Wirksamer Datenschutz

Muss die Kaffeeliste unter Verschluss?

Beim Datenschutz scheiden sich die Geister. Den Einen geht er nicht weit genug, die Anderen sind regelmäßig davon genervt. Das gilt insbesondere dann, wenn die vielen Regeln in der Praxis umgesetzt werden sollen.

Bürgermeister L. seufzt leise. Soeben kam eine neue Aufforderung von der Kreisverwaltung. Die Einhaltung des Datenschutzes in Neustadt muss bis Jahresende nachgewiesen werden. Ein unangekündigter Besuch der Landesdatenschutzbeauftragten in Altstadt war der Auslöser. Denn dort kamen jede Menge Unzulänglichkeiten zum Vorschein. Nun sollen auch die anderen Städte im Kreis ihre Hausaufgaben machen. Das aber ist leichter gesagt als getan.

Natürlich hat auch Neustädter Verwaltung einen Datenschutzbeauftragten. Aber die Erstellung von Datenschutzkonzepten gehört nicht zu seinen Aufgaben. Er wäre damit auch komplett überlastet.

Bürgermeister L. ruft seinen IT-Dienstleister an. Auch dort winkt man ab. Die Einhaltung des Datenschutzes ist Sache des Auftraggebers. Außerdem sind davon mehr Dinge betroffen, als nur die IT-Systeme und Anwendungen. So müssen zum Beispiel alle Verarbeitungstätigkeiten und deren Zusammenspiel betrachtet werden. Glücklich, wer hierzu bereits aktuelle Übersichten pflegt. Für besonders sensible Vorgänge bedarf es zudem spezieller Datenschutzfolgeabschätzungen. Und nicht zu vergessen, das Verzeichnis der Verarbeitungstätigkeiten muss regelmäßig überprüft werden. Für solch eine Aufgabe kann der IT-Dienstleister leider keine Ressourcen freistellen. Bürgermeister L. gibt daher das Erstellen des Datenschutzkonzepts extern in Auftrag.

Für Verwaltungen orientiert sich das Datenschutzkonzept häufig an der Methodik des Standard-Datenschutzmodells (SDM). Das Modell leitet aus den gesetzlichen Anforderungen sieben sogenannte Gewährleistungsziele ab. Für jedes der Ziele werden geeignete Maßnahmen genannt. Sie sollen zur sicheren Einhaltung des Datenschutzes beitragen.

Bei der Erstellung des Konzept werden nunmehr alle Tätigkeiten betrachtet, die personenbezogene Daten verarbeiten. Bei jeder dieser Tätigkeiten wird außerdem das zu erwartende Risiko ermittelt, dass mit der Verletzung des Datenschutzes einhergehen würde. Hierfür müssen bestimmte Kriterien beachten und Abwägungen getroffen werden. Zum Beispiel wäre das Risiko bei einer Offenlegung vertraulicher Gesundheitsdaten wahrscheinlich höher als wenn Daten der Terminvergabe bei der Kfz-Zulassungsstelle publik würden. Auch für die unfreiwillige Offenbarung der Liste für die interne Kaffeekasse stellt kein hohes Risiko dar. Die Feststellung ist wichtig, da bei Verarbeitungstätigkeiten mit hohem Risiko zusätzlich noch die Folgenabschätzung durchgeführt werden muss.

Das fertige Datenschutzkonzept führt für alle Verarbeitungsprozesse die umzusetzenden oder bereits umgesetzten Maßnahmen auf. Es bildet die Grundlage für den dann einsetzenden Prozess der regelmäßigen Überarbeitung.

Bürgermeister L. ist zufrieden. Nicht nur, dass er die Erfüllung der Anforderung an die Kreisverwaltung melden kann. Er sieht auch, dass er endlich ein Instrument in der Hand hält, mit dem es sich arbeiten lässt.

Hast du noch Fragen? Dann schreib uns einfach!