Maßnahmen zur Datensicherung

In Paragraphenüberschrift und -text wird der Begriff der „Maßnahmen zur Datensicherung" in Übereinstimmung mit der Diktion des Bundesdatenschutzgesetzes und der Datenschutzgesetze anderer Länder sowie neuerer ­ auch hamburgischer ­ bereichsspezifischer Datenschutzvorschriften durch den der „technischen und organisatorischen Maßnahmen" ersetzt. Materielle Rechtsänderungen sind hiermit nicht verbunden, da § 8 Absatz 1 Satz 1 die Maßnahmen zur Datensicherung schon bisher als technische und organisatorische Maßnahmen definiert. Die redaktionelle Anpassung trägt zur weiteren Vereinheitlichung der datenschutzrechtlichen Terminologie bei.

Außerdem vermeidet sie die etwas missverständliche Verwendung des Begriffs der Datensicherung, der im allgemeinen Sprachgebrauch, anders als im bisherigen § 8, meist lediglich im Sinne von Speicherung zu Sicherungszwecken verstanden wird.

Die Paragraphenüberschrift ist darüber hinaus im Hinblick auf Absatz 4 um den Begriff der Vorabkontrolle erweitert worden.

Absatz 1 In Satz 1 ist der Begriff der „in § 2 Absatz 1 Satz 1 genannten Stelle" durch den eingängigeren Begriff der „Daten verarbeitenden Stelle" ersetzt worden. Ebenso wurde an anderen Stellen des Gesetzes verfahren, an denen nicht die Tatsache, dass es sich um eine Stelle handelt, auf die das Gesetz nach § 2 Absatz 1 Satz 1 anzuwenden ist, sondern der Umstand im Vordergrund steht, dass die für die Datenverarbeitung verantwortliche Stelle angesprochen werden soll.

Absatz 2 Der Katalog der Datensicherungsziele ist neu gefasst worden. Die bisherigen sogenannten 10 Gebote der Datensicherung stammen aus den 70er Jahren und orientieren sich an der damaligen Technik der Datenverarbeitung, die im Wesentlichen von zentral organisierten Rechenzentren bestimmt war. Telekommunikation und Vernetzung spielten eine untergeordnete Rolle. Die Datensicherheitsüberlegungen waren daher von Vorstellungen aus der Großrechnerwelt geprägt und primär mit dem Schutz der Rechner verbunden, die in abgeschlossenen Rechenzentren betrieben wurden. Besonders deutlich wird dies in der Zugangskontrolle des bisherigen Rechts (§ 8 Absatz 2 Nummer 1), die auf den physischen Zugang zu den Räumen gerichtet ist, in denen sich Datenverarbeitungsanlagen befinden.

Dieser Ansatz verliert indes in einer modernen Datenverarbeitungsumwelt, in der praktisch alle Büroarbeitsplätze mit einem Personalcomputer ausgestattet sind, seine Bedeutung. Ähnliches lässt sich für die weiteren Sicherungsziele des geltenden Rechts nachweisen. Die neu in den Absatz 2 aufgenommenen Sicherungsziele orientieren sich hingegen möglichst technologieunabhängig an den Sicherungszielen, die sich zur Datensicherheit herausgebildet haben und auch den in der hamburgischen Verwaltung angewandten Sicherungskonzepten zugrunde liegen. Sie weisen eine hinreichende Flexibilität auf und sind, insbesondere für die Fachleute, die sich mit der Sicherheit automatisierter Datenverarbeitung zu befassen haben, besser verständlich als die bisherigen „Kontroll"-Formen. Die neu definierten Sicherungsziele sind im Wesentlichen selbsterklärend:

­ Das Sicherungsziel der Vertraulichkeit verlangt, dass kein unbefugter Informationsgewinn stattfinden kann;

­ Integrität bedeutet, dass keine nicht beabsichtigten Veränderungen der Daten herbeigeführt werden können;

­ Verfügbarkeit verlangt, dass die Daten und damit das Datenverarbeitungssystem zu den vorgegebenen Zeiten in erforderlichem Maß zur Verfügung steht;

­ Authentizität ist gegeben, wenn die Urheberschaft der Daten sicher festgestellt werden kann;

­ Revisionsfähigkeit verlangt die Nachvollziehbarkeit der Datenverarbeitung. Hierzu gehört auch die Dokumentation der Verarbeitungsverfahren, soweit sie erforderlich ist, um festzustellen, in welcher Weise personenbezogene Daten verarbeitet werden. Wie für alle Sicherungsziele, gilt auch für die Revisionsfähigkeit die Bestimmung des Absatzes 1 Satz 2. Danach sind technische und organisatorische Maßnahmen nur erforderlich, wenn ihr Aufwand in einem angemessenen Verhältnis zur Schutzwürdigkeit der Daten steht. Hierdurch wird insbesondere auch der Umfang notwendiger Protokollierungen bestimmt und begrenzt.

Absatz 3 Die Änderung ist lediglich redaktionell bedingt und vermeidet die Verwendung des an dieser Stelle ohnehin überflüssigen Aktenbegriffs.

Absatz 4 Neben der Vornahme redaktioneller Optimierungen wird ein neuer Satz angefügt, der die Daten verarbeitende Stelle dazu verpflichtet, das Ergebnis der Risikoanalyse der oder dem behördlichen Datenschutzbeauftragten bzw. der oder dem Hamburgischen Datenschutzbeauftragten zur Stellungnahme vorzulegen, soweit danach von einem Verfahren eine besondere Gefährdung für die Rechte der Betroffenen ausgeht. Im Zusammenhang mit § 10 a Absatz 5 Satz 3 Nummer 3 setzt diese Vorschrift Artikel 20 der EG-Datenschutzrichtlinie über die Vorabkontrolle von Datenverarbeitungen um, die spezifische Risiken für die Rechte und Freiheiten Betroffener mit sich bringen können.

Der Begriff der „besonderen Gefährdung" kann als unbestimmter Rechtsbegriff nur einzelfallbezogen konkretisiert werden. Als Beurteilungskriterien kommen insbesondere die Art und der Umfang der zu verarbeitenden Daten sowie Zweck, Art und Umfang ihrer Verarbeitung in Betracht.

Eine besondere Gefährdung liegt in jedem Fall nur vor, wenn die Gefahren, die von einem Datenverarbeitungsverfahren für die Rechte der Betroffenen ausgehen, deutlich das übliche Maß der Gefährdung übersteigen, das jede automatisierte Datenverarbeitung mit sich bringt. Im Hinblick auf Art und Umfang der Daten kann eine besondere Gefährdung z. B. vorliegen, wenn sensitive Daten im Sinne von § 5 Absatz 1 Satz 2 Gegenstand der Verarbeitung sind oder Daten der einzelnen Betroffenen in einem Umfang verarbeitet werden, der weitreichende Schlüsse auf die Persönlichkeit oder den Lebenswandel der Betroffenen ermöglicht. Aus Zweck, Art und Umfang der Verarbeitung können sich besondere Gefährdungen z. B. ergeben, wenn es sich um Verarbeitungen nach den §§ 5 a und 5 b handelt oder aus den Ergebnissen der Verarbeitung gravierende nachteilige Folgen für die Betroffenen gezogen werden sollen.

Da es im Übrigen wenig sinnvoll erscheint, Datenverarbeitungen, die besondere Gefährdungen beinhalten, vorab und abstrakt zu definieren ­ es ist vielmehr gerade Inhalt der Risikoanalyse, solche Risiken aufzudecken ­, sieht das Gesetz eine verfahrensmäßige Lösung vor. Danach hat die Risikoanalyse selbst sich zu der Frage etwaiger besonderer Gefährdungen zu äußern. Bejahendenfalls findet eine weitere Prüfung durch die behördlichen bzw. durch die oder den Hamburgischen Datenschutzbeauftragten statt. Die Frage, ob es sich überhaupt um ein vorabkontrollpflichtiges Verfahren handelt, ist von ihnen allerdings eigenständig zu beurteilen und somit Gegenstand der weiteren Prüfung. Die behördlichen bzw. die oder der Hamburgische Datenschutzbeauftragte haben vor Einführung oder wesentlicher Änderung des Verfahrens somit die Gelegenheit, aufgrund ihrer Prüfung eine Stellungnahme abzugeben.

