Vorabkontrolle nach LDSG - rechtliche und technische Prüfschritte. Dr. Thomas Probst

Transkript

1 nach LDSG - rechtliche und technische Prüfschritte Dr. Thomas Probst

2 Gliederung LDSG Abschnitt 1: Allgemeine Grundsätze Abschnitt 2: Zulässigkeit der Datenverarbeitung Abschnitt 3: Besondere Formen der Datenverarbeitung Abschnitt 4: Besondere Zwecke der Datenverarbeitung Abschnitt 5: Rechte der Betroffenen Abschnitt 6: Das Unabhängige Landeszentrum für Datenschutz Abschnitt 7: Schlussvorschriften

3 It s the law! warum? Idee: Besondere Gefahren durch bestimmte Formen der Datenverarbeitung sollen vorab betrachtet und ausgeräumt werden.

4 9 (1) Vor der Einrichtung oder wesentlichen Änderung 1. eines Verfahrens nach 8 Abs. 1 oder 2. eines automatisierten Verfahrens, in dem Daten im Sinne des 11 Abs. 3 verarbeitet werden, ist der oder dem behördlichen Datenschutzbeauftragten oder, wenn eine solche oder ein solcher nicht bestellt ist, dem Unabhängigen Landeszentrum für Datenschutz Gelegenheit zur Prüfung innerhalb einer angemessenen Frist zu geben, ob die Datenverarbeitung zulässig und die vorgesehenen Maßnahmen nach den 5 und 6 ausreichend sind (). (2) Absatz 1 gilt nicht für den Abruf aus Datenbeständen, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder deren Veröffentlichung zulässig wäre.

5 9 (1) Vor der Einrichtung oder wesentlichen Änderung 1. eines Verfahrens nach 8 Abs. 1 oder 2. eines automatisierten Verfahrens, in dem Daten im Sinne des 11 Abs. 3 verarbeitet werden, ist der oder dem behördlichen Datenschutzbeauftragten oder, wenn eine solche oder ein solcher nicht bestellt ist, dem Unabhängigen Landeszentrum für Datenschutz Gelegenheit zur Prüfung innerhalb einer angemessenen Frist zu geben, ob die Datenverarbeitung zulässig und die vorgesehenen Maßnahmen nach den 5 und 6 ausreichend sind (). (2) Absatz 1 gilt nicht für den Abruf aus Datenbeständen, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder deren Veröffentlichung zulässig wäre.

6 (1) Vor der Einrichtung oder wesentlichen Änderung 9 1. eines Verfahrens nach 8 Abs. 1 oder 2. WANN (Verfahren)? 2. eines automatisierten Verfahrens, in dem Daten im Sinne des 11 Abs. 3 verarbeitet werden, 3. WER? ist der oder dem behördlichen Datenschutzbeauftragten oder, wenn eine solche oder ein solcher nicht bestellt ist, dem Unabhängigen Landeszentrum für Datenschutz Gelegenheit zur Prüfung innerhalb einer angemessenen Frist zu geben, ob die Datenverarbeitung zulässig und die vorgesehenen Maßnahmen nach den 5 und 6 ausreichend sind (). 4. WAS? (2) Absatz 1 gilt nicht für den Abruf aus Datenbeständen, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder deren Veröffentlichung zulässig wäre. 5. WANN NICHT? 1. WANN (Zeit)?

7 2. Wann (Verfahren)? 1. eines Verfahrens nach 8 Abs. 1 oder 2. eines automatisierten Verfahrens, in dem Daten im Sinne des 11 Abs. 3 verarbeitet werden, bei Fremdbeteiligung: Abrufverfahren oder gemeinsamen Verfahren ( 8 Abs. 1): Ein automatisiertes Verfahren, das mehreren datenverarbeitenden Stellen gemeinsam die Verarbeitung personenbezogener Daten (gemeinsames Verfahren) oder die Übermittlung personenbezogener Daten durch Abruf (Abrufverfahren) ermöglicht, darf nur eingerichtet werden, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist.

8 2. Wann (Verfahren)? 1. eines Verfahrens nach 8 Abs. 1 oder 2. eines automatisierten Verfahrens, in dem Daten im Sinne des 11 Abs. 3 verarbeitet werden, bei automatisierten Verfahren mit sensiblen Daten Die Verarbeitung personenbezogener Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit oder das Sexualleben sowie von Daten, die einem besonderen Berufs- oder Amtsgeheimnis unterliegen,

9 Vor der Einrichtung oder wesentlichen Änderung 1. Wann (Zeit)? im Vorfeld bei der Planung bei der Implementierung vor der Inbetriebnahme vor wesentlichen Änderungen, z. B. im Hinblick auf Empfängerkreise im Hinblick auf Datenumfang

10 3. Wer? ist der oder dem behördlichen Datenschutzbeauftragten oder, wenn eine solche oder ein solcher nicht bestellt ist, dem Unabhängigen Landeszentrum für Datenschutz Wer? Sie! (oder das ULD) oder: Sie und beratend das ULD

11 4. Was? Gelegenheit zur Prüfung innerhalb einer angemessenen Frist zu geben, ob die Datenverarbeitung zulässig und die vorgesehenen Maßnahmen nach den 5 und 6 ausreichend sind (). Rechtsprüfung: Zulässig? Technikprüfung: Vorgesehene Maßnahmen ausreichend? Dazu gleich im Detail mehr.

