Datenschutzgrundverordnung ante portas

Eine neue Zeitrechnung!

| Autor / Redakteur: Prof. Dr. Wilfried Bernhardt, Staatssekretär a.D. / Manfred Klein

Auch Behörden auf staatlicher und kommunaler Ebene stehen mit der DSGVO-Einführung vor besonderen organisatorischen Herausforderungen
Auch Behörden auf staatlicher und kommunaler Ebene stehen mit der DSGVO-Einführung vor besonderen organisatorischen Herausforderungen (Bild: © Oliver Boehmer / bluedesign – AdobeStock.com)

Die im Mai 2016 in Kraft getretene Datenschutzgrundverordnung (DSGVO) und das neu gefasste Bundesdatenschutzgesetz (BDSG 2018), und auch neu formulierte Landesdatenschutzgesetze – die Arbeiten der Landesgesetzgeber dauern noch an – sehen ab dem 25. Mai 2018 erweiterte Pflichten vor und richten höhere technische und organisatorische Anforderungen nicht nur an die Unternehmen, sondern auch an die Kommunen.

Viel ist in der Vergangenheit geschrieben und gesprochen worden über „Highlights“ der DSGVO wie das Recht auf Vergessenwerden, den Anspruch auf Datenportabilität, die Grundsätze Privacy by Design und Privacy by Default, die neuen erweiterten Regelungen für die Einholung einer informierten Einwilligung des Betroffenen oder die erheblich verschärften Sanktionsregelungen, die nach Art. 83 DSGVO bis zu 4 Prozent des weltweiten Konzernumsatzes im Falle von Verletzungen der Datenschutzregelungen erreichen können.

Herausforderungen für Behörden

Dabei kam in den öffentlichen Diskussionen manchmal zu kurz, dass auch Behörden auf staatlicher und kommunaler Ebene vor besonderen organisatorischen Herausforderungen stehen. Denn gerade Behörden müssen häufig eine große Menge personenbezogener Daten verarbeiten. Deshalb haben sie in besonderem Maße für einen hohen Schutz ihrer Systeme vor Datenverlust und Datenmissbrauch zu sorgen.

Die wesentlichen bei der Datenverarbeitung zu beachtenden Grundsätze sind in Art. 5 Abs.1 DSGVO festgehalten. Sie gleichen stark den Prinzipien, die bereits aus dem traditionellen deutschen Datenschutzrecht bekannt sind: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit.

Für die Einhaltung dieser Grundsätze ist der „Verantwortliche“ im Rahmen einer Rechenschaftspflicht (Art. 24 DSGVO) verantwortlich. Diese – also auch die Erbringung der „Nachweise“ – wird vor allem auf der Basis des Verarbeitungsverzeichnisses (Art. 30 DSGVO) wahrgenommen. Verpflichtet ist insoweit „die Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ (Art. 4 Nr. 7 DSGVO).

In der Behörde steht zunächst die Leitungsebene in der Pflicht, die diese Aufgabe aber delegieren kann. Die Verantwortlichkeit für das Führen des Verarbeitungsverzeichnisses ist transparent festzulegen. Der Datenschutzbeauftragte ist insoweit nicht „verantwortlich“, vielmehr kommt ihm eine Beratungs- und Überwachungsaufgabe zu (vgl. Art. 39 Abs. 1 DSGVO).

Die Verfahren sind so einzurichten, dass Änderungen der Verarbeitungen oder neue Verarbeitungen im Verarbeitungsverzeichnis Berücksichtigung finden. Denn IT-Infrastrukturen und Datenverarbeitungen unterliegen einem kontinuierlichen Veränderungsprozess. Es ist zu empfehlen, die Verfahren zur Pflege des Verarbeitungsverzeichnisses möglichst zu automatisieren, um sie effizienter und fehlerfrei zu halten. Das Verzeichnis muss unter Berücksichtigung der Rahmenbedingungen und Risiken der Datenverarbeitung „geeignete technische und organisatorische Maßnahmen“ umsetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung DSGVO-konform erfolgt.

Im Gegensatz zu dem bisher im alten BDSG vorgesehenen „öffentlichen Verfahrensverzeichnis“ ist das Verarbeitungsverzeichnis nicht mehr öffentlich und muss gemäß Art. 30 Abs. 4 DSGVO nur noch auf Anfrage an die Aufsichtsbehörden übergeben werden, sollte also exportierbar sein – elektronisch oder schriftlich per Ausdruck (eine Zusammenstellung von Hyperlinks reicht also nicht). Es dient vor allem als Instrument der internen Kontrolle und zur Erleichterung der Erfüllung weiterer Pflichten. Im neuen Verzeichnis sind wesentliche Angaben zur Verarbeitung personenbezogener Daten und Maßnahmen zur Datensicherheit festzuhalten und auch aufzulisten, welche Dritte potenziell Zugriff auf Daten erhalten. Einzelheiten des Inhalts des Verarbeitungsverzeichnisses ergeben sich aus Art. 30: Zu erfassen sind u.a. der Name und die Kontaktdaten des Verantwortlichen beziehungsweise des Vertreters sowie des Datenschutzbeauftragten, die Zwecke der Verarbeitung, die Kategorien betroffener Personen, die Kategorien von Empfängern von offengelegten oder offenzulegenden Daten, gegebenenfalls Übermittlungen von personenbezogenen Daten an ein konkret zu benennendes Drittland oder an eine internationale Organisation.

Die Behörde sollte zudem entscheiden, ob es sinnvoll ist, weitere Angaben in das Verarbeitungsverzeichnis aufzunehmen, wie etwa Rechtfertigungen zur Datenverarbeitung. Das Verarbeitungsverzeichnis ist auch wichtig, um die Betroffenenrechte bedienen zu können: das Recht auf Information (Art. 13), das Recht auf Auskunft (Art. 15), das Recht auf Berichtigung (Art. 16), das Recht auf Löschung (Art. 17 ), das Recht auf Einschränkung der Datenverarbeitung (Art. 18), das Recht auf Datenübertragbarkeit (Art. 20), das Recht auf Widerspruch gegen die Datenverarbeitung (Art. 21) sowie das Recht auf Einzelfallprüfung bei automatisierten Entscheidungen (Art. 22).

Zwar schreibt die DSGVO ein Verarbeitungsverzeichnis erst ab einer Zahl von 250 Mitarbeitern vor. Allerdings ist auch von kleineren Behörden ein solches Verzeichnis zu führen, wenn die Verarbeitung nicht nur gelegentlich erfolgt oder die Verarbeitung sensible Daten einschließt. In Behörden dürften solche Datenverarbeitungen regelmäßig erfolgen, sodass dort ein Verarbeitungsverzeichnis zu führen ist.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45230827 / Projekte & Initiativen)