Vorabkontrolle
Die Vorabkontrolle wird Bestandteil des nunmehr stets gesetzlich für alle öffentlichen Stellen vorgeschriebenen Sicherheitskonzepts. Solche in der Regel verfahrensspezifischen Sicherheitskonzepte sind bereits seit 1999 im Geltungsbereich der IT-Sicherheitsrichtlinie des Landes Berlin für jedes neue Verfahren zu erstellen.
Der Berliner Beauftragte für Datenschutz und Informationsfreiheit beteiligt sich an den Vorabkontrollen nur, wenn der behördliche Datenschutzbeauftragte auf Zweifelsfälle gestoßen ist und fachliche Hilfe benötigt und wenn die Vorabkontrolle verwaltungsübergreifende Verfahren betrifft.
Auch die betrieblichen Beauftragten für den Datenschutz haben Vorabkontrollen durchzuführen, soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen (§ 4 d Abs. 5 BDSG). Als Regelbeispiel wird die Verarbeitung besonderer Arten personenbezogener Daten wie Gesundheitsdaten oder Daten über Religion und Weltanschauung sowie Daten zur Bewertung der Persönlichkeit der Betroffenen genannt; die Vorabkontrollen dürfen sich allerdings nicht auf diese Fälle beschränken. Vielmehr haben sie sich auch auf andere besonders eingreifende Verarbeitungen zu erstrecken wie z. B. Videoüberwachung oder Chipkarteneinsatz.
Dateibeschreibungen:
Der behördliche Datenschutzbeauftragte hat nach dem neuen Berliner Datenschutzgesetz Dateibeschreibungen zu führen. Dieser Begriff ist missverständlich und bringt die Dateibeschreibungen unrichtigerweise in einen Zusammenhang mit den früher zu führenden und an den Landesdatenschutzbeauftragten weiterzuleitenden Dateienregistern. Tatsächlich handelt es sich um schriftliche Festlegungen für automatisierte Verarbeitungen. Dies ist eine abstraktere Darstellung der Datenverarbeitung, die einen geringeren Aktualisierungsbedarf aufweisen wird. Neu ist auch, dass jede Person unentgeltlich in den öffentlichen Teil dieser Dateibeschreibungen einsehen kann. Die bisherige Praxis der meisten Berliner Behörden, die internen Transparenzpflichten nur unzureichend zu erfüllen, könnte öffentliches Missfallen auslösen.
Der Begriff „Dateibeschreibung" sollte bei der nächsten Änderung des Berliner Datenschutzgesetzes durch einen treffenderen Begriff ersetzt werden.
Wegen des Wegfalls des Dateien- und Geräteregisters beim Berliner Beauftragten für Datenschutz und Informationsfreiheit werden auch wir verstärkt auf die korrekte und aktuelle Führung der Dateibeschreibungen achten, weil wir uns anders nicht mehr über den Ist-Zustand der Datenverarbeitung unterrichten lassen können. Lücken in den Dateibeschreibungen führen damit zu Kontrolllücken, die nur durch aufwendige Vororterhebungen geschlossen werden können.
Bestellung von behördlichen Datenschutzbeauftragten und ihrer Vertreter
Wie auch die betrieblichen Datenschutzbeauftragten müssen behördliche Datenschutzbeauftragte und neuerdings auch ihre Vertreter formell und damit schriftlich
Eine kommissarische Aufgabenwahrnehmung kann beispielsweise im Fall einer längerfristigen Erkrankung des bestellten behördlichen Datenschutzbeauftragter bestellt werden. Die häufig vorzufindende Praxis, der Bestellung von Personen in dieses Amt das Attribut „kommissarisch" oder „vorläufig" anzuheften, ist nicht akzeptabel, wenn mit diesen Einschränkungen auch Einschränkungen der Rechte und des Status der Datenschutzbeauftragten verbunden sein sollen. Der Gesetzgeber hat die betrieblichen und behördlichen Datenschutzbeauftragten so ausgestattet, dass sie innerhalb ihres Unternehmens oder der Behörde unabhängig tätig sein können. Sie genießen Weisungsfreiheit, weitgehenden Schutz vor Abberufung gegen ihren Willen und direkten Zugang an die Organisationsspitze, soweit sie ihre Fachkunde als Datenschutzbeauftragte wahrnehmen. Sie dürfen nur bestellt werden, wenn sie über die notwendige Fachkunde verfügen und zuverlässig sind.
Letzteres konkretisiert das neue Berliner Datenschutzgesetz dahingehend, dass sie durch die Bestellung keinem Interessenkonflikt mit sonstigen dienstlichen Aufgaben ausgesetzt sein dürfen. tragten als durchaus geboten erscheinen, zumal eine einmal erfolgte Bestellung aufgrund der Regelung des § 19 a Abs. 2 Satz 3 BlnDSG nicht ohne weiteres widerrufen werden kann. Allerdings stimmt der Senat mit dem Berliner Beauftragten für Datenschutz und Informationsfreiheit darin überein, dass solche Fälle, unabhängig von der personal- und dienstrechtlichen Problematik, nicht zu einer Entwertung der Rechtsstellung des behördlichen Datenschutzbeauftragten und einer Umgehung der Normen des BlnDSG führen dürfen.
