NRW:Datenschutzbeauftragte

Datenschutzbeauftragte der Piraten NRW

Datenschutzbeauftragte: Susanne Holzgraefe

E-Mail: dsb_nrw@datenschutz.piratenpartei.de

Nächste Kurse

21. März 2015 im Zuge der OWL MV

Anmeldung per E-Mail an dsb_nrw@datenschutz.piratenpartei.de erforderlich

Im April im Zuge des LPT

Im Mai - Termin steht noch nicht fest

Verfahrensverzeichnisse

Was sind Verfahrensverzeichnisse und wofür werden sie gebraucht?

In §4d BDSG ist geregelt, dass Verfahren automatisierter Verarbeitung vor Ihrer Inbetriebnahme der zuständigen Aufsichtsbehörde zu melden sind. Die Meldepflicht entfällt, wenn ein Beauftragter für Datenschutz bestellt wird. Weiter geht aus §4d (5) hervor, dass Parteien der Vorabkontrolle unterliegen. Aus §4f BDSG geht hervor, dass diese Regelung auch für nicht automatisierte Verfahren gilt.

Die Vorabkontrolle soll durch den Beauftragten für Datenschutz durchgeführt werden. Dieser hat sich im Zweifelsfall an die Aufsichtsbehörde oder bei den Post- und Telekommunikationsunternehmen an den Bundesbeauftragten für den Datenschutz und an die Informationsfreiheit zu wenden.

Um eine Vorabkontrolle für ein Tool bzw. ein nicht automatisiertes Verwaltungsverfahren durchführen zu können, benötigt der Datenschutzbeauftragte das entsprechende Verfahrensverzeichnis inklusive der technischen und organisatorischen Maßnahmen (TOM). Werden darüber hinaus, Daten an andere Gliederungen oder Dritte zur Bearbeitung gegeben, oder wird für die Verarbeitung der Daten ein webbasiertes System genutzt, sind im Zuge der Angaben zu den TOM noch weitere Angaben / Formulare nach BDSG fällig.

Der Datenschutzbeauftragte ist nach §4g verpflichtet, die Punkte 1-8 der Verfahrensverzeichnisse nach erfolgreicher Vorabkontrolle im Zuge der Einführung des neuen Verfahrens auf Antrag für jedermann in geeigneter Weise zur Verfügung zu stellen.

Wer schreibt die Verfahrensverzeichnisse und wer verwaltet sie?

Die Verfahrensverzeichnisse werden in Rücksprache mit dem und nach Anleitung des zuständigen Datenschutzbeauftragten vom Vorstand bzw. den Beauftragten erstellt. Für fast alle Verfahrensverzeichnisse ist die Mithilfe der Technik notwendig.

Zum Thema Erstellung, Pflege und Verwaltung von Verfahrensverzeichnissen gibt es ein paar gesetzliche Regelungen und Vorschriften:

• Der Datenschutzbeauftragte gibt vor, wie und in welcher Form er die Verfahrensverzeichnis haben möchte
• Der Datenschutzbeauftragte ist für die Verwaltung der Verzeichnisse verantwortlich
• Der Datenschutzbeauftragte darf die Verzeichnisse nicht selbst erstellen
• Der Datenschutzbeauftragte darf beratend bei der Erstellung zur Seite stehen
• Für die Erstellung der Verzeichnisse ist der Vorstand verantwortlich
• Der Vorstand darf die Erstellung an die zuständigen bzw. leitenden Beauftragten bzw. die Technik delegieren

Welche Angaben sind für ein Verfahrensverzeichnis erforderlich?

Für meldepflichtige Verfahren sind nach §4e BDSGdie folgenden Angaben zu machen:

1. Name oder Firma der verantwortlichen Stelle nach BDSG §3 (7)
   • das ist in unserem Fall (NRW) entweder ein bestimmter Kreisverband, der Landesverband NRW oder der Bundesverband
   • es kann nur eine Gliederung verantwortlich sein. Welche das ist, ergibt sich aus den Satzungen sowie dem Parteien- und Vereinsrecht
2. Vorstände und die mit der Leitung beauftragten Personen
   • Hier müssen alle aktuellen Vorstandsmitglieder namentlich benannt werden
   • Darüber hinaus, muss hier ein Vorstandsmitglied festgelegt und namentlich genannt werden, das die leitenden Position für das Verfahren übernimmt. Beim Personal ist es der Personalleiter, bei der Mitgliederverwaltung und Technik in der Regel der Generalsekretär, bei der Buchhaltung der Schatzmeister usw.
   • Ist hier zusätzlich ein leitender Beauftragter bestellt, so ist auch dieser namentlich zu nennen.
3. Anschrift der verantwortlichen Stelle
4. Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung
   • Hier muss genau beschrieben werden, zu welchem Zweck die Daten angefragt und verwendet werden. Möglichst unter Angabe der rechtlichen Grundlagen.
   • Daten, die nicht zur Zweckerfüllung benötigt werden, dürfen nicht so ohne weiteres erhoben werden.
   • Beispiele: Angabe der Schuhgröße ist für eine Parteimitgliedschaft nicht erforderlich und darf daher nicht angefragt werden. PartG §10 sagt, dass nur Personen, die das Wahlrecht besitzen, Mitglied einer Partei werden dürfen. Daher dürfen für die Aufnahme von Mitgliedern die Angaben zum Geburtsdatum sowie zur Staatsangehörigkeit angefragt werden.
5. Eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien
   • Beispiele: Personengruppe: Mitarbeiter, Daten: Name, Anschrift, Geburtsdatum, Bankverbindung, Sozialversicherungsnummer, Krankenkasse, Steuer-ID
   • Anderes Beispiel: Personengruppe: Mitglieder, Daten: Name, Wohnort, E-Mail-Adresse, Geburtsdatum, Staatsangehörigkeit, SEPA-Mandat
6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden
   • das können sein: der Bundesverband, bestimmte Kreisverbände, Landes- bzw. Bundesschiedsgericht, Datenschutzbeauftragter, Betriebsrat, weitere Vorstandsmitglieder (über das leitende Vorstandsmitglied hinaus), Steuerberater, Gerichte, Anwälte (z.B. bei einem Arbeitsprozess) usw.
7. Regelfristen zur Löschung
   • Daten sind nach Zweckerfüllung umgehend zu löschen bzw. zu vernichten, es sei denn ein anderes Gesetz verlangt die Aufbewahren. Dann sind sie umgehend zu sperren und nach Ende der Aufbewahrungsfrist umgehend zu löschen bzw. zu vernichten.
   • Es dürfen nur und ausschließlich die Daten aufgehoben werden, die für die Erfüllung der Aufbewahrungsfrist anderer Gesetze erforderlich sind.
   • Beispiel: Das Steuerrecht verlangt eine Aufbewahrungsfrist von 10 Jahre - Das SEPA-Mandat eines Ex-Mitgliedes muss 10 Jahre lang aufbewahrt werden, das Geburtsdatum des Mitgliedes sollte gleich nach Überprüfung des Alters für das Wahlrecht gelöscht / vernichtet werden.
   • In diesem Punkt muss genau festgelegt werden, welches Datum wann und wie gelöscht / vernichtet wird
8. Eine geplante Datenübermittlung in Drittstaaten
   • In der Regel haben wir keine personenbezogenen bzw. personenbeziehbaren Daten, die wir an Drittstaaten übermitteln
9. Eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach $9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.
   • Dieser Punkt ist aus Gründen der Sicherheit nicht öffentlich
   • Hier werden die technischen und organisatorischen Maßnahmen (TOM) nach BDSG §9 sowie der Anlage zu §9 Satz 1 beschrieben.
   • Dieser Punkt regelt:
     • Zutritte zu Räumen
     • Zugänge zu Maschinen und Schränken
     • Zugriffe auf Datensätze und Akten
     • Transport und Übertragung der Daten
     • wer, wann und wie Daten eingibt / ablegt bzw. verarbeitet
     • welche Maßnahmen ergriffen werden, um zu kontrollieren, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend der Weisungen des Auftraggebers verarbeitet werden
     • Welche Maßnahmen zum Schutz gegen Zerstörung und Verlust der Daten getroffen werden (z.B. Backup, Replikation, ...)
     • Welche Maßnahmen ergriffen werden, um zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können

Verfahrensverzeichnisse

Leider wurde in der Vergangenheit die Vorabkontrolle versäumt. Die Verfahrensverzeichnisse sind noch in Bearbeitung, damit schnellstmöglich eine Vorabkontrolle nachgeholt werden kann.

• vv_1001 Personalverwaltung
• vv_2001 Verwaltung der Beauftragungen
• vv_3001 Verwaltung von Mitgliedern ohne weitere Unterglieder
• vv_4001 Verwaltung von persönlichen E-Mail-Adressen
• vv_5001 Verwaltung der Mailingliste Nordrhein-Westfalen
• vv_6001 E-Mail-Verwaltung des Vorstandes
• vv_6002 E-Mail-Verwaltung des Schatzmeisters
• vv_6003 E-Mail-Verwaltung der Verwaltung

Erläuterung der Aktenzeichen für Verfahrensverzeichnisse

• Das Aktenzeichen für ein Verfahrensverzeichnis beginnt mit vv (Abk. für Verfahrensverzeichnis) gefolgt von einem Unterstrich.
• Die erste Zahl hinter dem Unterstrich zeigt die Nummer der Kategorie an. Folgende Kategorien wurden festgelegt:
  1. Personalwesen / Mitarbeiterverwaltung
  2. Verwaltung von und Informationen zu Beauftragten und Organen
  3. Verwaltung von Mitgliedern
  4. Verwaltung von E-Mail-Adressen und Accounts anderer Kommunikatonslösungen
  5. Verwaltung von Informations- und Diskussions-Mailinglisten
  6. Verwaltung von E-Mails an Personengruppen
• Am Ende folgt ein bei 1 beginnender, fortlaufender dreistelliger Ziffernblock als eindeutige Identifizierung der den Kategorien zugeordneten, einzelnen Verfahrensverzeichnissen

Tätigkeitsberichte

• 2015 KW 8-10
• 2015 KW 6-8

Weitere Infos

Folgen ...