Die Verantwortung der Daten verarbeitenden Stelle für die Entscheidung über die Einführung des Datenverarbeitungsverfahrens bleibt hiervon unberührt.

Zu Nummer 10 (§ 9)

Der neu gefasste § 9 ersetzt das bisherige Dateiverzeichnis durch ein Verfahrensverzeichnis, schafft das Gerätever zeichnis ab und begründet ein Recht für jedermann zur Einsicht in die Verfahrensbeschreibungen.

Hintergrund für die Ersetzung des Datei- durch ein Verfahrensverzeichnis sind die Artikel 18 und 19 der EG-Datenschutzrichtlinie. Danach sind die Daten verarbeitenden Stellen verpflichtet, automatisierte Datenverarbeitungen unter Mitteilung bestimmter, in Artikel 19 Absatz 1 der EG-Datenschutzrichtlinie genannter Angaben einer Kontrollstelle zu melden. Von der Meldung kann nach Artikel 18 Absatz 2 2. Spiegelstrich bei Bestellung behördlicher Datenschutzbeauftragter (s. dazu § 10 a) zwar abgesehen werden. Ein Verzeichnis mit den entsprechenden Angaben ist allerdings auch in diesem Fall zu führen. Dies ergibt sich aus Artikel 21 Absatz 3 der EG-Datenschutzrichtlinie, wonach diese Angaben auf Antrag jedermann in geeigneter Weise verfügbar zu machen sind.

Die Abschaffung des besonderen datenschutzrechtlichen Geräteverzeichnisses dient der Entlastung der Verwaltung.

Die Angaben über die eingesetzten Geräte nach Absatz 1 Nummer 9 sind in datenschutzrechtlicher Hinsicht ausreichend. Daher ist es nicht gerechtfertigt, die aus praktischen und haushaltlichen Gründen natürlich erforderliche Inventarisierung mit besonderen Vorgaben aus dem Datenschutzrecht zu befrachten.

Absatz 1 Die Verfahrensbeschreibung nach Satz 1 verlangt gegenüber der bisherigen Dateibeschreibung nicht mehr die Bezeichnung bestimmter ­ auch manueller ­ Datensammlungen, sondern nur die Beschreibung von Verfahren zur (zumindest teil-)automatisierten Verarbeitung personenbezogener Daten, die ihrerseits naturgemäß eine ganze Reihe von Dateien beinhalten können. Dabei ist der Begriff des Verfahrens, wie bisher bereits in § 8 Absatz 4, nicht programmtechnisch, sondern unter dem Gesichtspunkt von Arbeitsabläufen zu verstehen (z. B. Verfahren zur Bearbeitung von Bauanträgen oder dgl.). Die Verfahrensbeschreibung muss in Übereinstimmung mit Artikel 19 Absatz 1 der EG-Datenschutzrichtlinie die in den Nummern 1 bis 9 genannten Daten umfassen: Nummer 1 verlangt die Bezeichnung der Daten verarbeitenden Stelle.

Nach Nummer 2 sind das Verfahren und seine Zweckbestimmungen zu bezeichnen. Die Vorschrift entspricht im Wesentlichen der Nummer 1 des geltenden Rechts.

Nummern 3 und 4 entsprechen den Nummern 2 und 3 des geltenden Rechts.

Nummer 5 verlangt in Übereinstimmung mit Artikel 19 Absatz 1 Buchstabe d der EG-Datenschutzrichtlinie die Bezeichnung der Empfängerinnen oder Empfänger oder Empfängerkreise, die Daten aus dem Verfahren erhalten können. Zu beachten ist dabei, dass der Empfängerbegriff weiter ist, als der der bisherigen „empfangenden Stellen" (vgl. zu § 4 Absatz 5). Nicht zu den in die Verfahrensbeschreibung aufzunehmenden Empfängern gehören Prüfungsbehörden ­ z. B. der Rechnungshof ­, denen gesetzliche Vorlagerechte zustehen.

