Pflichten des Datenschutzbeauftragten gegenüber Dritten

Ist ein Unternehmen zur Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet, treffen das Unternehmen eine Reihe von Verpflichtungen.

 

Nach § 4e BDSG muss jede private Stelle, die eine Meldepflicht nach § 4d BDSG trifft, den Umgang mit diesen Daten dokumentieren. Eine Meldepflicht besteht jedenfalls dann, wenn eine Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten besteht. Für diese Dokumentation hat sich die Bezeichnung "Verfahrensverzeichnis" oder "Verfahrensübersicht" eingebürgert.

 

Gemäß § 4g Abs. 2 S. 1 BDSG ist von der verantwortlichen Stelle eine Übersicht über die in § 4e Satz 1 BDSG genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen (häufig bezeichnet als "internes Verfahrensverzeichnis").

 

Soweit im Unternehmen ein Datenschutzbeauftragter ernannt ist, hat dieser gemäß § 4g Abs. 2 S. 2 BDSG Teile dieses "internen Verfahrensverzeichnisses" (konkret die Angaben nach § 4e Satz 1 Nr. 1 bis 8 BDSG) auf Antrag jedermann in geeigneter Weise verfügbar zu machen. Man spricht insoweit häufig vom "öffentlichen Verfahrensverzeichnis". Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stelle (dem Zahnarzt) zu diesem Zweck eine Übersicht über die in § 4e Satz 1 BDSG genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen. Hierbei handelt es sich um Angaben über:

  1. Name oder Firma der verantwortlichen Stelle,
  2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
  3. Anschrift der verantwortlichen Stelle,
  4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
  5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
  6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
  7. Regelfristen für die Löschung der Daten,
  8. eine geplante Datenübermittlung in Drittstaaten,
  9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 BDSG zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.

 

Wird das Verfahrensverzeichnis nicht oder nicht ordnungsgemäß geführt, ist mit einem Einschreiten der Aufsichtsbehörden zu rechnen, die häufig von Dritten informiert werden, wenn ein Unternehmen auf Anfrage kein Verfahrensverzeichnis vorlegen kann. Die Aufsichtsbehörden haben ausweislich des § 38 Abs. 4 BDSG einen Anspruch auf Einsicht des Verfahrensverzeichnisses. Liegt kein ordnungsgemäßes Verfahrensverzeichnis vor kann dies auch die Verhängung eines Zwangsgeldes zur Folge haben, um die Erstellung eines Verzeichnisses zu veranlassen.