Bundesamt für Sicherheit in der Informationstechnik

M 2.504 Prüfung rechtlicher Rahmenbedingungen und Vorabkontrolle bei der Verarbeitung personenbezogener Daten

Verantwortlich für Initiierung: Datenschutzbeauftragter, Fachverantwortliche, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Datenschutzbeauftragter, Fachverantwortliche, IT-Sicherheitsbeauftragter

Im Rahmen der Prüfung der rechtlichen Rahmenbedingungen als Voraussetzung der Datenverarbeitung müssen folgende Aspekte betrachtet werden:

  • Prüfung, ob personenbezogene Daten verarbeitet werden
  • Zulässigkeit der Datenverarbeitung
  • Erforderlichkeit der Datenverarbeitung
  • Verwendung der Daten hinsichtlich der Zweckbindung
  • Verwendung der Daten hinsichtlich der besonderen Zweckbindung
  • Durchführung einer Vorabkontrolle

Bei der Betrachtung dieser Aspekte sollte wegen eventuell schwieriger Rechtsmaterie, insbesondere zu Datenschutzfragen, auf juristische Unterstützung zurückgegriffen werden.

Zulässigkeit der Datenverarbeitung

Für die Verarbeitung und Nutzung personenbezogener Daten gilt als allgemeiner Grundsatz ein sogenanntes Verbot mit Erlaubnisvorbehalt (z. B. § 4 Abs. 1 BDSG ).

Die Prüfung der Zulässigkeit der Datenverarbeitung sollte im Regelfall in Zusammenarbeit mit den fachlich zuständigen Stellen erfolgen.

Vor der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ist zu prüfen, ob

  • dies durch die Datenschutzgesetze oder eine andere Rechtsvorschrift ausdrücklich erlaubt oder angeordnet ist oder
  • der Betroffene gemäß § 4 BDSG oder entsprechender landes- oder spezialgesetzlicher Regelungen eingewilligt hat.

Bei der Speicherung, Veränderung und Übermittlung personenbezogener Daten durch nicht-öffentliche Stellen ist zu prüfen, ob dies

  • im Rahmen der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen erfolgt oder
  • zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zur Annahme besteht, dass das schutzwürdige Interesse an dem Ausschluss der Verarbeitung oder Nutzung überwiegt (im Sinne von §§ 28 ff. BDSG).

Prüfung der Erforderlichkeit

Für öffentliche Stellen gilt der Grundsatz, dass personenbezogene Daten nur erhoben werden dürfen, wenn sie für die Aufgabenerfüllung erforderlich sind. Das ist der Fall, wenn ohne ihre Kenntnis die Durchführung der betreffenden Aufgaben unmöglich oder wesentlich erschwert wäre. Dies ist im Einzelfall zu überprüfen.

Die einzelnen Nutzer dürfen nur auf diejenigen Daten zugreifen, die für die Erfüllung ihrer Aufgaben erforderlich sind.

Schwierigkeiten bereitet dies hinsichtlich der Systemverwalter. Sie haben in den marktüblichen Systemen beliebigen Zugriff auf alle Daten. Auch sie müssen in bestimmtem Umfang im Zugriff beschränkt werden, insbesondere dann, wenn es sich um Daten handelt, die einem besonderen Amtsgeheimnis unterliegen, wie etwa Personalaktendaten. Geeignete Maßnahmen hierfür sind Verschlüsselung der Daten, Zugriffsbeschränkungen, abgestufte Berechtigungskonzepte, Menüführung, Aufteilung der Systemadministratorfunktionen auf verschiedene Rollen sowie die sichere Protokollierung der Aktivitäten des Systemverwalters.

Bei der Gestaltung von Technik sind solche Verfahren zu wählen, bei denen möglichst wenig personenbezogene Daten verarbeitet werden. Es gilt das Gebot der Datenvermeidung bzw. Datensparsamkeit. Soweit möglich, sind Verfahren anonym zu gestalten oder Pseudonyme zu verwenden. Bei Dienstleistungsangeboten sollte den Kunden zumindest die Möglichkeit gegeben werden, ein anonymes Verfahren zu wählen.

Prüfung der Verwendung von Daten hinsichtlich der Zweckbindung

Vor der Speicherung, Veränderung und Nutzung personenbezogener Daten ist zu prüfen, ob dies für die Zwecke erfolgt, für die die Daten erhoben worden sind bzw., falls keine Erhebung voranging, es für die Zwecke erfolgt, für die sie gespeichert worden sind.

Von diesem Zweckbindungsgrundsatz gibt es eine Reihe, zum Teil weit reichender gesetzlicher Ausnahmen (siehe z. B. § 14 BDSG).

Prüfung der Verwendung der Daten hinsichtlich der besonderen Zweckbindung

Es ist zu prüfen, ob personenbezogene Daten, die zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, auch ausschließlich für diese Zwecke verwendet werden (siehe z. B. § 14 Abs. 4, § 31 BDSG).

Vorabkontrolle

Im Rahmen der Vorabkontrolle ist vor dem erstmaligen Einsatz automatisierter Verfahren zur Bearbeitung personenbezogener Daten zu prüfen, welche Gefahren hierdurch für das informationelle Selbstbestimmungsrecht erwachsen können.

Weist eine Verarbeitung besondere Risiken für die Rechte und Freiheiten der Betroffenen auf wie z. B. die Verarbeitung besonderer Datenarten (Angaben über rassische und ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben) oder soll damit die Persönlichkeit des Betroffenen einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens bewertet werden, ist vor dem Beginn der Verarbeitung eine Vorabkontrolle durchzuführen (§ 4d Abs. 5 BDSG). Eine Vorabkontrolle ist nicht durchzuführen, wenn eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient. In manchen Landesdatenschutzgesetzen ist eine Vorabkontrolle generell bei allen Verfahren vorgeschrieben, mit denen personenbezogene Daten durch öffentliche Stellen verarbeitet werden. Die Voraussetzungen hierfür können von den beim Bund geltenden Regelungen abweichen.

Automatisierte Verfahren dürfen nur dann eingesetzt werden, wenn sichergestellt ist, dass keine Gefahren für das informationelle Selbstbestimmungsrecht bestehen.

Folgende Aspekte sind hierbei zu überprüfen:

  • Zutrittskontrolle
  • Zugangskontrolle
  • Zugriffskontrolle
  • Weitergabekontrolle
  • Eingabekontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Getrennte Verarbeitung von zu unterschiedlichen Zwecken erhobene Daten

Die zu ergreifenden Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei der Durchführung entstehenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Gefahren und der Art der zu schützenden personenbezogenen Daten angemessen ist.

Werden personenbezogene Daten nicht automatisiert verarbeitet, sind Maßnahmen zu treffen, die den Zugriff Unbefugter bei der Verarbeitung, der Aufbewahrung, dem Transport und der Vernichtung verhindern.

Die Anforderungen weichen in den Formulierungen und Konsequenzen der einzelnen Landesdatenschutzgesetze voneinander ab. Eine Entscheidung über die Durchführung der Vorabkontrolle ist daher im Einzelfall zu treffen.

Prüffragen:

  • Wird vor der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten geprüft, ob dies erforderlich und rechtlich zulässig ist?

  • Wird bei allen Geschäftsprozessen und Verfahren darauf geachtet, dass personenbezogene Daten angemessen geschützt sind?

Stand: 13. EL Stand 2013