Einsatz automatisierter Verfahren - EDV/IT

Ein automatisiertes Verfahren liegt vor, wenn die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten mit Hilfe programmgesteuerter Anlagen durchgeführt wird, wenn also eine bestimmte Software zum Einsatz kommen soll. Beispiele hierfür sind Einwohnermeldesysteme, Personalverwaltungssysteme, Ratsinformationssysteme, Abrechnungssysteme, Patientenverwaltungssysteme sowie Informationssysteme der Polizei, der Staatsanwaltschaften, der Gerichte und des Verfassungsschutzes.

Vor dem erstmaligen Einsatz eines automatisierten Verfahrens ist gemäß § 11 Abs.1 Satz 1 SDSG zunächst durch den behördlichen Datenschutzbeauftragten im Rahmen einer sogenannten Vorabkontrolle zu prüfen, welche Gefahren durch den Einsatz des beabsichtigten Systems für das informationelle Selbstbestimmungsrecht der Betroffenen erwachsen können. Für die praktische Umsetzung ist es empfehlenswert, mit Blick auf das Schutzstufenkonzept und die Umsetzung technisch organisatorischer Maßnahmen, den IT-Sicherheitsbeauftragten und/oder die jeweiligen IT-Fachleute der Behörde zu beteiligen.

Aufbauend auf den Erkenntnissen der Vorabkontrolle kann sodann die entsprechende Verfahrensbeschreibung (§ 9 SDSG) erstellt werden. Eine Verfahrensbeschreibung ist beim erstmaligen Einsatz eines Verfahrens aber auch bei wesentlichen Änderungen, beispielsweise bei einer Ausweitung des betroffenen Personenkreises oder der erhobenen Daten, von der verantwortlichen Stelle zu erstellen. Der behördliche Datenschutzbeauftragte wie auch die jeweiligen IT-Fachleute sollten hierbei beteiligt werden. Nach § 7 Abs. 2 SDSG ist die Verfahrensbeschreibung zur Abstimmung mit unserer Dienststelle sodann an das Unabhängige Datenschutzzentrum Saarland zu übersenden.

Nach Abschluss des Abstimmungsverfahrens kann anschließend die schriftliche Freigabe des Verfahrens durch die zuständige oberste Landesbehörde oder in den übrigen Verfahren durch die verantwortliche Stelle selbst erfolgen.

Erst danach kann das Verfahren in Betrieb genommen werden.

Die nunmehr gültige Verfahrensbeschreibung ist vom behördlichen Datenschutzbeauftragten zu führen und kann in der Regel von jedermann eingesehen werden.

Rechtsgrundlagen

§ 5 SDSG Verarbeitung personenbezogener Daten im Auftrag

(1) Werden personenbezogene Daten im Auftrag einer öffentlichen Stelle verarbeitet, so bleibt sie verantwortliche Stelle im Sinne dieses Gesetzes. Die Auftragsnehmerin oder der Auftragnehmer ist unter besonderer Berücksichtigung ihrer oder seiner Eignung sorgfältig auszuwählen. Der Auftrag ist schriftlich unter Festlegung von Gegenstand und Umfang der Datenverarbeitung zu erteilen. Er muss Weisungen zur Umsetzung der Vorgaben des § 11 enthalten. Die Auftragnehmerin oder der Auftragnehmer darf personenbezogene Daten nur im Rahmen des vertraglich Festgelegten verarbeiten. Unterauftragsverhältnisse bedürfen ausdrücklicher Zustimmung. Die Auftraggeberin oder der Auftraggeber hat darauf zu achten, dass bei der Auftragnehmerin oder dem Auftragnehmer die nach § 11 Abs. 2 erforderlichen Maßnahmen getroffen sind.

(2) Soweit öffentliche Stellen personenbezogene Daten im Auftrag verarbeiten, gelten für sie nur die §§ 6, 7 Abs. 1, §§ 8, 11, 23, 26 bis 29, 35 und 36.

(3) Sofern die Vorschriften dieses Gesetzes auf die Auftragnehmerin oder den Auftragnehmer keine Anwendung finden, ist die Auftraggeberin oder der Auftraggeber verpflichtet, vertraglich sicherzustellen, dass die Auftragnehmerin oder der Auftragnehmer die Bestimmungen dieses Gesetzes befolgt und sich der Kontrolle des Landesbeauftragten für Datenschutz unterwirft. Die Auftraggeberin oder der Auftraggeber hat die Landesbeauftragte oder den Landesbeauftragten für Datenschutz über die Beauftragung zu unterrichten.

