Bundesamt für Sicherheit in der Informationstechnik

G 2.170 Fehlende Transparenz für den Betroffenen und die Datenschutz-Kontrollinstanzen

Werden personenbezogene Daten erhoben, ohne dass der Betroffene über die vorgesehene Verarbeitung und die Rechtsgrundlage unterrichtet wird, ist die Transparenz in Frage gestellt.

Sie ist auch in Frage gestellt, wenn ihm Angaben über die Herkunft und den Empfänger dieser Daten sowie Löschungsfristen vorenthalten werden.

Werden die Datenschutz-Kontrollinstanzen nicht rechtzeitig vor

  • der Einführung neuer Verfahren,
  • der Freigabe von Verfahren,
  • dem Erlass von Verwaltungsvorschriften,
  • der Einrichtung von automatisierten Abrufverfahren oder
  • einer Vergabe von Datenverarbeitung im Auftrag

informiert, werden sie daran gehindert, Vorschläge zur Verbesserung des Datenschutzes so rechtzeitig zu unterbreiten, dass noch eine Berücksichtigung bei der Verfahrensentwicklung möglich ist. Die Verantwortung für die Einhaltung der datenschutzrechtlichen Bestimmungen verbleibt auch bei Einbeziehung der Datenschutz-Kontrollinstanzen bei der datenverarbeitenden Stelle.

Durch fehlende oder mangelhafte Protokollierung und Dokumentation bei der Verarbeitung personenbezogener Daten und durch fehlende Aktualisierung bei Verfahrensänderungen wird die Arbeit der Kontrollinstanzen beeinträchtigt. Eine effektive Kontrolle kann auch durch unvollständige oder nicht aktualisierte Verzeichnisse der eingesetzten IT-Systeme, mangelhafte Konfigurationsübersichten und fehlende Verkabelungspläne gefährdet sein.

Fehlende oder unvollständige Meldungen zu den internen Verzeichnissen und, soweit gesetzlich vorgeschrieben, zu den öffentlichen Verzeichnissen gefährden die Transparenz der Datenverarbeitung für den Betroffenen und die Kontrollinstanzen.

Beispiele:

  • Einem Betroffenen ist durch eine unzulässige automatisierte Datenverarbeitung einer öffentlichen Stelle Schaden entstanden. Ein Versuch, durch Einsicht in das Verfahrensverzeichnis (soweit ein solches vorhanden ist) beim zuständigen Landesbeauftragten für den Datenschutz nähere Informationen zu erhalten, kann daran scheitern, dass dort keine Meldungen vorliegen oder dass in der Meldung, obwohl vorgeschrieben, die Partner durchgeführter Übermittlungen nicht genannt sind.
  • Wegen fehlender Verfahrensbeschreibungen weiß niemand in einer öffentlichen Stelle, welche Dateien von welchen Ämtern über welchen Bediensteten geführt werden.

Stand: 9. EL Stand 2007

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK