Die acht goldenen Regeln der Anlage zu § 9 BDSG (Teil 4)
Nr. 5 - Eingabekontrolle
Wie bereits weiter oben erwähnt, macht es immer auch Sinn zu protokollieren, wer wann auf welche Daten zugreift, und was verändert wird. Die Maßnahmen zur Eingabekontrolle sollen genau das sicherstellen. Mit ihnen soll sich jederzeit ermitteln lassen, wer bestimmte Daten erstellt hat, was der Inhalt dieser Daten war und ist und wann die Erstellung bzw. Änderung vorgenommen wurde. So soll ermittelt werden können, wer für falsche oder unvollständige Daten verantwortlich zeichnet. Nicht gespeichert werden dürfen dabei aber die gelöschten oder veränderten Daten an sich. Es obliegt den Unternehmen wie die Identifizierung des „Datenurhebers“ umgesetzt wird. Es ist dabei nicht erforderlich, dass sich diese bereits direkt aus dem Datenverarbeitungssystem ergibt. Ausreichend ist beispielsweise auch eine Identifizierungsmöglichkeit über Eingangskontrollbücher oder Schichtpläne.
Zu beachten ist, dass mit der Anfertigung von Eingabeprotokollen eine neue Sammlung personenbezogener Daten entsteht, die als solche behandelt werden muss. Bei einer automatisierten Erstellung sollte daher darauf geachtet werden, dass sich einzelne Einträge auch nur automatisiert wieder ermitteln lassen.
Maßnahmen der Eingabekontrolle können unter anderem sein:
- Protokollierung der Nutzer, welche Eingaben tätigen
- Protokollierung aller Datenveränderungen
- Aufzeichnung von Protokollen direkt mit dem jeweiligen Datensatz
- Sicherung der Protokolldateien gegen unbefugte Nutzung und Veränderung
Der thüringische Datenschutzbeauftragte hat für Protokolldateien folgende allgemeine Hinweise veröffentlicht :
„Eine Erzeugung von Protokolldateien ist nur zulässig, wenn sie auch erforderlich sind, d. h. tatsächlich genutzt werden. Werden sie ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes der EDV-Anlage gespeichert, dürfen sie nur für diese Zwecke verwendet werden (Fußnote). Werden Protokolldateien der genannten Art länger als drei Monate vorgehalten, sind sie in das Anlagen- und Verfahrensverzeichnis gem. § 10 Abs. 2 ThürDSG aufzunehmen und müssen darüber hinaus dem TLfD zum Datenschutzregister gem. § 3 Abs. 1 ThürDSRegVO gemeldet werden. Dies gilt nicht für Dateien, die vorübergehend und ausschließlich aus verarbeitungstechnischen Gründen erstellt und nach ihrer ordnungsgemäßen Nutzung automatisch gelöscht werden (Fußnote).
Im Allgemeinen ist davon auszugehen, dass die Protokolldateien zur Verhaltens- und Leistungskontrolle geeignet sind. Es erscheint daher unerlässlich, den Personalrat oder Betriebsrat auf die Protokolldatei(en) hinzuweisen, damit dieser gegebenenfalls von seinen Mitbestimmungsrechten Gebrauch machen kann. Die zulässigen Auswertungen der Protokolldateien sowie die Art ihrer Nutzung sollten unter Beteiligung des internen Datenschutzbeauftragten und des Personalrates oder Betriebsrates festgelegt werden. Tatsächliche Auswertungen zu Zwecken der Datenschutzkontrolle oder der Kontrolle der IT-Sicherheit sollten durch den Datenschutzbeauftragten bzw. IT-Sicherheitsbeauftragten unter Beteiligung des Personalrates erfolgen.