Nach Nummer 6 sind beabsichtigte Übermittlungen an Drittländer anzugeben. Hiermit wird Artikel 19 Absatz 1 Buchstabe e der EG-Datenschutzrichtlinie entsprochen.

Nummern 7 und 8 entsprechen den bisherigen Nummern 5 und 6.

Nummer 9 entspricht im Wesentlichen der bisherigen Nummer 7. Der technisch überholte Begriff der „Betriebsart der Anwendungen" ist allerdings gestrichen worden.

Satz 2 gibt wie im geltenden Recht die Möglichkeit, Beschreibungen gleichartiger Verfahren in einer einzigen Verfahrensbeschreibung zusammenzufassen.

Absatz 2 In Übereinstimmung mit Artikel 18 Absätze 2 und 3 werden Ausnahmen von der Beschreibungspflicht für Verfahren der Registerführung, sofern das Register zur Information der Öffentlichkeit bestimmt ist oder allen Personen, die ein berechtigtes Interesse nachweisen können, offen steht, sowie für Verfahren der allgemeinen Bürokommunikation vorgesehen. Letztere gehören heute zu der durchweg üblichen Grundausstattung jeder Verwaltung. Sie lassen im Allgemeinen auch keine Gefährdungen des Rechts auf informationelle Selbstbestimmung erwarten. Das Verlangen von Verfahrensbeschreibungen, die praktisch von jeder Daten verarbeitenden Stelle in gleicher Weise erstellt werden müssten, würde als aufwendiger Formalismus keinen messbaren Nutzen für den Datenschutz ergeben.

Absatz 3 Die neue Vorschrift setzt die Meldepflicht nach Artikel 18 Absatz 1 der EG-Datenschutzrichtlinie für die Stellen, die keine behördlichen Datenschutzbeauftragten bestellt haben, sowie den Artikel 21 der EG-Datenschutzrichtlinie über die Öffentlichkeit der Verarbeitungen um. Das Einsichtsrecht steht jeder Person unabhängig davon zu, ob sie durch eine Datenverarbeitung betroffen ist. Die Wahrnehmung des Einsichtsrechts erfolgt bei den Daten verarbeitenden Stellen selbst, soweit sie behördliche Datenschutzbeauftragte bestellt haben, im Übrigen bei der oder dem Hamburgischen Datenschutzbeauftragten.

Die Ausnahmen vom Einsichtsrecht in Satz 3 sind EGrechtlich durch den insofern beschränkten Anwendungsbereich der Richtlinie gerechtfertigt und orientieren sich in der Sache an den Ausnahmen von der Öffentlichkeit des

­ inzwischen abgeschafften ­ öffentlichen Dateiregisters beim Hamburgischen Datenschutzbeauftragten (vgl. § 24 Absatz 2 Satz 1 des Hamburgischen Datenschutzgesetzes vom 5. Juli 1990 [Hamburgisches Gesetz- und Verordnungsblatt Seiten 133, 165, 226]).

Zu Nummer 11 (§ 10 a ­ neu ­)

Die neu eingefügte Vorschrift macht von der Möglichkeit des Artikels 18 Absatz 2 2. Spiegelstrich der EG-Datenschutzrichtlinie Gebrauch, anstelle der in der Richtlinie vorgesehenen Meldepflichten gegenüber der Kontrollstelle (hier: Hamburgische Datenschutzbeauftragte bzw. Hamburgischer Datenschutzbeauftragter) behördliche Datenschutzbeauftragte zu bestellen. Die Bestellung behördlicher Datenschutzbeauftragter stellt das Gesetz in das Ermessen der Daten verarbeitenden Stellen und ermöglicht damit eine flexible, an den jeweiligen Bedürfnissen und Problemen der Daten verarbeitenden Stelle orientierte Handhabung. Für Daten verarbeitende Stellen, die behördliche Datenschutzbeauftragte bestellen, gelten gegenüber den anderen Daten verarbeitenden Stellen die folgenden Besonderheiten bzw. Erleichterungen:

­ Verfahrensbeschreibungen Daten verarbeitender Stellen mit behördlichen Datenschutzbeauftragten werden von letzteren geführt und zur Einsicht bereitgehalten (§ 9 Absatz 3).