Vorabkontrolle nach LDSG - Rechtliche und technische

Vorabkontrolle nach LDSG - rechtliche
und technische Prüfschritte
Dr. Thomas Probst
www.datenschutzzentrum.de
Gliederung LDSG
•
•
•
•
•
•
•
Abschnitt
Abschnitt
Abschnitt
Abschnitt
Abschnitt
Abschnitt
Abschnitt
1:
2:
3:
4:
5:
6:
7:
Allgemeine Grundsätze
Zulässigkeit der Datenverarbeitung
Besondere Formen der Datenverarbeitung
Besondere Zwecke der Datenverarbeitung
Rechte der Betroffenen
Das Unabhängige Landeszentrum für Datenschutz
Schlussvorschriften
Vorabkontrolle
www.datenschutzzentrum.de
Vorabkontrolle – warum?
• „It ‘s the law“!
• Idee: Besondere Gefahren durch bestimmte Formen der
Datenverarbeitung sollen vorab betrachtet und ausgeräumt
werden.
Vorabkontrolle
www.datenschutzzentrum.de
§ 9 Vorabkontrolle
(1) Vor der Einrichtung oder wesentlichen Änderung
1. eines Verfahrens nach § 8 Abs. 1 oder
2. eines automatisierten Verfahrens, in dem Daten im Sinne des
§ 11 Abs. 3 verarbeitet werden,
ist der oder dem behördlichen Datenschutzbeauftragten oder, wenn eine
solche oder ein solcher nicht bestellt ist, dem Unabhängigen
Landeszentrum für Datenschutz Gelegenheit zur Prüfung innerhalb einer
angemessenen Frist zu geben, ob die Datenverarbeitung zulässig und die
vorgesehenen Maßnahmen nach den §§ 5 und 6 ausreichend sind
(Vorabkontrolle).
(2) Absatz 1 gilt nicht für den Abruf aus Datenbeständen, die jedermann
ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder
deren Veröffentlichung zulässig wäre.
Vorabkontrolle
www.datenschutzzentrum.de
§ 9 Vorabkontrolle
(1) Vor der Einrichtung oder wesentlichen Änderung
1. eines Verfahrens nach § 8 Abs. 1 oder
2. eines automatisierten Verfahrens, in dem Daten im Sinne des
§ 11 Abs. 3 verarbeitet werden,
ist der oder dem behördlichen Datenschutzbeauftragten oder, wenn eine
solche oder ein solcher nicht bestellt ist, dem Unabhängigen
Landeszentrum für Datenschutz Gelegenheit zur Prüfung innerhalb einer
angemessenen Frist zu geben, ob die Datenverarbeitung zulässig und die
vorgesehenen Maßnahmen nach den §§ 5 und 6 ausreichend sind
(Vorabkontrolle).
(2) Absatz 1 gilt nicht für den Abruf aus Datenbeständen, die jedermann
ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder
deren Veröffentlichung zulässig wäre.
Vorabkontrolle
www.datenschutzzentrum.de
§ 9 Vorabkontrolle
1. WANN (Zeit)?
(1) Vor der Einrichtung oder wesentlichen Änderung
1. eines Verfahrens nach § 8 Abs. 1 oder
2. WANN (Verfahren)?
2. eines automatisierten Verfahrens, in dem Daten im Sinne des
§ 11 Abs. 3 verarbeitet werden,
3. WER?
ist der oder dem behördlichen Datenschutzbeauftragten oder, wenn eine
solche oder ein solcher nicht bestellt ist, dem Unabhängigen
Landeszentrum für Datenschutz Gelegenheit zur Prüfung innerhalb einer
angemessenen Frist zu geben, ob die Datenverarbeitung zulässig und die
vorgesehenen Maßnahmen nach den §§ 5 und 6 ausreichend sind
(Vorabkontrolle).
4. WAS?
(2) Absatz 1 gilt nicht für den Abruf aus Datenbeständen, die jedermann
ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder
deren Veröffentlichung zulässig wäre.
5. WANN NICHT?
Vorabkontrolle
www.datenschutzzentrum.de
2. Wann (Verfahren)?
…
1. eines Verfahrens nach § 8 Abs. 1 oder
2. eines automatisierten Verfahrens, in dem Daten im Sinne des
§ 11 Abs. 3 verarbeitet werden,
•bei Fremdbeteiligung:
Abrufverfahren oder gemeinsamen Verfahren (§ 8 Abs. 1):
Ein automatisiertes Verfahren, das mehreren datenverarbeitenden Stellen
gemeinsam die Verarbeitung personenbezogener Daten (gemeinsames Verfahren)
oder die Übermittlung personenbezogener Daten durch Abruf (Abrufverfahren)
ermöglicht, darf nur eingerichtet werden, soweit dieses Verfahren unter
Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der
Aufgaben der beteiligten Stellen angemessen ist.
Vorabkontrolle
www.datenschutzzentrum.de
2. Wann (Verfahren)?
…
1. eines Verfahrens nach § 8 Abs. 1 oder
2. eines automatisierten Verfahrens, in dem Daten im Sinne des
§ 11 Abs. 3 verarbeitet werden,
•bei automatisierten Verfahren mit „sensiblen Daten“
Die Verarbeitung personenbezogener Daten über die rassische oder ethnische
Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen,
die Gewerkschaftszugehörigkeit, die Gesundheit oder das Sexualleben sowie von
Daten, die einem besonderen Berufs- oder Amtsgeheimnis unterliegen,…
Vorabkontrolle
www.datenschutzzentrum.de
1. Wann (Zeit)?
„Vor der Einrichtung oder wesentlichen Änderung“
•im Vorfeld
 bei der Planung
 bei der Implementierung
 vor der Inbetriebnahme
•vor wesentlichen Änderungen, z. B.
 im Hinblick auf Empfängerkreise
 im Hinblick auf Datenumfang
Vorabkontrolle
www.datenschutzzentrum.de
3. Wer?
…
ist der oder dem behördlichen Datenschutzbeauftragten oder, wenn eine
solche oder ein solcher nicht bestellt ist, dem Unabhängigen
Landeszentrum für Datenschutz
•Wer? Sie!
•(oder das ULD)
•oder: Sie und beratend das ULD
Vorabkontrolle
www.datenschutzzentrum.de
4. Was?
… Gelegenheit zur Prüfung innerhalb einer angemessenen Frist zu geben,
ob die Datenverarbeitung zulässig und die vorgesehenen Maßnahmen
nach den §§ 5 und 6 ausreichend sind (Vorabkontrolle).
•Rechtsprüfung: Zulässig?
•Technikprüfung: Vorgesehene Maßnahmen ausreichend?
•Dazu gleich im Detail mehr.
Vorabkontrolle
www.datenschutzzentrum.de
5. Wann nicht?
(2) Absatz 1 gilt nicht für den Abruf aus Datenbeständen, die jedermann
ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder
deren Veröffentlichung zulässig wäre.
•also nicht bei Internetveröffentlichungen
Vorabkontrolle
www.datenschutzzentrum.de
Vorgehensweise
• Gibt es eine Dokumentation?
 Ohne die braucht man gar nicht anfangen!
• Dokumentationsanalyse:
 Verfahrensverzeichnis als 1. Überblick
 DSVO-Dokumentation als „Masterdokument“, das die
technischen, aber auch die rechtlichen Fragen rund um
das Verfahren beantworten sollte
• Soll-Ist-Check:
 Stichprobenkontrolle, ob die dokumentierten Vorgaben
umgesetzt sind
Vorabkontrolle
www.datenschutzzentrum.de
Dokumentationsanalyse
• häufig: evolutionärer Prozess (Dokumentation ist noch
nicht fertig)
• Teile der Dokumentation können auch noch nicht fertig
sein (z. B. formelle Freigabe durch die Leitung)
• praktisches Problem: Dokumentation unvollständig
• zwei Vorgehensweisen:
 Feststellung der Unvollständigkeit => mangelnde
Prüffähigkeit=> negatives Votum =>Ende der
Vorabkontrolle
 Hinweise zum Aufbau/zur Verbesserung der
Dokumentation und begleitende Prüfung
Vorabkontrolle
www.datenschutzzentrum.de
Checkliste: Abschnitte der DSVO
Vorabkontrolle
www.datenschutzzentrum.de
Beispiel: Checkliste aus dem Bereich des
BDSG
Vorabkontrolle
www.datenschutzzentrum.de
Soll-Ist-Check
• Stichprobenartige Prüfung neuralgischer Punkte:
 Regelungen des § 6 LDSG
 Regelungen des § 17 LDSG
Vorabkontrolle
www.datenschutzzentrum.de
§ 6 Besondere Maßnahmen
(1)Automatisierte Verfahren sind so zu gestalten, dass eine
Verarbeitung personenbezogener Daten erst möglich ist,
nachdem die Berechtigung der Benutzerin oder des Benutzers
festgestellt worden ist.
(2) Zugriffe, mit denen Änderungen an automatisierten Verfahren
bewirkt werden können, dürfen nur den dazu ausdrücklich
berechtigten Personen möglich sein. Die Zugriffe dieser
Personen sind zu protokollieren und zu kontrollieren.
Vorabkontrolle
18
www.datenschutzzentrum.de
§ 6 Besondere Maßnahmen
(3) Werden personenbezogene Daten mit Hilfe informationstechnischer
Geräte von der datenverarbeitenden Stelle außerhalb ihrer
Räumlichkeiten verarbeitet, sind die Datenbestände zu verschlüsseln.
Die datenverarbeitende Stelle hat sicherzustellen, dass sie die Daten
entschlüsseln kann. In Fällen, in denen eine Verschlüsselung aus
technischen Gründen nicht möglich ist, ist die Verarbeitung
personenbezogener Daten ohne Verschlüsselung nach konkreten, dem
Schutzbedarf der personenbezogenen Daten angemessenen
Verfahrensregelungen zulässig.
(4) Werden personenbezogene Daten ausschließlich automatisiert
gespeichert werden, ist zu protokollieren, wann, durch wen und in
welcher Weise die Daten gespeichert wurden. Entsprechendes gilt für
die Veränderung und Übermittlung der Daten. Die Protokolldaten
müssen zusammen mit den gespeicherten Daten sichtbar gemacht
werden können und für den gleichen Zeitraum aufzubewahren
werden.
…
Vorabkontrolle
19
www.datenschutzzentrum.de
Soll-Ist-Check
• Stichprobenartige Prüfung neuralgischer Punkte:
 Regelungen des § 6 LDSG




Authentisierung
Protokollierung
(Verschlüsselung bei externer Verarbeitung)
Verschlüsselung bei Datenübermittlung/Zugriffen
 Regelungen des § 17 LDSG
 Vertragslage
 wenn auf den Dienstleister verwiesen wird:
Überprüfung des/beim Dienstleister(s)
Vorabkontrolle
www.datenschutzzentrum.de
Verfahren nach § 8 Abs. 2 LDSG
• „Zentrale Stelle“
• Vorabkontrolle und Verantwortung: jeder in seinem Bereich!
• zentral Betriebenes/Verantwortetes: Zentrale Stelle
 Funktionsumfang
 Freigabe des zentralen Systems
 ADV und Kontrolle des Dienstleisters
• lokal Betriebenes/Verantwortetes: lokale Stelle
 Dienstanweisungen
 IT vor Ort
 Rollen und Rechte
 Datenschutzorganisation (z. B. Protokollauswertung)
Vorabkontrolle
www.datenschutzzentrum.de
Vielen Dank für Ihre Aufmerksamkeit!
Kontaktdaten
Unabhängiges Landeszentrum für Datenschutz
Dr. Thomas Probst
Holstenstraße 98
24103 Kiel
0431-988-1211
[email protected]
Vorabkontrolle

Download Report