Hinweise zur Vorabkontrolle nach 9 Landesdatenschutzgesetz Schleswig-Holstein (LDSG) I. Grundsätzliches zur Vorabkontrolle Vor dem Einsatz von Gemeinsamen Verfahren und Abrufverfahren ( 8 Abs. 1 LDSG) sowie automatisierten Verfahren, in denen besonders sensible Daten verarbeitet werden ( 11 Abs. 3 LDSG), muss nach 9 Abs. 1 LDSG eine Vorabkontrolle durchgeführt werden. Damit setzte der Landesgesetzgeber eine europarechtliche Verpflichtung um (Art. 20 EU-DSRL). Schon bisher sah das LDSG Schleswig-Holstein eine Art Vorabkontrolle dadurch vor, dass nach der Datenschutzverordnung des Landes unabhängig von der Sensibilität des automatisierten Verfahrens eine Freigabe gefordert wurde, der eine Dokumentation, ein Sicherheitskonzept und ein Test des Verfahrens vorausgehen musste. Dieses Verfahren wurde beibehalten und ist nunmehr in 5 Abs. 3 LDSG sowie in der aktuellen Datenschutzverordnung (DSVO) geregelt. Die Pflicht zur Durchführung von Vorabkontrollen trifft auch die in 11 Abs. 5 LDSG genannten Sicherheitsbehörden (Verfassungsschutzbehörde, Gefahrenabwehr, Strafverfolgung, Steuerfahndung). Zwar erklärt die Regelung zu den sensiblen Daten in 11 Abs. 5 LDSG für diese Behörden 11 Abs. 3 LDSG nicht für anwendbar. Die Pflicht zur Durchführung von Vorabkontrollen wird nach 9 Abs. 1 Nr. 2 LDSG aber nicht von der Anwendbarkeit des 11 Abs. 3 LDSG abhängig gemacht, sondern von der automatisierten Verarbeitung von Daten im Sinne dieser Regelung. Die Durchführung der Vorabkontrolle obliegt grds. dem behördlichen Datenschutzbeauftragten (bdsb) gemäß 10 LDSG. Ob ein bdsb förmlich bestellt wird, liegt im Ermessen der jeweiligen Stelle. Gibt es keinen solchen bdsb, so muss die Vorabkontrolle durch das Unabhängige Landeszentrum für Datenschutz (ULD) durchgeführt werden (dazu unten III.). Die folgende Checkliste soll für die meisten Fälle der Vorabkontrolle durch die bdsb bzw. durch das ULD eine generelle Orientierung geben. Damit können aber nicht sämtliche denkbaren Aspekte der Vorabkontrolle abgedeckt werden. Unterschiede bzgl. Intensität und Schwerpunkt der Prüfung ergeben sich zwangsläufig wegen der unterschiedlichen Sensitivität der verarbeiteten Daten bzw. der eingesetzten Verfahren, der unterschiedlichen Risikofaktoren und der unterschiedlichen Sicherheitskonzepte. Generell gilt, dass bei einer Vorabkontrolle sowohl die 1. Rechtmäßigkeit der Datenverarbeitung wie 2. die Ordnungsmäßigkeit der Datenverarbeitung (Datensicherheit) festgestellt werden müssen. Zu 1. Die Prüfung der Rechtmäßigkeit der Datenverarbeitung bedingt die Erstellung des Verfahrensverzeichnisses nach 7 Abs. 1 LDSG und die Feststellung, dass die dort in den Nrn. 1 bis 7 genannten Angaben mit den einschlägigen allgemeinen und bereichsspezifischen materiellen Rechtsnormen übereinstimmen. Zu 2. Die Prüfung der Ordnungsmäßigkeit ( 5, 6 LDSG) findet auch ihren Niederschlag im Verfahrensverzeichnis ( 7 Abs. 1 Nr. 8 LDSG) und setzt voraus, dass das Verfahren nach der DSVO erfolgreich durchlaufen wurde.
- 2 - II. Checkliste Verfährt man nach dem nachfolgenden Schema, so erfolgt sowohl eine Dokumentation für das Verfahrensverzeichnis ( 7 Abs. 1 LDSG) als auch nach der Datenschutzverordnung (DSVO) und man erfüllt zugleich die Anforderungen für die Vorabkontrolle. Dabei handelt es sich um gesetzliche Mindestangaben, die auch gegenüber ULD gemacht werden müssen, wenn dort eine Vorabkontrolle durchgeführt werden soll (dazu s.u. III.). Das Abarbeiten dieser Checkliste vermiedet dadurch Mehrfacharbeit, dass sämtliche bei einer Systemeinführung nötigen Dokumentationen berücksichtigt sind. 1. Grundangaben - Name der Daten verarbeitenden Stelle bzw. evtl. der Organisationseinheit ( 7 Abs. 1 Nr. 1 LDSG), - Zweckbestimmung ( 7 Abs. 1 Nr. 2 LDSG, 4 DSVO), - Rechtsgrundlagen ( 7 Abs. 1 Nr. 2 LDSG), - Kreis der Betroffenen ( 7 Abs. 1 Nr. 3 LDSG), - Kategorien der Daten ( 7 Abs. 1 Nr. 4 LDSG), - Personen und Stellen, denen die Daten übermittelt werden ( 7 Abs. 1 Nr. 5 LDSG, vgl. 14, 15, 16 Abs. 1 LDSG), - geplante Datenübermittlungen an Stellen außerhalb der Mitgliedstaaten der Europäischen Union ( 7 Abs. 1 Nr. 6 LDSG, vgl. 16 Abs. 2 u. 3 LDSG), - Auftragnehmende bzw. externe Wartung ( 7 Abs. 1 Nr. 5 LDSG, vgl. 17 LDSG, evtl. 80 SGB X, 11 BDSG), - zugriffsberechtigte Personengruppen, Protokollierung und Kontrolle der Zugriffe ( 6 Abs. 2 LDSG), - Löschfristen (vgl. 28 Abs. 2 S. 1 Nr. 2 LDSG). 2. Prüfung, ob - Kreis der Betroffenen, - Art der verarbeiteten Daten, - Übermittlungsempfänger und übermittelte Daten, - Auftragsdatenverarbeitung bzw. externe Wartung, - Eingrenzung der Zugriffsberechtigung, - Löschfristen von der angegebenen Zweckbestimmung und den Rechtsgrundlagen gedeckt sind, insbesondere auch unter Berücksichtigung des Grundsatzes der Datensparsamkeit ( 4 Abs. 1 LDSG). Ist dies nicht der Fall, so muss geprüft werden, ob Änderungen im Verfahren möglich sind, die zu einem positiven Ausgang der Prüfung führen. Falls dies nicht möglich ist, kann die Vorabkontrolle nicht erfolgreich abgeschlossen werden. 3. Prüfung, ob die Rechte der Betroffenen gemäß 26 ff. LDSG gewahrt sind. - Wird gewährleistet, dass die Aufklärung bzw. Benachrichtigung der Betroffenen erfolgt ( 26 LDSG)? - Können die erforderlichen Auskünfte ( 27 LDSG), Berichtigungen ( 28 Abs. 1 LDSG), Sperrungen ( 28 Abs. 3 LDSG) und Einzellöschungen ( 28 Abs. 2 Nr. 1 LDSG) vorgenommen werden? - Sind die Voraussetzungen von spezifischen Transparenzvorschriften beachtet (z.b. Chipkarten
- 3-18 LDSG)? 4. Liegt eine Verfahrensdokumentation ( 3 DSVO), insbesondere eine Verfahrensbeschreibung ( 5 DSVO) vor? Die für eine Verfahrensdokumentation benötigte Darstellung des Verfahrenszwecks (vgl. 4 DSVO) wurde schon unter 1., das Sicherheitskonzept (vgl. 6 DSVO, s.u. 5.), die Erprobung (Test) und die Freigabe (vgl. 7 DSVO, s. u. 6. u. 7.) werden unten dargestellt. Die Verfahrensbeschreibung enthält eine Darstellung - der eingesetzten Programme (Quell-Code, bei Fremdsoftware Hersteller, Name, Version und Parameter), evtl. Angabe zu Teilen mit Gütesiegel ( 4 Abs. 2 LDSG), - der Beziehung zu anderen Programmen sowie der Schnittstellen und - der Teile, die als Auftragsdatenverarbeitung ausgelagert sind ( 17 LDSG, Vorlage der schriftlichen Verträge). 5. Liegt ein Sicherheitskonzept ( 6 DSVO) vor? 5.1 Ermittlung von Risikofaktoren für den Missbrauch der Daten (bei sensibler Datenverarbeitung nach 11 Abs. 3 LDSG Risikoanalyse als VS-nfd) unter Berücksichtigung der Schutzbedürftigkeit der Daten ( 5 Abs. 1 u. 2 LDSG) im Hinblick auf - Vertraulichkeit, - Integrität, - Verfügbarkeit, - Revisionsfestigkeit. Mögliche Gefahren sind z.b. Datenträgerverlust oder -diebstahl, Virenbefall, unbefugter Zugriff. Ggf. sind Personengruppen, die für missbräuchliche Verwendung in Frage kommen, zu benennen. 5.2 Beurteilung der möglichen Folgen bei missbräuchlicher Verwendung der Daten, z.b. - Gefahren oder Nachteile für die Betroffenen, - Schadensersatzansprüche - finanzielle Schäden für die verantwortliche Stelle bzw. für Dritte, - Vertrauensschaden. 5.3 Darstellung der technisch-organisatorischen Sicherheitsmaßnahmen, u.a. - Zugangsberechtigungskonzept ( 6 Abs. 1 LDSG), - Zugriffsberechtigungskonzept mit Protokollierung der Zugriffe ( 6 Abs. 2 LDSG), - Kontrollkonzept ( 6 Abs. 2 LDSG), - Verschlüsselung (bei mobilen Geräten vgl. 6 Abs. 3 LDSG), - Revisionssicherheit bei der Anwendung ( 6 Abs. 4 LDSG). 5.4 Protokollierung der regelmäßigen Kontrollen ( 6 Abs. 5 LDSG). 6. Erprobung des Verfahrens (Test) Vor Aufnahme der Verarbeitung personenbezogener Daten sind die informationstechnischen Geräte und Programme zu erproben. Die Maßnahmen und deren Ergebnisse sind hierzu zu protokollieren ( 7 Abs. 1 DSVO).
- 4-7. Freigabe Die Freigabe ( 5 Abs. 3 S. 1 LDSG, 7 Abs. 2 DSVO) erfolgt i.d.r. durch die Leitung der Daten verarbeitenden Stelle. Die Freigabe kann zeitlich auch nach Durchführung der Vorabkontrolle erfolgen. 8. Abschluss der Vorabkontrolle Ein positiver Abschluss der Vorabkontrolle setzt voraus, dass die geplante personenbezogene Datenverarbeitung materiell-rechtlich zulässig ist und die ergriffenen Sicherheitsmaßnahmen im Hinblick auf die vorhandenen Risiken erforderlich und angemessen sind. Die Risikofaktoren sind unter Berücksichtigung der Schutzbedürftigkeit der personenbezogenen Daten mit den getroffenen Sicherheitsmaßnahmen abzugleichen. Ist das verbleibende Risiko zu hoch, ist zu prüfen, ob durch eine Nachbesserung der Technik des Verfahrens oder durch technisch-organisatorische Maßnahmen eine Verbesserung der Sicherheitssituation erreicht wird, die vertretbar ist. Der Inhalt der Prüfung und das Ergebnis der Vorabkontrolle werden schriftlich festgehalten. III. Hinweise zum Verfahren beim ULD Vorabkontrollverfahren bei Stellen, die keinen bdsb haben, werden vom ULD durchgeführt. Um die hierfür nötige Prüfung vornehmen zu können, hat die Daten verarbeitende Stelle die in der Checkliste unter 1. bis 6. erforderlichen Angaben zu machen. Dabei sollte darauf geachtet werden, dass die Angaben in einer an die Checkliste angepassten Form gemacht werden. Sind die Angaben zur Durchführung der Vorabkontrolle nicht ausreichend, so wird die Daten verarbeitende Stelle hierüber unterrichtet und darum gebeten, die fehlenden Nachweise nachzuliefern. IV. Rechtliche Grundlagen Im Folgenden werden die oben zitierten gesetzlichen Regelungen des Landesdatenschutzgesetzes (LDSG) sowie Art. 20 der Europäischen Datenschutzrichtlinie abgedruckt. Nicht abgedruckt ist die Landesverordnung über die Sicherheit und Ordnungsmäßigkeit automatisierter Verarbeitung personenbezogener Daten (Datenschutzverordnung DSVO v. 2. April 2001 GVOBl. Schl.