17. September 2009 - Datenschutz-Organisation

Praktische Übersichten für den DSB (Teil 1)

Neben den amtlichen Formblattmustern für die gesetzlich vorgesehenen Übersichten, die der Beauftragte für den Datenschutz zu führen hat, empfiehlt es sich, weitere Informationsübersichten zur unternehmenseigenen Datenverarbeitung und zum Thema „Datenschutz“ anzulegen. Welche dies sind und was Sie aufnehmen sollten, stellen wir Ihnen in 2 Teilen vor.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Am zweckmäßigsten ist es, wenn diese Informationen maschinell verwaltet werden. Nur so ist sicher zu stellen, dass die Dokumentation aktuell bleibt.

Da der interne Datenschutzbeauftragte in aller Regel über einen eigenen Rechner verfügt, sollte er diese Informationen auf seinem IT-System führen.

(1) Automatisierte Abrufverfahren

Die Regelungen des § 10 BDSG für die Einrichtung eines automatisierten Abrufverfahrens wurden erstmals im Bundesdatenschutzgesetz von 1990 aufgenommen. Diese Bestimmungen blieben seither unverändert.

Durch die zunehmenden Datenflüsse innerhalb der nach BDSG verantwortlichen Stelle, eines Konzerns, zwischen Behörden untereinander oder Behörden und Privatwirtschaft gewinnen automatisierte Abrufverfahren ständig an Bedeutung, die auch der Beauftragte für den Datenschutz kritisch zu untersuchen hat.

Umfang der Protokollierung und Auswertung der Protokolle

Bei automatisierten Abrufverfahren sieht das BDSG ein Protokollierungsverfahren vor (§ 10 Abs. 4 BDSG). Wegen der Fülle der bei der Protokollierung anfallenden Daten beschränkt man sich bei der Prüfung wie bei der Aufzeichnung selbst auf ein Stichprobenverfahren.

Die verantwortliche Stelle hat deshalb ein Verfahren zu entwickeln, bei dem der Abrufende nicht erkennen kann, wann protokolliert wird. Der Umfang der protokollierten Daten wird vom Kreis der Datenempfänger und von den übermittelten Daten abhängen.

Die Protokolldateien sind nur für einen begrenzten Zeitraum, in der Regel drei bis sechs Monate, aufzubewahren.

Zweckbindung

Zu beachten ist jedoch, dass die Protokolldateien nach § 31 BDSG nur für Zwecke der Datenschutz-Kontrolle zu verwenden sind. Eine systematische Auswertung, etwa nach der Häufigkeit von Abfragen bestimmter Personen in Form einer Rasterauswertung, würde dem Protokollierungszweck zuwider laufen, da die Protokollierung wirklich nur für die Überprüfung der Rechtmäßigkeit einer Datenübermittlung im Einzelfall gedacht ist.

Unter Umständen empfiehlt sich sogar der Abschluss einer Betriebsvereinbarung, in der neben dem Umfang der Protokollierung die Art und Weise der Auswertung der Protokolldateien geregelt wird.

Das sollte in einem Formblattmuster stehen

Ein Formblattmuster sollte folgende Datenarten enthalten:

  • Verfahrensbezeichnung
  • Verantwortliche Stelle
  • Datenempfänger
  • Zweck des Abrufverfahrens
  • Rechtsgrundlage
  • Kategorien der abrufbaren Daten
  • Protokollierung bei der verantwortlichen Stelle (protokollierte Datenfelder)
  • Protokollierung bei der abrufenden Stelle (protokollierte Datenfelder)
  • Zugangsschutzmaßnahmen bei der verantwortlichen Stelle
  • Zugangsschutzmaßnahmen bei der abrufenden Stelle
  • Art der Leitungsverbindungen
  • Verantwortlicher

(2) internes Verfahrensverzeichnis/Verfahrensregister

Das Verfahrensregister stellt eine Erweiterung des Verfahrensverzeichnisses dar. Es enthält zusätzliche Informationen, die für die Aufgaben des internen Datenschutzbeauftragten nützlich sein können.

