Vorabkontrolle im Datenschutz-Alltag / 2 Gute Datenschutzdokumentation erleichtert die Vorabkontrolle

Als Königsdisziplin der Leichtathletik gilt im Allgemeinen der Zehnkampf. Auch die Vorabkontrolle als Königsdisziplin des Datenschutzes gleicht einem datenschutztechnischen Mehrkampf, denn hier fließt eine Vielzahl von Einzelelementen des Datenschutzes zu einem Ganzen zusammen. Betrachtet man das Entstehen einer Vorabkontrolle näher, stellt man rasch fest, dass ein großer Teil der erforderlichen Unterlagen für den Datenschutz insgesamt erforderlich und in einer gut geführten Datenschutzdokumentation demzufolge vorhanden ist. Spätestens jetzt macht es sich bezahlt, wenn die Dokumentation der datenschutztechnischen Disziplinen Verfahren und TOMs (die technischen und organisatorischen Maßnahmen) vollständig und aktuell ist.

Außerdem ist für die Vorabkontrolle von Vorteil, wenn die Verfahrensbeschreibungen mit Sinn und Verstand gemacht worden sind und nicht nur in sturer Befolgung der gesetzlichen Mindestvorgaben des § 4g i. V. m. 4e BDSG. Wenn der Datenschutzbeauftragte sauber gearbeitet hat, verfügt er auch über eine Risikoanalyse, zu welchen Verstößen gegen geltende datenschutzrechtliche Bestimmungen es bei den Verfahren im Unternehmensalltag kommen kann; dies ist ja auch schon allein für die Strukturierung der Schulungsmaßnahmen erforderlich. Eine solche aktuelle und vollständige Risikoanalyse verringert den erforderlichen Aufwand für die Vorabkontrollen erheblich. Liegt zudem noch eine saubere Analyse der technischen und organisatorischen Maßnahmen gemäß § 9 BDSG und der Anlage zu § 9 BDSG Satz 1 vor, hat der Datenschutzbeauftragte einen Großteil der erforderlichen Informationen schon beisammen.

Erforderliche Unterlagen

Folgende Unterlagen sollten dem Datenschutzbeauftragten vor der eigentlichen Vorabkontrolle vorliegen:

• eine grobe Beschreibung der Konfiguration des Systems, unter dem das Verfahren, für das die Vorabkontrolle durchgeführt wird, laufen soll;
• die technische Dokumentation des zum Einsatz kommenden Systems, alternativ der Link zum Hersteller;
• eine möglichst genaue Beschreibung des geplanten Einsatzes des Systems im Verlauf des Verfahrens;
• das geplante Verschlüsselungssystem für die Daten oder alternative Sicherungsmaßnahmen gegen unbefugte Zugriffe;
• das Berechtigungskonzept oder – bei mehrschichtigen Verfahren – die Berechtigungskonzepte;
• Arbeitsanweisungen, Richtlinien, Betriebsvereinbarungen – alles, was in dieser Hinsicht zum Verfahren vorhanden ist;
• Information darüber, ob für die Abwicklung des Verfahrens Fremdbeteiligung geplant ist, und wenn ja, ob es sich um Auftragsdatenverarbeitung (bei IT-Einsatz sehr wahrscheinlich) und/oder Funktionsübertragung (gegebenenfalls zusätzlich bei anderer Unterstützung durch Externe) handelt;
• Informationen, welche Auswertungen des Systems im Zusammenhang mit dem geplanten Verfahren vorgesehen sind, sowie, wenn vorhanden, Musterausdrucke, und von wem diese Auswertungen zu welchem Zweck weiter verarbeitet werden sollen.

Für den Termin vor Ort sollte darüber hinaus eine Ortsbegehung mit Öffnung aller betroffenen Gebäudeteile und technischen Räume möglich sein. Eine Besichtigung zumindest einiger exemplarisch ausgewählter Arbeitsplätze ist ebenfalls erforderlich. Mit den Verfahrensverantwortlichen sollte Zeit für ausführliche Gespräche eingeplant werden. Wenn schon Protokolle oder andere Dokumente zu den Arbeitsabläufen vorliegen, sind diese ebenfalls sehr hilfreich.