen, um eine Person eindeutig zu identifizieren. Gibt es ein persönliches Identitätsmerkmal (bei Studierenden beispielsweise die Matrikelnummer), reicht dieses bereits aus.

Als Beispiel für einen (in-)direkten Bezug dienen dynamische IP-Adressen: Sie ermöglichen, in Verbindung mit einem Zeitstempel (z.B. bei Log-Dateien), den Personenbezug innerhalb der Zeitspanne, in der der Internetprovider diese Informationen zu einem Anschlussinhaber zurückverfolgen und dessen Daten im Zuge einer Auskunftsanfrage weitergeben kann. Insofern gelten diese grundsätzlich auch als personenbezogene Daten.

Motivation

Eine Verfahrensbeschreibung dokumentiert hierbei sowohl die rechtskonforme Verarbeitung der personenbezogenen Daten als auch die ergriffenen technischen und organisatorischen Schutzmaßnahmen und ermöglicht so eine Überprüfung durch den Datenschutzbeauftragten des Landes Baden-Württemberg (Eigen- und Fremdkontrolle, [LfD17]).

Ein Verfahrensverzeichnis dient aber auch dazu, Transparenz zu schaffen, da es allen Betroffenen des jeweiligen Verfahrens auf Antrag eine Übersicht über die zur Datenverarbeitung personenbezogener Daten eingesetzten Systeme am Standort bietet. Das Verfahrensverzeichnis muss aus sich heraus also für einen Dritten verständlich sein, der die mit dem automatisierten Verfahren verbundene Datenverarbeitung nachvollziehen möchte. Nötigenfalls muss das Verzeichnis um Anlagen (weitere Beschreibungen, Skizzen, Bilder) ergänzt werden.

Verantwortlichkeiten und Ablauf

Adressat der im LDSG normierten Verpflichtung zur Erstellung, Aktualisierung und Führung eines Verfahrensverzeichnisses ist die "verantwortliche Stelle", d.h. jene Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt - namentlich die Universität als Einrichtung.

Sowohl Erstellung als auch Aktualisierung wird üblicher- und zweckmäßigerweise an die jeweiligen organisatorischen Untereinheiten delegiert, die mit den jeweiligen Datenverarbeitungsverfahren befasst und für den Betrieb zuständig sind.

Da die Universität Konstanz keinen behördlichen Datenschutzbeauftragten bestellt hat, muss gemäß § 32 LDSG BW der Einsatz eines Verfahrens zusammen mit den Angaben aus dem Verfahrensverzeichnis (§ 11 Abs. 2) dem Landesbeauftragten für den Datenschutz gemeldet werden. Dem Gesetz nach muss jedoch die Meldung an den Landesdatenschutzbeauftragten (LfD) "spätestens gleichzeitig mit der ersten Einspeicherung" erfolgen.

Die Zentrale Datenschutzstelle der baden-württembergischen Universitäten (ZENDAS) berät uns in allen rechtlichen und technisch-organisatorischen Fragestellungen des Datenschutzes. Unter Umständen kann es ratsam sein, Entwürfe eines Eintrags an die ZENDAS zur Begutachtung weiterzuleiten. Diese Prüfung kann jedoch einige Zeit in Anspruch nehmen.

Formular und Ausfüllhilfen

Die Erstellung eines standardisierten Verfahrensverzeichniseintrages kann mittels des von ZENDAS bereitgestellten Formulars erledigt werden. Dies steht auf der zugehörigen ZENDAS-Seite zum Download bereit.

Nähere Informationen zu den einzelnen Feldern haben wir Ihnen nachfolgend zusammengefasst. Dabei stützen wir uns auf die "Ausfüllhinweise zum Verfahrensverzeichnis nach § 11 LDSG BW" (Stand: 10.04.2013), woraus wir teilweise Textstellen entnommen haben.

Sie werden bei diesen ebenso Textbausteine finden, die Sie so auch übernehmen können, sofern es auf Ihr Verfahren zutrifft.

->Angaben des öffentlichen Teils

->Angaben des nicht-öffentlichen Teils

Quellen

[DSB14] Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: "Die Datenschutzbeauftragten in Behörde und Betrieb", 10. Auflage, Juni 2014.

[LfD17] Landesbeauftragte für den Datenschutz: Verfahrensverzeichnis (Verfahrensregister). https://www.baden-wuerttemberg.datenschutz.de/verfahrensregister/, 09.06.2017.