-H. 4/2001, 49, GS Schl.-H. II Gl.Nr. 204-4-1, abzurufen unter www.datenschutzzentrum.de/material/recht/dsvo_01/dsvo_01.htm). Sämtliche Regelungen des allgemeinen Datenschutzrechtes in Schleswig-Holstein mit allen Ausführungsbestimmungen sind enthalten in der Broschüre Datenschutzrecht in Schlewig-Holstein, die in 2. Auflage (2002) unentgeltlich beim Unabhängigen Landeszentrum für Datenschutz angefordert werden kann. 9 LDSG Vorabkontrolle (1) Vor der Einrichtung oder wesentlichen Änderung 1. eines Verfahrens nach 8 Abs. 1 LDSG oder 2. eines automatisierten Verfahrens, in dem Daten im Sinne des 11 Abs. 3 LDSG verarbeitet werden, ist der oder dem behördlichen Datenschutzbeauftragten oder, wenn eine solche oder ein solcher nicht bestellt ist, dem Unabhängigen Landeszentrum für Datenschutz Gelegenheit zur Prüfung innerhalb einer angemessenen Frist zu geben, ob die Datenverarbeitung zulässig und die vorgesehenen Maßnahmen nach den 5 und 6 ausreichend sind (Vorabkontrolle).
- 5 - (2) Absatz 1 gilt nicht für den Abruf von Datenbeständen, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder deren Veröffentlichung zulässig wäre. 5 LDSG Allgemeine Maßnahmen zur Datensicherung (1) Die Ausführung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz ist durch technische und organisatorische Maßnahmen sicherzustellen. Dabei ist insbesondere 1. Unbefugten der Zugang zu Datenträgern, auf denen personenbezogene Daten gespeichert sind, zu verwehren, 2. zu verhindern, daß personenbezogene Daten unbefugt verarbeitet werden oder Unbefugten zur Kenntnis gelangen können, 3. zu gewährleisten, daß die datenverarbeitende Person, der Zeitpunkt und Umfang der Datenverarbeitung festgestellt werden kann. (2) Es sind die technischen und organisatorischen Maßnahmen zu treffen, die nach dem Stand der Technik und der Schutzbedürftigkeit der Daten erforderlich und angemessen sind. Automatisierte Verfahren sind vor ihrem erstmaligen Einsatz und nach Änderungen durch die Leiterin oder den Leiter der datenverarbeitenden Stelle oder eine befugte Person freizugeben. (3) Die Landesregierung regelt durch Verordnung die Anforderungen an das Sicherheitskonzept sowie die Freigabe automatisierter Verfahren und weitere Einzelheiten einer ordnungsgemäßen Datenverarbeitung der öffentlichen Stellen. Das Unabhängige Landeszentrum für Datenschutz ist anzuhören. 6 LDSG Besondere Maßnahmen zur Datensicherung (1) Automatisierte Verfahren sind so zu gestalten, daß eine Verarbeitung personenbezogener Daten erst möglich ist, nachdem die Berechtigung der Benutzerin oder des Benutzers festgestellt worden ist. (2) Zugriffe, mit denen Änderungen an automatisierten Verfahren bewirkt werden können, dürfen nur den dazu ausdrücklich berechtigten Personen möglich sein. Die Zugriffe dieser Personen sind zu protokollieren und zu kontrollieren. (3) Werden