Bundesamt für Sicherheit in der Informationstechnik

M 2.513 Dokumentation der datenschutzrechtlichen Zulässigkeit

Verantwortlich für Initiierung: Datenschutzbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Fachverantwortliche

Bevor Software oder Hardware für die Verarbeitung von personenbezogenen Daten eingesetzt werden, sollten sie, bezogen auf den vorgesehenen Einsatz, auf die datenschutzrechtliche Zulässigkeit geprüft werden. Hier wird es je nach IT-System (z. B. nicht vernetzter PC oder zentrales Rechenzentrum) sehr unterschiedliche Anforderungen geben. Das Prüfungsergebnis sollte dokumentiert werden. Für Datenschutzkontrollen sind derartige Dokumentationen besonders wichtig.

Der betriebliche bzw. behördliche Beauftragte für den Datenschutz (bDSB) ist nach § 4g Abs. 1 BDSG über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten. Er hat die ordnungsgemäße Anwendung (vorhandener und neuer) Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet sollen, zu überwachen. Aus diesem Grunde empfiehlt es sich, den bDSB von Anfang an, d.h. im Rahmen der ersten Planungen, mit einzubeziehen. Nur so können bereits in der Planungsphase datenschutzrechtliche Fehler vermieden werden, deren Behebung zu einem späteren Zeitpunkt unter Umständen zeit- und kostenintensiv sein könnten.

Prüffragen:

  • Wird Hard- und Software, die für die Verarbeitung von personenbezogenen Daten eingesetzt wird, auf die datenschutzrechtliche Zulässigkeit geprüft?

  • Werden die Prüfungsergebnisse dokumentiert?

Stand: 13. EL Stand 2013