Eine wahllose Registrierung aller Aktivitäten des Benutzers ist aus Sicht des Datenschutzes bedenklich. Zwar erfordert § 9 ThürDSG Maßnahmen, damit nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zur welcher Zeit von wem in das System eingegeben wurden. Der Angemessenheitsgrundsatz des § 9 gestattet es jedoch, dahingehende Registrierungen in Protokolldateien auf sensiblere Aktivitäten (Fußnote) zu begrenzen. Es sollten daher alle systemseitig vorhandenen Möglichkeiten - durch Einstellen von Parametern oder Setzen von "Schaltern" - genutzt werden, damit wirklich nur Aktivitäten mit erhöhtem Schutzbedarf registriert werden. So reicht es aus, wenn beispielsweise nicht jeder Zugriff auf eine Personaldatei registriert wird, sondern nur diejenigen, die besonders sensible Datenfelder oder Programme betreffen. Auch eine solche Protokolldatei darf nicht zur Verhaltens- und Leistungskontrolle genutzt werden. Protokolldateien müssen nach angemessener Zeit (Fußnote) gelöscht werden; eine Speicherdauer von maximal einem Jahr ist im Allgemeinen als ausreichend anzusehen (Fußnote).“
Nr. 6 - Auftragskontrolle
In Ergänzung zu § 11 BDSG, welcher die rechtlichen Rahmenbedingungen für eine Auftragsdatenverarbeitung regelt, soll die Auftragskontrolle sicherstellen, dass sich der Auftragsdatenverarbeiter auch an die Weisungen des Auftraggebers hält und Datenverarbeitung nur innerhalb dieser Weisungen stattfindet. Denn allein die Weisungsgebundenheit führt dazu, dass eine Weitergabe von Daten an den Auftragnehmer nicht als Weitergabe an Dritte gewertet wird, welche zustimmungsbedürftig wäre.
Die Auftragskontrolle verlangt deshalb nach in Art und Umfang verhältnismäßigen Maßnahmen, welche sicherstellen, dass das Übermitteln, Speichern, Nutzen, Verändern und Löschen personenbezogener Daten nur nach Vorgabe des Auftraggebers beim Auftragnehmer erfolgen kann. Zum einen hat also der Auftragnehmer die Weisungen des Auftraggebers einzuhalten, zum anderen muss der Auftraggeber dafür Sorge tragen, dass seine Weisungen verständlich und umsetzbar sind und auch befolgt werden.
Die Weisungen können dabei in jeder Form erteilt werden, es empfiehlt sich jedoch eine Form zu wählen, die zum einen Irrtümer vermeidet und später ordentliche Nachweise ermöglicht. In der Praxis lassen sich diese Erfordernisse am besten über die Nutzung von Formularen (Fußnote) bei der Auftragserteilung umsetzen. In den Weisungen sollte immer auch enthalten sein, welche Daten wie übermittelt werden sollen.
Erfolgte Maßnahmen sind sowohl vom Auftraggeber, als auch vom Auftragnehmer ständig auf ihre Umsetzung zu überprüfen und gegebenenfalls zu verbessern. Mögliche Maßnahmen wären zum Beispiel:
- Beachtung der erforderlichen Sorgfalt bei der Auswahl des Auftragnehmers
- Erteilung von Weisungen in schriftlicher oder elektronischer Form
- Schriftliche Bestätigung von mündlichen Weisungen
- Verwendung von Formularen
- Verschlüsselte Datenübergabe
- Abschluss einer Geheimhaltungsvereinbarung
- Regelung über Datenlöschung/-vernichtung bei Auftragsbeendigung
- Regelmäßige Kontrolle der Umsetzung
- Vertragliche Vereinbarung von Konventionalstrafen für Zuwiderhandlungen
Stand: 18.07.2007
Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.
Das Referat IT-Recht wird bei Brennecke Rechtsanwälte betreut von:
Rechtsanwalt Tilo Schindele
Mehr Beiträge zum Thema finden Sie unter:
Rechtsinfos/ DatenschutzrechtRechtsinfos/ IT-Recht/ IT-Security/ Datenschutzrecht/ Bundesdatenschutzgesetz