personenbezogene Daten mit Hilfe informationstechnischer Geräte von der datenverarbeitenden Stelle außerhalb ihrer Räumlichkeiten verarbeitet, sind die Datenbestände zu verschlüsseln. Die datenverarbeitende Stelle hat sicherzustellen, daß sie die Daten entschlüsseln kann. (4) Sollen personenbezogene Daten ausschließlich automatisiert gespeichert werden, ist zu protokollieren, wann, durch wen und in welcher Weise die Daten gespeichert wurden. Entsprechendes gilt für die Veränderung und Übermittlung der Daten. Die Protokolldatenbestände sind ein Jahr zu speichern. Es ist sicherzustellen, daß die Verfahren und Geräte, mit denen die gespeicherten Daten lesbar gemacht werden können, verfügbar sind. (5) Die datenverarbeitenden Stellen haben die ordnungsgemäße Anwendung der automatisierten Verfahren zu überwachen. 7 LDSG Verfahrensverzeichnis (1) Die Daten verarbeitende Stelle erstellt für jedes von ihr betriebene automatisierte Verfahren ein Verfahrensverzeichnis. Dieses Verzeichnis kann auch von einer Stelle für eine andere geführt werden. Es enthält Angaben über 1. Name und Zweck der Daten verarbeitenden Stelle,
- 6-2. Zweckbestimmung und Rechtsgrundlagen des Verfahrens, 3. den Kreis der Betroffenen, 4. die Kategorien der verarbeiteten Daten, 5. die Personen und Stellen, die Daten erhalten oder erhalten dürfen einschließlich der Auftragnehmenden, 6. geplante Datenübermittlungen an Stellen außerhalb der Mitgliedstaaten der Europäischen Union, 7. die datenschutzrechtliche Beurteilung der oder des behördlichen Datenschutzbeauftragten, soweit eine solche vorliegt, 8. eine allgemeine Beschreibung der nach den 5 und 6 zur Einhaltung der Datensicherheit getroffenen Maßnahmen. 8 LDSG Gemeinsame Verfahren und Abrufverfahren (1) Ein automatisiertes Verfahren, das mehreren Daten verarbeitenden Stellen gemeinsam die Verarbeitung personenbezogener Daten (gemeinsames Verfahren) oder die Übermittlung personenbezogener Daten durch Abruf (Abrufverfahren) ermöglicht, darf nur eingerichtet werden, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist. 10 LDSG Behördliche Datenschutzbeauftragte (1) Die Daten verarbeitende Stelle kann schriftlich eine behördliche oder einen behördlichen Datenschutzbeauftragten bestellen. Mehrere Daten verarbeitenden Stellen können gemeinsam eine behördliche Datenschutzbeauftragte oder einen behördlichen Datenschutzbeauftragten bestellen. 11 LDSG Zulässigkeit der Datenverarbeitung (3) Die Verarbeitung personenbezogener Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit oder das Sexualleben sowie von Daten, die einem besonderen Berufs- oder Amtsgeheimnis unterliegen, ist nur zulässig... Art. 20 Europäische Datenschutzrichtlinie (EU-DSRL) Vorabkontrolle (1) Die Mitgliedstaaten legen fest, welche Verarbeitungen spezifische Risiken für die Rechte und Freiheiten der Personen beinhalten können, und tragen dafür Sorge, dass diese Verarbeitungen vor ihrem Beginn geprüft werden. (2) Solche Vorprüfungen nimmt die Kontrollstelle nach Empfang der Meldung des für die Verarbeitung Verantwortlichen vor, oder sie erfolgen durch den Datenschutzbeauftragten, der im Zweifelsfall die Kontrollstelle konsultieren muss.