Immer wieder scheitern Unternehmen bei der Erstellung ihres Verfahrenverzeichnisses daran, dass sie gar nicht richtig wissen, was ein Verfahren eigentlich genau ist. Wie soll man ein Verzeichnis von etwas anlegen, wenn man sich unsicher ist, was überhaupt gefragt ist? Wir versuchen hier mal etwas Licht ins Dunkel zu bringen.

INFO AUS BDSG UND RICHTLINIE

Was sagt eigentlich das BDSG dazu? Was ist denn überhaupt ein Verfahren? Überraschenderweise sagt das BDSG dazu nichts! Der Begriff ist abgeleitet aus den sogenannten Fachverfahren wie es sie in Behörden gibt. Eine Übertragung auf den nicht-öffentlichen Bereich ist daher nicht ganz einfach. Richtlinie 95/46/EG bezeichnet ein Verfahren in Artikel 18, Abs. 1 als eine „vollständig oder teilweise automatisierte Verarbeitung oder eine Mehrzahl von Verarbeitungen [die] zur Realisierung einer oder mehrerer verbundener Zweckbestimmungen durchgeführt wird.“

VERFAHREN = PROZESSE?

Man könnte sich hier die Frage stellen, ob denn dann ein Verfahren quasi ein Prozess ist. Jein! Zum einen können natürlich Prozesse Verfahren sein. Aber auch Teilprozesse können Verfahren sein. Genauso können aber auch einzelne Aktivitäten, IT-Systeme oder Produkte Verfahren darstellen. Deshalb ist aber noch lange nicht jeder Prozess, Teilprozess, IT-System, etc. automatisch auch ein Verfahren.

VERFAHRENSERMITTLUNG

Eine Methode zur Verfahrensermittlung kann so aussehen: Analysieren Sie die Prozesse. Dabei können Sie sich aber sofort auf diejenigen beschränken, die in irgendeiner Form personenbezogene Daten verarbeiten. Ermitteln Sie Systemgrenzen und schränken Sie auf wiederholbare und automatisierte Verfahren ein. Auch bei der Betrachtung der IT-Systeme sind nur die von Belang, die mit personenbezogene Daten agieren. Beachten Sie auch welche Systeme Daten an externe Stellen übertragen.

SYSTEMGRENZEN

Verfahren sind ganz häufig Verarbeitungen innerhalb der verantwortlichen Stelle. Beispiele hierfür finden sich in Personalverwaltung, Einkauf, Vertrieb, Marketing, Entwicklung, usw. Zu solchen Verfahren zählen z. B. Bewerbungsverfahren, Lohnabrechnung, Verarbeitung von Patientendaten im Arztinformationssystem oder auch die digital geführte Akte in einer Behörde. Verfahren können aber auch Übermittlungen an Niederlassungen im Europäischen Wirtschaftsraum beinhalten. Solche Prozesse betreffen meist mehrere Standorte. Aber natürlich können auch Übermittlungen an internationale Niederlassungen, Auftragsverarbeiter oder andere Dritte Verfahren darstellen. Sehr oft ist der Einsatz von technischen Diensten bzw. Produkten, mittels Datenflüssen ein Verfahren. Beispiele hierfür sind Support von Softwarelizenzen, Fernwartung samt Remotezugriff, Einsatz von Trackingverfahren auf der Internetseite oder sogar schon der Einsatz von Microsoft Office 365.

Ähnliche Artikel

Neue Leitlinie zur...

Das Deutsche Institut für Compliance e.V. (Dico) hat es sich zur Aufgabe gemacht, das...

Investitionen in...

Seit den Edward Snowden Enthüllungen wächst das Bewusstsein der deutschen Unternehmen...

Neues IT-Sicherheitsgesetz...

Wie wir bereits letzte Woche berichteten, wurde am 17. Dezember der aktuellste Entwurf...