Nach § 19 BlnDSG hat jede Stelle, die „automatisierte Verarbeitungen“ (=IT-Verfahren, in denen personenbezogenen Daten verarbeitet werden) betreibt, bestimmte Angaben zu diesen Verfahren schriftlich festzuhalten, die sog. Dateibeschreibungen*.
Diese gesetzliche Verpflichtung (!!) zur Erstellung trifft die jeweilige Stelle, welche das Verfahren verantwortlich einsetzt oder betreibt. Wer das jeweils ist, hängt vom Verfahren ab. Es kann (muss aber nicht) das Rechenzentrum sein, aber auch die jeweilige Abteilung, Institut, Forschungseinrichtung, Lehrstuhl…
Die Dateibeschreibung fasst u.a. zusammen, welche Daten zu welchem Zweck und auf welcher Rechtsgrundlage verarbeitet werden, welche Personen in welchem Umfang Zugang haben.
Gesammelt und als Liste geführt werden die Dateibeschreibungen beim Behördlichen Datenschutzbeauftragten (BehDSB). Der Inhalt der Dateibeschreibung ist gesetzlich vorgegeben. Für die HU sind diese Vorgaben in einem Formular zusammengefasst, welches man auf den Seiten der BehDSB’en herunterladen kann. Dort findet sich zum Download auch ein Informationspapier mit weiteren Tipps zum Ausfüllen.
Ansonsten gilt (wie immer): Bei Unklarheiten hilft die/der BehDSB gern weiter.
—
* In anderen Landesdatenschutzgesetzen sowie dem Bundesdatenschutzgesetz wird von „Verfahrensverzeichnis“ gesprochen, nach Inhalt und Zweck ergeben sich aber keine nennenswerten Unterschiede.