Gütesiegel für Verfahrensregister, Version 1.0 (2014)
Rezertifiziert am 10.08.2016
Befristet bis 10.08.2018
Erstzertifizierung am 06.09.2006
Unterstützung des betrieblichen Datenschutzbeauftragten bei der Erstellung und Verwaltung eines Verfahrensregisters
Kurzgutachten:
- Rezertifizierung 2016
- Rezertifizierung 2014
- Rezertifizierung 2012
- Rezertifizierung 2010
- Rezertifizierung 2008
- Erstzertifizierung 2006
Textfassung nachfolgend
Kurzgutachten
FinanzIT Verfahrensregister 2.1
Zeitpunkt der Prüfung
11. Juli 2006 bis zum 30. August 2006
Adresse des Antragstellers
FinanzIT GmbH
Laatzener Straße 5
30539 Hannover
Adressen des/der Sachverständigen
Rechtsanwalt Stephan Hansen-Oest
Speicherlinie 40
24937 Flensburg
sh@datenschutzkontor.deDipl. Inf. (FH) Andreas Bethke
An de Au 6
25548 Mühlenbarbek
ab@datenschutzkontor.de
Kurzbezeichnung des IT-Produktes
Verfahrensregister 2.1
Detaillierte Bezeichnung des IT-Produktes
Das IT-Produkt „Verfahrensregister 2.1“ kommt bei bei den Kunden der FinanzIT GmbH, vornehmlich den Sparkassen und Bausparkassen im FinanzIT Verbundgebiet zum Einsatz. Es unterstützt die verantwortliche Stelle und dessen betrieblichen Datenschutzbeauftragten bei der Erstellung und Pflege der gesetzlich erforderlichen Verfahrensübersicht.
Nach § 4g Abs. 2 BDSG muss die verantwortliche Stelle dem behördlichen bzw. betrieblichen Beauftragten für den Datenschutz eine Übersicht der in § 4e Satz 1 genannten Angaben, also den Inhalten der Meldepflicht, zur Verfügung zu stellen. Das Produkt Verfahrensregister 2.1 bildet genau diese Arbeitsschritte ab und erleichtert damit sowohl der verantwortlichen Stelle wie auch dem behördlichen bzw. betrieblichen Datenschutzbeauftragten die Erfüllung der gesetzlichen Aufgaben. Mit der Verfahrensregister-Software der FinanzIT werden die jeweiligen Fachabteilungen bzw. verantwortlichen Personen in die Lage versetzt auf digitalem Wege die dem betrieblichen Datenschutzbeauftragten nach § 4g Abs. 2 Satz 1 BDSG zu erteilenden Informationen zur Verfügung zu stellen. Der Datenschutzbeauftragte kann dann nach Prüfung der erteilten Informationen ggf. eine Freigabe des Verfahrens erteilen oder eine erneute Bearbeitung initiieren.
Das Produkt wird den Sparkassen derzeit über eine Lotus-Notes-Schnittstelle zur Verfügung gestellt. Da ein großer Teil der Sparkassen dieselben automatisierten Verfahren einsetzt, kann ein Großteil des Datenbestandes in der Verfahrensübersicht bereits durch die FinanzIT den Sparkassen und Bausparkassen über eine Replizierung der Datenbank zur Verfügung gestellt werden und das Führen der Verfahrensübersicht für die verantwortliche Stelle wesentlich erleichtern.Primärdaten werden mit dem Produkt nicht verarbeitet. Es fallen jedoch sog. Protokolldaten an, aus denen zwar ein Personenbezug hergestellt werden kann, Hauptzweck der Protokollierung ist jedoch die Archivierung der jeweiligen Versionsstände der Verfahren.
Tools, die zur Herstellung des IT-Produktes verwendet wurden
- Lotus Notes 6
- Domino Server 6
Zweck und Einsatzbereich
Das Produkt dient der Erstellung und Pflege einer Verfahrensübersicht i.S.d. §§ 4d, 4g Abs. 2 Satz 1 BDSG und kann entsprechend bei verantwortlichen Stellen für die Erfassung einer Übersicht über die Verfahren, mit denen automatisiert personenbezogene Daten verarbeitet werden, eingesetzt werden. Das Produkt ist derzeit für den Einsatz bei Finanzinstituten und insbesondere bei Sparkassen konfiguriert. Da Sparkassen i.d.R. als Körperschaften öffentlichen Rechts organisiert sind, ist das Verfahren grundsätzlich auch für den Einsatz bei bzw. durch öffentliche Stellen des Landes Schleswig-Holstein geeignet.
Modellierung des Datenflusses
Version des Anforderungskatalogs, die der Prüfung zugrunde gelegt wurde
V 1.2
Zusammenfassung der Prüfungsergebnisse
Zusammenfassend kann das Produkt „Verfahrensregister“ als insgesamt vorbildlich umgesetzt bewertet werden. Das Produkt bildet die gesetzlichen Anforderungen vollständig und nach der ausdrücklichen Vorstellungen des Gesetzgebers im Hinblick auf die Verantwortlichkeiten optimal ab. Dabei lehnt sich das Produkt bei der Umsetzung ganz eng an den Gesetzeswortlaut an.
Gegen die Verarbeitung personenbezogener Daten mit dem Produkt bestehen keinerlei datenschutzrechtliche Bedenken. Primärdaten werden mit dem Produkt nicht erhoben, verarbeitet oder genutzt. Die Protokolldaten, aus denen ein Personenbezug hervorgehen kann, werden in zulässiger Art und Weise gespeichert. Die besondere Zweckbindung i.S.d. § 23 Abs. 2 LDSG-SH und § 31 BDSG wird beim Einsatz des Produktes gewahrt. Das Produkt dient insbesondere nicht dazu, die Protokolldaten zur Verhaltens- und Leistungskontrolle von Beschäftigten auszuwerten. Dennoch sind von der jeweiligen verantwortlichen Stelle ggf. zusätzliche organisatorische Maßnahmen zu treffen. Dies ergibt sich aber schon aus den jeweiligen Mitbestimmungsrechten von Personal- bzw. Betriebsrat.
Die FinanzIT GmbH hat die erforderlichen technischen und organisatorischen Maßnahmen zur Datensicherheit getroffen.
Beschreibung, wie das IT-Produkt den Datenschutz fördert
Das Produkt entspricht in seiner Ausrichtung und Ausgestaltung dem Ideal einer Software, die den Datenschutz und besonders die Tätigkeit des behördlichen bzw. betrieblichen Datenschutzbeauftragten fördert. Dies verdient eine insgesamt vorbildliche Bewertung.
Positiv ist ferner zu bewerten, dass den Produktanwendern beim Ausfüllen der entsprechenden Formularfelder gute Hinweise gegeben werden, die die Eingabe der erforderlichen Daten erleichtern, was den Datenschutz bzw. die Einhaltung der datenschutzrechtlichen Anforderungen erheblich fördert.