(4) Die Absätze 1 bis 3 gelten entsprechend für Personen und Stellen, die im Auftrag die Wartung und Betreuung von Anlagen und Verfahren zur automatisierten Datenverarbeitung wahrnehmen.

§ 9 SDSG Verfahrensbeschreibung

(1) Die speichernde Stelle, die für den Einsatz eines automatisierten Verfahrens zuständig ist, ist verpflichtet, in einer Verfahrensbeschreibung folgende Angaben schriftlich festzulegen:

  1. Name und Anschrift der verantwortlichen Stelle,
  2. die Bezeichnung des Verfahrens und seine Zweckbestimmungen sowie die jeweiligen Rechtsgrundlagen,
  3. die Art der verarbeiteten personenbezogenen Daten,
  4. den Kreis der Betroffenen,
  5. die Art regelmäßig zu übermittelnder personenbezogener Daten, deren Empfängerinnen oder Empfänger sowie Art und Herkunft regelmäßig empfangener Daten,
  6. eine geplante Datenübermittlung in Drittländer,
  7. Fristen für die Sperrung und Löschung der Daten,
  8. die Ergebnisse der Vorabkontrolle nach § 11 Abs. 1,
  9. die technischen und organisatorischen Maßnahmen nach § 11 Abs. 2,
  10. die Technik der Verfahren, einschließlich Hard- und Software und
  11. die zugriffsberechtigten Personen oder Personengruppen.

Änderungen sind der oder dem behördlichen Datenschutzbeauftragten mitzuteilen. Soweit speichernde und verantwortliche Stelle nicht identisch sind, sind diese Verfahrensbeschreibung und deren Änderungen auch der oder dem behördlichen Datenschutzbeauftragten der verantwortlichen Stelle zur Verfügung zu stellen.

(2) Die Angaben der Verfahrensbeschreibung können bei der oder dem behördlichen Datenschutzbeauftragten der verantwortlichen Stelle von jedermann eingesehen werden. Dies gilt jedoch insbesondere für die Angaben zu den Nummern 8, 9 und 10 nur, soweit hierdurch die Sicherheit des Verfahrens nicht beeinträchtigt wird. Satz 1 gilt nicht für

  1. Verfahren des Landesamtes für Verfassungsschutz,
  2. Verfahren zum Zwecke der Gefahrenabwehr und der Strafverfolgung,
  3. Verfahren der Steuerfahndung,
  4. Verfahren der öffentlich-rechtlichen Unternehmen, die am Wettbewerb teilnehmen, soweit die verantwortliche Stelle eine Einsichtnahme im Einzelfall mit der Erfüllung ihrer Aufgaben für unvereinbar erklärt.

(3) Soweit eine verantwortliche Stelle keine behördliche Datenschutzbeauftragte oder keinen behördlichen Datenschutzbeauftragten bestellt hat, tritt an dessen Stelle die oder der Landesbeauftragte für Datenschutz

§ 11 SDSG Vorabkontrolle; technische und organisatorische Maßnahmen

(1) Vor dem erstmaligen Einsatz automatisierter Verfahren zur Verarbeitung personenbezogener Daten ist zu prüfen, welche Gefahren hierdurch für das informationelle Selbstbestimmungsrecht erwachsen können (Vorabkontrolle). Automatisierte Verfahren dürfen nur dann eingesetzt werden, wenn sichergestellt ist, dass keine Gefahren für das informationelle Selbstbestimmungsrecht bestehen oder diese durch Maßnahmen nach Absatz 2 verhindert werden können. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Gefahren und der Art der zu schützenden personenbezogenen Daten angemessen ist.

(2) Werden personenbezogene Daten automatisiert verarbeitet, ist die innerbehördliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

  1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
  2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
  3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigen ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, und dass diese Daten bei der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
  4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
  5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
  6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
  8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

(3) Werden personenbezogene Daten nicht automatisiert verarbeitet, sind Maßnahmen zu treffen, um insbesondere den Zugriff Unbefugter bei der Bearbeitung, der Aufbewahrung, dem Transport und der Vernichtung zu verhindern.

Downloads

  • 63 K
    IT-Sicherheitsrichtlinie

    Richtlinie für die Planung und Realisierung der Sicherheit der Informationstechnik im Rahmen informationstechnischer und kommunikationstechnischer Verfahren. Stand: 05. Juni 2003