Bundesamt für Sicherheit in der Informationstechnik

M 2.503 Aspekte eines Datenschutzkonzeptes

Verantwortlich für Initiierung: Datenschutzbeauftragter, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Datenschutzbeauftragter, IT-Sicherheitsbeauftragter

Für ein Unternehmen bzw. eine Behörde ist festzulegen und zu dokumentieren, welche Anforderungen des Datenschutzes bei der Verarbeitung personenbezogener Daten eingehalten werden müssen und wie diese Anforderungen umgesetzt worden sind. Damit können viele Fälle, in denen eingehende Untersuchungen und die Erstellung eines individuellen Datenschutzkonzeptes für einzelne Verfahren zu aufwendig sind, pauschal behandelt werden. Weiterhin ist damit eine Grundlage gegeben, die generell für alle IT-Systeme gültig und auch für neue IT-Systeme anwendbar ist, für die noch kein Datenschutzkonzept erarbeitet wurde.

Vorrangig sind natürlich die jeweils geltenden gesetzlichen Bestimmungen zu beachten. In diesem Umfeld gibt es allerdings allgemein gültige Aspekte, die bei der Verarbeitung personenbezogener Daten in der Regel zu berücksichtigen sind. Die genannten Aspekte sollen auch als Orientierungshilfe für individuelle Datenschutzkonzepte dienen.

Das Datenschutzkonzept hat zum Ziel, in einer zusammenfassenden Dokumentation die datenschutzrechtlichen Aspekte darzustellen und kann auch als Grundlage für datenschutzrechtliche Prüfungen genutzt werden.

Zu berücksichtigende Aspekte

  • Verzeichnis aller Verfahren
  • Umfang und Verwendung der zu verarbeitenden personenbezogenen Daten. Ist ein direkter Bezug (z. B. Adresse, Steuerdaten) oder ein indirekter Bezug vorhanden (z. B. Kfz-Kennzeichen, Flurstück)?
  • Rechtsgrundlage der Verarbeitung
  • Zweckbindung
  • Berücksichtigung besonderer Datenarten
  • Einhaltung von Datensparsamkeit, Datenvermeidung
  • Schutzbedarf der Daten: Schutzbedarfsfeststellung nach Schutzstufenkonzept und unter Berücksichtigung des Verwendungszusammenhangs (normal, hoch, sehr hoch) nach datenschutzrechtlichen Gesichtspunkten, Kategorienbetrachtung siehe BSI -Standard 100-2, Kapitel 4.2 oder auch Schutzstufenkonzepte in verschiedenen Bundesländern
  • Besonderheiten bei "Automatisierten Abrufverfahren"
  • Verbot automatisierter Bewertungen
  • Recht auf Auskunft, Berichtigung, Sperrung, Widerspruch, Schadensersatz
  • Vermeidung von Rechtsverletzungen und ihrer Folgen
  • Löschung von Daten
  • Protokollierung
  • Vorabkontrolle (dazu gibt es Checklisten in verschiedenen Bundesländern)
  • Regelung der Verantwortlichkeiten im Datenschutz (siehe M 2.502 Regelung der Verantwortlichkeiten im Bereich Datenschutz )
  • Dokumentation und Verfahrensweise der Beteiligung des betrieblichen bzw. behördlichen Datenschutzbeauftragten
  • Dokumentation und Verfahrensweise der Beteiligung des Bundes- oder Landesbeauftragten für Datenschutz oder Beteiligung der Aufsichtsbehörde
  • Vertragliche Regelungen einer Auftragsdatenverarbeitung
  • Besonderheiten einer Datenverarbeitung in Drittländern (unter Anderem Safe-Harbor-Regeln)
  • Technische und organisatorische Maßnahmen nach der Anlage zu § 9 BDSG bzw. entsprechenden Regelungen in den Landesdatenschutzgesetzen oder/und nach den spezialgesetzlichen Bestimmungen, Zuordnung der Maßnahmen der IT-Grundschutz-Kataloge nach Zielvorgaben der Gesetze (Basis-Sicherheitscheck-Tabellen des BSI, eine Tabelle zu Baustein B 1.5 Datenschutz ist auf den BSI-Webseiten unter den Hilfsmitteln zum IT-Grundschutz zu finden), Soll-Ist-Abgleich bei der Umsetzung und späteren Revision und datenschutzrechtlichen Kontrolle
  • Verpflichtung auf den Datenschutz bzw. entsprechende Unterrichtung (siehe Formblatt des BfDI im Internetangebot unter www.bfdi.de oder entsprechende Merkblätter der Datenschutzbeauftragten und Aufsichtsbehörden)
  • Freigabe der Verfahren
  • Verfahrensbeschreibung für jedes Verfahren
  • Meldungen an Registerstellen (siehe auch M 2.510 Meldung und Regelung von Abrufverfahren bei der Verarbeitung personenbezogener Daten )
  • Bestellung und Aufgaben eines Datenschutzbeauftragten (siehe Maßnahme M 2.502 Regelung der Verantwortlichkeiten im Bereich Datenschutz )
  • Berücksichtigung der unterschiedlichen datenschutzrechtlichen Zuständigkeiten (Bundesbeauftragter für Datenschutz, Landesbeauftragte für Datenschutz, Aufsichtsbehörden)

Prüffragen:

  • Liegt ein Datenschutzkonzept vor, das alle Bereiche der Institution abdeckt?

  • Wird das Datenschutzkonzept regelmäßig aktualisiert?

  • Werden sämtliche Mitarbeiter, auch neu eingestellte, auf das Datenschutzkonzept verpflichtet bzw. unterrichtet?

  • Sind ausreichende Betriebsmittel für die Umsetzung des Datenschutzkonzepts vorhanden?

Stand: 13. EL Stand 2013