In welchem Verhältnis steht die Pflicht zum Führen des Verfahrensverzeichnisses zur Anmeldepflicht zum Datenschutzregister nach § 27 LDSG?

Beide Verfahren setzen die automatisierte Verarbeitung personenbezogener Daten voraus. Im Rahmen der Anmeldung zum Datenschutzregister ist dem LfD auch eine Verfahrensbeschreibung nach § 10 Abs. 2 LDSG vorzulegen. Dies bedeutet: Das vor Ort geführte Verfahrensverzeichnis stimmt mit den beim LfD angemeldeten Verfahren überein.

Wenn ein Verfahren nicht in das Verzeichnis nach § 10 Abs. 2 LDSG aufzunehmen ist, so besteht auch keine Anmeldepflicht nach § 27 LDSG. Umgekehrt bedarf es grundsätzlich keiner Aufnahme in das Verfahrensverzeichnis, wenn keine Anmeldepflicht nach § 27 LDSG besteht (Ausnahme: Öffentlich-rechtliche Wettbewerbsunternehmen, sofern diese einen betrieblichen Datenschutzbeauftragten bestellt haben).

Wie ist das Verfahrensverzeichnis zu erstellen und zu führen?

Das Verfahrensverzeichnis ist vom behördlichen Datenschutzbeauftragten entweder in Papierform oder im automatisierten Verfahren anzulegen und zu führen (§ 11 Abs. 3 Nr. 4 LDSG). Der Inhalt der Verfahrensbeschreibung sollte mit der jeweils fachlich zuständigen Stelle unter Beteiligung des EDV-Referats abgestimmt werden. Zweckmäßigerweise sollte auch die Anmeldung zum Datenschutzregister durch oder unter Beteiligung des behördlichen Datenschutzbeauftragten erfolgen. Das Verfahrensverzeichnis muss zu Beginn der Anwendung aktualisiert sein und auf dem neuesten Stand gehalten werden.

Wie ist die Anmeldung zum Datenschutzregister vorzunehmen?

Die Anmeldung zum Datenschutzregister ist so rechtzeitig vorzunehmen, dass der LfD seiner Überwachungspflicht vor der erstmaligen Speicherung personenbezogener Daten nachkommen kann (§ 27 Abs. 1 LDSG). Abgesehen von zentral entwickelten Verfahren sollte dabei eine Sechswochenfrist nicht unterschritten werden. Nach § 27 Abs. 1 Satz 3 LDSG sind dem LfD auch wesentliche Änderungen bereits angemeldeter Verfahren fortlaufend mitzuteilen. Beispiele für wesentliche Änderungen sind die Erweiterung des Empfängerkreises bei der Übermittlung personenbezogener Daten, die Umwandlung einer Datenverarbeitung in eine Auftragsdatenverarbeitung sowie die Ausstattung eines PC, auf dem personenbezogene Daten verarbeitet werden, mit einem Internetanschluss.

Um den mit der Anmeldung zum Datenschutzregister verbundenen Verwaltungsaufwand so gering wie möglich zu halten, hat der LfD Anmeldevordrucke für Verwaltungsverfahren und, insb. zur Verwendung im Hochschulbereich, für wissenschaftliche Verfahren entwickelt. Diese Vordrucke werden den verantwortlichen Stellen kostenlos, auf Wunsch auch in elektronischer Form auf Diskette oder zum Download über das Internetangebot des LfD zur Verfügung gestellt. Die Verfahrensbeschreibung, die mit der Anmeldung vorzulegen ist, wurde in die Vordrucke integriert. Bei zentral entwickelten Verfahren besteht die Möglichkeit einer verkürzten Anmeldung, wenn das Verfahren durch die Fachaufsichtsbehörde oder eine beteiligte öffentliche Stelle erstmalig dem LfD mitgeteilt worden ist. Die vom Gesetz geforderte Zustimmung des LfD zur verkürzten Anmeldung liegt bezüglich solcher Verfahren vor, die in einer Anlage zu dem vom LfD zur Verfügung gestellten Anmeldevordruck genannt sind. Die Aufnahme eines zentral entwickelten Verfahrens in diese Anlage kann von jeder öffentlichen Stelle unter Beifügung einer vollständigen Anmeldung - insbesondere mit Verfahrensbeschreibung - angeregt werden. Voraussetzung ist nicht, dass das Verfahren bereits bei mehreren öffentlichen Stellen eingesetzt wird, sondern dass eine diesbezügliche Absicht besteht.

Welche Verfahren sind aufnahme- und anmeldepflichtig?

Unter Verfahren i.S. der §§ 10 Abs. 2 und 27 Abs. 1 LDSG ist eine definierte Aufgabe zu verstehen, zu deren Erfüllung personenbezogene Daten in einer oder mehreren Dateien verarbeitet werden. Ein Verfahren ist also nicht datei-, sondern aufgaben- und zweckbezogen. Anmeldepflichtig sind solche Verfahren der automatisierten Datenverarbeitung,

die aus einer oder mehreren Dateien mit personenbezogenen oder personenbeziehbaren Daten bestehen und

zur Erfüllung einer bestimmten Aufgabe der verantwortlichen Stelle dienen.

So ist bspw. eine Verfahrensbeschreibung zu erstellen für das Verfahren "Beihilfen", nicht für eine innerhalb dieses Verfahrens existierende "Personalstammdatei". Bedienen sich mehrere Ämter des gleichen Systems (beisp. Sozialamt, Finanzabteilung, Hauptamt und Ordnungsamt), so existieren im Rechtssinne mehrere Verfahren. Verfahren sind beisp. das Automatisierte Liegenschaftsbuch (ALB), das Beihilfeabrechnungsverfahren (BABSY), die Computerunterstützung der Staatsanwaltschaft (CUST), die Mainzer Automatisierte Justiz-Anwendung (MAJA), das Sozialhilfeverfahren (PROSOZ) oder das Wahlscheinverfahren (ISIS).

Wann ist eine Aufnahme in das Verfahrensverzeichnis bzw. eine Anmeldung zum Datenschutzregister entbehrlich?

Keiner Aufnahme in das Verzeichnis bedürfen Verfahren, deren alleiniger Zweck das Führen eines Registers ist, das zur Information der Öffentlichkeit bestimmt ist und allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht. Dies ist etwa der Fall für die Einsichtnahme in das Handelsregister (§ 9 HGB) das Vereinsregister (§ 79 BGB).

Die Verpflichtung zur Aufnahme in das Verfahrensverzeichnis gilt weiterhin nicht für solche Verfahren, die aus verarbeitungstechnischen Gründen für einen Zeitraum von nicht mehr als drei Monaten eingerichtet werden.

Gleiches gilt, wenn personenbezogene Daten nur erhoben, aber nicht gespeichert werden. Dies ist beisp. dann der Fall, wenn Daten im automatisierten Verfahren übermittelt werden und der Übermittlungsempfänger nur über einen Bildschirm verfügt, der ihm das Lesen der Daten ermöglicht, eine Speicherung jedoch nicht zulässt. Anders ist dies, wenn die Daten von einem PC empfangen und weiterverarbeitet werden.

Schließlich sind Verfahren, die im Rahmen der allgemeinen Verwaltungstätigkeit öffentlicher Stellen zum Einsatz kommen (z.B.: Textverarbeitung, Bürokommunikation, Tabellenkalkulationsprogramme) und bei denen nur wenig sensitive Daten verarbeitet werden, nicht in das Verzeichnis nach § 10 Abs. 2 LDSG aufzunehmen.

Beispiele: Geburtstagslisten in der Personalverwaltung oder allgemeine Adresslisten ohne nähere Bezeichnung des Grundes der Speicherung. Anmeldepflichtig sind demgegenüber folgende Verfahren mit Adressdaten: Datei der Beschwerdeführer bei einer Verwaltung unter Angabe des Betreffs; Datei der an einem bestimmten Planfeststellungsverfahren Beteiligten, Datei des Gesundheitsamtes über die HIV-Infizierten im Landkreis.

Welche Sonderregelungen gelten für Gerichte und den Rechnungshof?

Für die Gerichte und den Rechnungshof besteht die Verpflichtung zur Führung des Verfahrensverzeichnisses nur, soweit sie in Verwaltungsangelegenheiten tätig werden. Für die Gerichte bedeutet dies, dass nur der Bereich der richterlichen Unabhängigkeit von dieser Ausnahmeregelung betroffen ist. In dem Umfang, in dem dem Justizministerium Weisungsbefugnisse zustehen, sind im Bereich der Datenverarbeitung der Gerichte externe Kontrollen und die damit verbundenen Pflichten hinzunehmen.

Unter welchen Voraussetzungen ist das Verfahrensverzeichnis bzw. das Datenschutzregister jedermann verfügbar zu machen?

Der behördliche Datenschutzbeauftragte hat die Aufgabe, jedermann auf Antrag einen Auszug aus dem Verfahrensverzeichnis in geeigneter Weise verfügbar zu machen (§ 11 Abs. 3 Nr. 4 LDSG). Dies kann etwa durch die Gewährung von Einsicht in das Verfahrensverzeichnis oder die Erstellung eines Ausdrucks erfolgen.

Ausgenommen sind:

Informationen über einzelne technisch-organisatorische Datenschutzmaßnahmen (z.B. Zugriffsausgestaltungen)

bestimmte sicherheitsrelevante Verfahren

bestimmte Verfahren der Finanzverwaltung und des Rechnungshofs.

In Bezug auf das Datenschutzregister enthält § 27 Abs. 4 LDSG eine entsprechende Regelung.

Welche Daten sind in das Verfahrensverzeichnis aufzunehmen?

§ 10 Abs. 2 LDSG enthält einen abschließenden Katalog der Daten, die für jedes Verfahren zu dokumentieren und im Rahmen der Anmeldung dem LfD mitzuteilen sind:

Name und Anschrift der verantwortlichen Stelle

Bezeichnung des Verfahrens einschließlich des eingesetzten Betriebssystems und der genutzten Programme

Rechtsgrundlage und Zweckbestimmungen der Datenverarbeitung

Die Zwecke der Datenverarbeitung ergeben sich vielfach unmittelbar aus der gesetzlich oder satzungsrechtlich geregelten Verwaltungsaufgabe. Dieser Zweck ist in der Verfahrensbeschreibung ausdrücklich zu benennen bzw. festzulegen (z.B.: "Erteilung von Baugenehmigungen", "Abrechnung der Abfallbeseitigungsgebühren" oder "Abrechnung von Reisekosten").

Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien

Bei der hier vorzunehmenden Festlegung können auch mehrere Datenarten zusammengefasst werden, wenn die Transparenz gewährleistet ist und sich die Festlegung auf Informationen beschränkt, die aus dem Sammelbegriff ohne weiteres erkennbar sind. Lässt sich aus dem Sammelbegriff allerdings nicht ohne weiteres auf die einzelnen Speicherungsanlässe schließen, bedarf es einer weiter gehenden Konkretisierung. Wird beisp. im Rahmen eines Zeiterfassungssystems auch der jeweilige Anlass ("Krankheit", "Urlaub", "Sonderurlaub") auswertbar festgehalten, bedürfte der Begriff "Fehlzeiten" einer weiter gehenden Konkretisierung.

Steht programmseits eine vollständige Datensatzbeschreibung oder eine Dokumentation der Erfassungsmasken zur Verfügung, ist die Benennung der vorgenannten Angaben entbehrlich.

Empfangende Stellen oder Kategorien von empfangenden Stellen, denen die Daten mitgeteilt werden können

Die Dokumentationspflicht gilt auch für solche Daten, die innerhalb einer verantwortlichen Stelle weitergegeben werden. Werden Daten in Listen oder in anderer visuell lesbarer Form (regelmäßig) empfangen oder weitergegeben, so ist dies in der Verfahrensbeschreibung zu dokumentieren.

Regelfristen für die Sperrung und Löschung der Daten

In der Verfahrensbeschreibung sind auch die Dauer der Speicherung personenbezogener Daten nach Maßgabe der hierfür geltenden Rechtsvorschriften (z.B. § 102f LBG) festzulegen. Soweit nicht ohnehin gesetzliche oder in Verwaltungsvorschriften Regelungen über die Speicherungsdauer getroffen sind, Bedarf es insoweit nach § 19 Abs. 2 Nr. 2 LDSG der Festlegung, für welchen Zeitraum die jeweiligen personenbezogenen Daten automatisiert verarbeitet werden dürfen. Die Vorschriften des Landesarchivgesetzes, insb. über die Anbietungspflicht gem. § 7, sind dabei zu beachten.

Verarbeitung personenbezogener Daten im Auftrag

Hier ist konkret zu benennen, welche personenbezogenen Daten in welchem Umfang durch welche auftragnehmende Stelle verarbeitet werden. Auftragsdatenverarbeitung liegt auch vor, wenn im Falle der Fernwartung von DV-Systemen bei der verantwortlichen Stelle gespeicherte personenbezogene Daten vom Dienstleister zur Kenntnis genommen werden können.

Zugriffsberechtigte Personengruppen oder Personen, die allein zugriffsberechtigt sind

Werden personenbezogene Daten im Rahmen eines automatisierten Übermittlungsverfahrens zum Abruf bereitgehalten, sind auch die abrufberechtigten Personen außerhalb der Dienststelle in der Verfahrensbeschreibung zu dokumentieren. Ist einer Vielzahl von Personen der Zugriff auf Stamm- oder Grunddaten eingeräumt, reicht regelmäßig die Benennung der Gruppe der zugriffsberechtigten Personen ("Personalsachbearbeiter", "Sachbearbeiter im Meldewesen") aus. Eine namentliche Benennung kommt nur dann in Betracht, wenn nur eine Person zugriffsberechtigt ist oder es sich um besonders sensible Daten (vgl. § 3 Abs. 9 LDSG) handelt.

Ergänzende technische und organisatorische Maßnahmen nach § 9 LDSG

Soweit nicht bereits in der allgemeinen Dienstanweisung nach § 9 Abs. 6 LDSG entsprechende Festlegungen getroffen sind, bedarf es entsprechender Ergänzungen für das konkrete Verfahren in der Verfahrensbeschreibung. Hierbei kann es sich um die Festlegung der Berechtigung einzelner Bediensteter zum Eingeben, Lesen, Löschen und Drucken personenbezogener Daten, Anordnungen zur Aufbewahrung oder zur Versendung von Datenträgern sowie sonstige Datensicherungsmaßnahmen handeln.

Datenschutzregister

Nach § 27 LDSG sind die im Verfahrensverzeichnis enthalten Angaben dem Landesbeauftragten für das Datenschutzregister zu melden.

Es besteht die Möglichkeit der Online-Anmeldung. Ergänzende Unterlagen lassen Sie uns unter Angabe der Anmelde-ID bitte per Post oder E-Mail an dsr@datenschutz.rlp.de zukommen.