12 5. Wann nicht? (2) Absatz 1 gilt nicht für den Abruf aus Datenbeständen, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder deren Veröffentlichung zulässig wäre. also nicht bei Internetveröffentlichungen

13 Gibt es eine Dokumentation? Ohne die braucht man gar nicht anfangen! Vorgehensweise Dokumentationsanalyse: Verfahrensverzeichnis als 1. Überblick DSVO-Dokumentation als Masterdokument, das die technischen, aber auch die rechtlichen Fragen rund um das Verfahren beantworten sollte Soll-Ist-Check: Stichprobenkontrolle, ob die dokumentierten Vorgaben umgesetzt sind

14 Dokumentationsanalyse häufig: evolutionärer Prozess (Dokumentation ist noch nicht fertig) Teile der Dokumentation können auch noch nicht fertig sein (z. B. formelle Freigabe durch die Leitung) praktisches Problem: Dokumentation unvollständig zwei Vorgehensweisen: Feststellung der Unvollständigkeit => mangelnde Prüffähigkeit=> negatives Votum =>Ende der Hinweise zum Aufbau/zur Verbesserung der Dokumentation und begleitende Prüfung

15 Checkliste: Abschnitte der DSVO

16 Beispiel: Checkliste aus dem Bereich des BDSG

17 Stichprobenartige Prüfung neuralgischer Punkte: Regelungen des 6 LDSG Regelungen des 17 LDSG Soll-Ist-Check

18 6 Besondere Maßnahmen (1)Automatisierte Verfahren sind so zu gestalten, dass eine Verarbeitung personenbezogener Daten erst möglich ist, nachdem die Berechtigung der Benutzerin oder des Benutzers festgestellt worden ist. (2) Zugriffe, mit denen Änderungen an automatisierten Verfahren bewirkt werden können, dürfen nur den dazu ausdrücklich berechtigten Personen möglich sein. Die Zugriffe dieser Personen sind zu protokollieren und zu kontrollieren. 18

19 6 Besondere Maßnahmen (3) Werden personenbezogene Daten mit Hilfe informationstechnischer Geräte von der datenverarbeitenden Stelle außerhalb ihrer Räumlichkeiten verarbeitet, sind die Datenbestände zu verschlüsseln. Die datenverarbeitende Stelle hat sicherzustellen, dass sie die Daten entschlüsseln kann. In Fällen, in denen eine Verschlüsselung aus technischen Gründen nicht möglich ist, ist die Verarbeitung personenbezogener Daten ohne Verschlüsselung nach konkreten, dem Schutzbedarf der personenbezogenen Daten angemessenen Verfahrensregelungen zulässig. (4) Werden personenbezogene Daten ausschließlich automatisiert gespeichert werden, ist zu protokollieren, wann, durch wen und in welcher Weise die Daten gespeichert wurden. Entsprechendes gilt für die Veränderung und Übermittlung der Daten. Die Protokolldaten müssen zusammen mit den gespeicherten Daten sichtbar gemacht werden können und für den gleichen Zeitraum aufzubewahren werden. 19

20 Stichprobenartige Prüfung neuralgischer Punkte: Regelungen des 6 LDSG Soll-Ist-Check Authentisierung Protokollierung (Verschlüsselung bei externer Verarbeitung) Verschlüsselung bei Datenübermittlung/Zugriffen Regelungen des 17 LDSG Vertragslage wenn auf den Dienstleister verwiesen wird: Überprüfung des/beim Dienstleister(s)

21 Verfahren nach 8 Abs. 2 LDSG Zentrale Stelle und Verantwortung: jeder in seinem Bereich! zentral Betriebenes/Verantwortetes: Zentrale Stelle Funktionsumfang Freigabe des zentralen Systems ADV und Kontrolle des Dienstleisters lokal Betriebenes/Verantwortetes: lokale Stelle Dienstanweisungen IT vor Ort Rollen und Rechte Datenschutzorganisation (z. B. Protokollauswertung)

22 Kontaktdaten Vielen Dank für Ihre Aufmerksamkeit! Unabhängiges Landeszentrum für Datenschutz Dr. Thomas Probst Holstenstraße Kiel