Die Verfahren, in denen personenbezogene Daten verarbeitet werden, sind alphabetisch nach einer eindeutigen Kurzbezeichnung zu erfassen.

Das Verfahrensregister enthält folgende Informationen:

  • Verfahrenskurzbezeichnung (Ordnungsmerkmal)
  • Verfahrenstechnische Aspekte
  • Verfahrenskurzbeschreibung
  • Art der verarbeiteten Daten (Kurzbeschreibung)
  • Betroffener Personenkreis
  • Schutzbedürftigkeit (hoch/mittel/niedrig)
  • Rechtsgrundlagen der Datenverarbeitung (z. B. §§ 28 ff BDSG)
  • Datenerhebung
  • Datenspeicherung
  • Datenübermittlung (Empfänger)
  • Löschungsfristen
  • Meldepflichten (nach § 4d BDSG)
  • Datenspezifische Merkmale
  • Datenquellen
  • Verwendungszwecke
  • Datenarten
  • Datenübermittlungen (Empfänger, Datenkategorien, Art der Datenübermittlung, Häufigkeit)
  • Organisatorische Merkmale
  • Fachliche Zuständigkeiten
  • Zugriffsberechtigte (Zugriffsart)
  • Ort der Speicherung (Rechner, Server, Endgerät)
  • Zugriffsschutzmaßnahmen

(3) Softwareregister

In das Softwareregister des internen Datenschutzbeauftragten ist die Anwendungs- und Standardsoftware aufzunehmen, die in Verbindung mit der Verarbeitung personenbezogener Daten stehen.

Während das Betriebssystem der Clients unbedingt erfasst werden sollte, kann man auf die Host-Betriebssysteme verzichten, da die Systeminterna solcher Systeme den internen Datenschutzbeauftragten meistens überfordern.

Der Vollständigkeit halber empfiehlt es sich aber, auch diese Systeme zu erfassen. Auf die Erfassung von Compilern und Interpretern ist jedoch zu verzichten. Neben gekaufter und gemieteter Software (z.B. SAP/3) sind auch die eigenentwickelten Anwendungssysteme in die Übersicht zu übernehmen; hier entfallen dann die Angaben für die Vertragsdaten. Unter Standardsoftware fallen Datenbanksysteme, Netzwerksysteme oder Reportsysteme.

Die Software sollte alphabetisch nach der Kurzbezeichnung geordnet werden. Folgende Informationen sind sinnvoll:

  • Allgemeine Daten
  • Kurzbezeichnung
  • Name
  • Art der Software (z.B. Betriebssystem, Anwendungssystem)
  • Hersteller
  • Anzahl der Lizenzen
  • Version (im Einsatz seit)
  • Vertragsdaten (bei Fremdsoftware)
  • Vertragspartner
  • Vertragsart (Kauf/Miete, Dauer)
  • Ansprechpartner im Unternehmen
  • Wartungsvertrag (Ansprechpartner)
  • Ansprechpartner
  • Programmbetreuung im Unternehmen
  • Eigenentwickelte Programme
  • Zuständige Stelle für die Programmentwicklung und Pflege (Ansprechpartner)
  • Zuständige Stelle für die Programmbetreuung (Ansprechpartner)
  • Verfahrenstechnische Angaben
  • Rechner, auf denen die Software installiert ist
  • Bezeichnung der Verfahren, in denen die Software zum Einsatz kommt
  • Beschreibung der speziellen Sicherheitsfunktionen der Software (z.B. Verschlüsselung, Signierung, Zugriffsschutz, usw.)
Formblattmuster für alle erwähnten Übersichten finden Sie im Word-Format auf der CD zum „Praxishandbuch Datenschutz„.

Teil 2 der kleinen Reihe stellt das Verzeichnis der Benutzerrollen und User-Kataster vor sowie das Verzeichnis über die Fälle von Auftragsdatenverarbeitung (Servicekataster) und das Problemregister.

Dr. Horst G. Abel
Dr. Abel ist seit 2002 selbsständiger Unternehmensberater für Datenschutz und Datensicherheit.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln