Aus der Reihe: "Die Aufsichtsbehörde antwortet..."
Fragen des Erfa-Kreises Nürnberg (AWC Datenschutz und Datensicherheit):
Frage 1: Wer ist für ein Verfahren im Unternehmen verantwortlich?
Antwort BayLDA:
Dies ist eine Entscheidung der Unternehmensleitung bzw. der von der Leitung insoweit bestimmten weiteren Verantwortlichen.
Ein Beispiel:
Für ein Kassen- und Automatensystem werden mit dem Firmenausweis Zahlungen geleistet. Mögliche Bezüge könnten in der Kantine oder an den Automaten z.B. Essgewohnheiten, Umsätze; aber auch Zeiten in denen während der Arbeitszeit gekauft wird. Die Serverplattform stellt die IT zur Verfügung. Die Betreuung der Software wird durch ein externes Unternehmen gemacht.
Frage 2: Trifft hier Auftragsdatenverarbeitung zu?
Antwort BayLDA:
Soweit bei Betreuung der Software (Wartung) durch das externe Unternehmen der Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, gilt dies als Auftragsdatenverarbeitung nach § 11 Abs. 5 BDSG.
Frage 3: Wer muss den Input für das Verfahrensverzeichnis liefern
- die Kantine?
- die Personalleitung, zu der die Kantine gehört?
- darf das die IT sein, die von den personenbezogenen Daten keine Ahnung hat?
Antwort BayLDA:
Wer hier die Arbeit machen muss, ist eine Entscheidung der Unternehmensleitung. Nach unseren Erfahrungen aus der Praxis muss sich – leider und nicht BDSG-gemäß - häufig der DSB das notwendige „Input“ für das Verfahrensverzeichnis holen, damit dies zügig und sachgerecht („mit Ahnung“) funktioniert.
Frage 4: Muss ein IT-Dienstleister für seine Kunden die Verfahrensverzeichnisse
erstellen?
Antwort BayLDA:
Nein, für die Verfahrensverzeichnisse sind die Kunden selbst verantwortlich. Der IT-Dienstleister muss -auf der vertraglichen Basis der Regelung nach § 11 BDSG- bei Bedarf die dafür notwendigen Informationen liefern.
(Foto: © peshkova/Fotolia.com)