Diese Verordnung regelt die automatisierte Verarbeitung personenbezogener Daten durch die VVVD. Eine ordnungsgemäße automatisierte Verarbeitung personenbezogener Daten liegt vor, wenn ein Sicherheitskonzept besteht, die informationstechnischen Geräte und die Programme getestet sind und das automatisierte Verfahren freigegeben und dokumentiert ist. Soweit besondere Rechtsvorschriften die Einzelheiten der automatisierten Verarbeitung personenbezogener Daten regeln, finden die Vorschriften dieser Verordnung keine Anwendung.
Im Sinne dieser Verordnung sind
Arbeitsabläufe mit Hilfe von informationstechnischen Geräten, Programmen und automatisierten Dateien,
die apparative Ausstattung von automatisierten Verfahren (Hardware),
Arbeitsanweisungen an informationstechnische Geräte (Software).
Automatisierte Verfahren sind zu dokumentieren. Die Dokumentation muss eine Darstellung des Verfahrenszwecks (Abschnitt 5), die Verfahrensbeschreibung (Abschnitt 6), das Sicherheitskonzept (Abschnitt 7) und die Tests und die Freigabe (Abschnitt 8) enthalten.
Die Dokumentation muss für sachkundige Personen in angemessener Zeit nachvollziehbar sein. Sie ist nach jeder Änderung des automatisierten Verfahrens fortzuschreiben und mindestens solange aufzubewahren, wie mit den dokumentierten Programmen auf die automatisierten Dateien zurückgegriffen werden kann. Werden Daten ausschließlich in automatisierten Dateien vorgehalten, ist die Dokumentation solange aufzubewahren, wie die durch die dokumentierten Programme erzeugten Daten gespeichert sind.
Die Dokumentation von automatisierten Verfahren, die der Übermittlung von personenbezogenen Daten dient, ist fünf Jahre seit der letzten Datenübermittlung aufzubewahren, es sei denn, es besteht eine andere gesetzliche Aufbewahrungsfrist. Es besteht keine Aufbewahrungsfrist, wenn die übermittelten Daten in Schriftform vorliegen.
Die Dokumentationen mehrerer automatisierter Verfahren können zusammengefasst werden.
Zum Nachweis der Zweckbestimmung des automatisierten Verfahrens nach dem BDSG sind die technischen und organisatorischen Vorgaben für die Verarbeitung sowie die erzielbaren Ergebnisse in einem Informationstechnischen Konzept zu beschreiben
Die automatisierten Verfahren müssen so bezeichnet sein, dass eine eindeutige Abgrenzung zu anderen Verfahren gewährleistet ist. Die eingesetzten Programme und ihre Beziehungen zueinander sind darzustellen.
Die Programme sind grundsätzlich in der Ausgangsprogrammiersprache (Quell"=Code) zu dokumentieren. Soweit nur Nutzungsrechte an Programmen bestehen (Fremdsoftware), kann die Programmdokumentation auf die Herstellerangabe (Lizenzgeber), die Programmbezeichnung und die Versions"=Nummer sowie die genutzten Programmsteuerungsbefehle (Parameter) begrenzt werden.
Soweit Daten durch eine Auftragnehmerin oder einen Auftragnehmer verarbeitet werden, sind die betreffenden Verfahrensteile unter Hinweis auf die schriftlichen Aufträge nach dem BDSG kenntlich zu machen.
Auf der Grundlage des Verfahrenszwecks (Abschnitt 7) hat die datenverarbeitende Stelle in einem Sicherheitskonzept darzustellen, welche technischen und organisatorischen Maßnahmen unter Berücksichtigung der tatsächlichen örtlichen und personellen Gegebenheiten getroffen wurden, um die Anforderungen des BDSG zu erfüllen. Sie hat auch festzulegen, in welchem Umfang Verfahrensabläufe zur Durchführung von Kontrollen nach dem BDSG zu protokollieren sind.
Werden mittels der automatisierten Verfahren personenbezogene Daten im Sinne des BDSG verarbeitet, ist neben der Darstellung in einer Risikoanalyse zu beschreiben, welche Sicherheitsrisiken aus welchen Gründen nicht oder nur zum Teil durch die getroffenen Maßnahmen ausgeschlossen werden können. Die Risikoanalyse ist als Verschlusssache (VS- Nur für den Bundesfachausschuss für Datenschutz) einzustufen.
Das Sicherheitskonzept und die Risikoanalyse können für mehrere Verfahren zusammengefasst werden.
Die in automatisierten Verfahren eingesetzten Programme sowie die im Sicherheitskonzept (Abschnitt 7) festgelegten Maßnahmen sind vor der Aufnahme der Verarbeitung personenbezogener Daten zu testen. Die Testmaßnahmen und Ergebnisse sowie die bei den Tests eingesetzten informationstechnischen Geräte und Programme sind zu protokollieren.
Die vorzunehmende Freigabe automatisierter Verfahren hat schriftlich durch den Bundesbeauftragten für den Datenschutz der VVVD zu erfolgen.
Die von der datenverarbeitenden Stelle eingesetzten informationstechnischen Geräte sind in einem Verzeichnis zu erfassen, das Auskunft gibt über die Bezeichnung des Gerätes, den Standort und bei Vernetzungen über die Einbindung in das Netzwerk.
Die von der datenverarbeitenden Stelle nutzbaren Programme sind in einem Verzeichnis zu erfassen, das Auskunft gibt über die Bezeichnung des Programms und die Bezeichnung des informationstechnischen Gerätes, auf dem das Programm gespeichert ist. Sind Programme nur in Verbindung mit anderen nutzbar, können sie in dem Verzeichnis als Programmgruppe dargestellt werden. Das gilt insbesondere für Programme im Sinne von Abschnitt 6 Abs. 2.
Die Verzeichnisse nach den Absätzen 1 und 2 (Geräte- und Programmverzeichnis) sind entbehrlich, wenn die genannten Auskünfte über die informationstechnischen Geräte oder die Programme im Inventarverzeichnis enthalten sind.
Als Grundlage für die Maßnahmen nach dem BDSG ist zu dokumentieren, welchen Personen welche Nutzungsrechte an welchen informationstechnischen Geräten, Programmen und automatisierten Dateien für welche Zeiträume gewährt wurden.
Als Grundlage für die Kontrolle ist zu dokumentieren, welche Personen für welche Zeiträume befugt sind, Änderungen an der Funktionsweise der informationstechnischen Geräte, an den Programmen, an der Speicherorganisation der automatisierten Dateien und den Nutzungsrechten nach Absatz 4 vorzunehmen. Die Protokolle nach dem BDSG müssen Aussagen enthalten über den Zeitpunkt des ändernden Zugriffs, die Gründe für den Zugriff, die veranlassenden und ausführenden Personen, die Art der Änderungen und den Zeitpunkt der Kontrolle und die kontrollierende Person. Satz 1 gilt nicht für Personen, denen informationstechnische Geräte von der datenverarbeitenden Stelle zum ausschließlich eigenverantwortlichen Betrieb überlassen worden sind.
Die nach den Absätzen 1 bis 5 zu erstellenden Aufzeichnungen sind
mindestens fünf Jahre aufzubewahren. Soweit sie in automatisierten Dateien
gespeichert werden, gilt diese Frist auch für die Dokumentation der
Datei- und Datenstrukturen.