Bei den von uns seit Jahren begleiteten Koordinierungstreffen der bezirklichen Datenschutzbeauftragten, die im Wesentlichen dem Erfahrungsaustausch dienen, standen die im direkten Bezug zu den Datenschutzbeauftragten stehenden Neuerungen des Berliner Datenschutzgesetzes im Vordergrund.
Die Koordinierungsgruppe, an der bedauerlicherweise nur ein Teil der bezirklichen Datenschutzbeauftragten teilnimmt, hat sich auch konstruktiv an der Schaffung von Grundlagen für die Umsetzung des Berliner Datenschutzgesetzes beteiligt. So ist ein Formular zur Führung der Dateibeschreibungen entwickelt worden, das noch mit der Senatsverwaltung für Inneres abgestimmt wird. Ziel ist es, ein möglichst einheitliches Muster einer Dateibeschreibung für die gesamte Berliner Verwaltung zu erstellen, das bei Bedarf auch aus unserem Internetangebot.abgerufen werden kann.
Außerdem haben wir einen Leitfaden für die Durchführung der Vorabkontrolle erarbeitet, der die behördlichen Datenschutzbeauftragten auch bei der Durchführung dieser neuen Aufgabe unterstützen soll.
Die Abstimmung zwischen der Senatsverwaltung für Inneres und dem Berliner Beauftragten für Datenschutz und Informationsfreiheit ist mittlerweile abgeschlossen.
Die Senatsverwaltung für Inneres hat ihr Formular zur Führung der Dateibeschreibung an die betroffenen öffentlichen Stellen als Vordruckangebot übersandt. Die Verwendung des Formulars ist für die datenverarbeitenden Stellen nicht verbindlich, erscheint aber aus Gründen der Einheitlichkeit bei der Führung von Dateibeschreibungen im Land Berlin wünschenswert.
Entscheidend ist, dass die datenverarbeitenden Stellen den Anforderungen des § 19 Abs. 2 BlnDSG hinsichtlich der dort genannten schriftlichen Festlegungen Rechnung tragen.
Probleme mit der Bestellung von Datenschutzbeauftragten:
Schon immer haben wir bei Kontrollen beobachtet, dass dann, wenn ein ordnungsgemäß bestellter und von der Unternehmens- oder Behördenleitung gut unterstützter Datenschutzbeauftragter wirkte, die Ergebnisse der Kontrollen signifikant besser ausfielen, als wenn dies nicht der Fall war. Die bessere Unterrichtung der Mitarbeiter über datenschutzgerechtes Verhalten, die rechtzeitige Einflussnahme auf die Gestaltung organisatorischer und informationstechnischer Prozesse, die Aufmerksamkeit für alltägliche Nachlässigkeiten beim Umgang mit personenbezogenem Material und viele andere Eigenschaften und Aktivitäten des Datenschutzbeauftragten führen zu einer Akzeptanz des Datenschutzes, die gleichzeitig konstruktiv ist. Die mit den neuen Datenschutzgesetzen bedeutender gewordene Rolle des betrieblichen oder behördlichen Datenschutzbeauftragten macht es noch erforderlicher, auf die ordnungsgemäße Bestellung und die ausreichende Ausstattung der Datenschutzbeauftragten zu achten.
Sie können nämlich den Datenschutz in ihren Häusern sicherstellen, nicht der Landesdatenschutzbeauftragte oder die Aufsichtsbehörde.
Trotzdem müssen wir auch in diesem Jahr über grobe Mängel bei der organisatorischen Sicherstellung des Datenschutzes berichten.
Da eine bei der geplanten Einführung modifizierter informationstechnischer Verfahren vorgesehene Beteiligung des behördlichen Datenschutzbeauftragten des Universitätsklinikums Benjamin Franklin daran scheiterte, dass die Verwaltungsleitung keinen Datenschutzbeauftragten nennen konnte, wurden wir gebeten, die gewünschte Stellungnahme zu den Verfahren abzugeben. Dies war Anlass genug, das Klinikum offiziell nach der Bestellung eines behördlichen Datenschutzbeauftragten zu fragen. Zwar wurde ein Name genannt und eine Bestellung aus dem Jahre 1993 vorgelegt, bei der näheren Kontrolle stellte sich jedoch heraus, dass dieser Datenschutzbeauftragte bereits 1995 mit seinem Einverständnis, weil er sich angesichts der technischen Entwicklung nicht mehr als sachkundig einschätzte, durch einen externen Datenschutzbeauftragten abgelöst worden war. Dessen Vertrag wurde im Frühjahr 2000 aus Ersparnisgründen nicht mehr verlängert, ein neuer Datenschutzbeauftragter wurde nicht bestellt. Da die Aufgabenentbindung des früheren Datenschutzbeauftragten nicht schriftlich vollzogen wurde, ging die Verwaltungsleitung stillschweigend davon aus, er sei wieder im Amt.
So war klar, dass zur Bestellung Missverständnisse auftraten. Auf jeden Fall wurde bis zum Ende des Berichtszeitraums kein Datenschutzbeauftragter aktiv.
Um eine formelle Beanstandung abzuwenden, gab der Ärztliche Direktor des Klinikums die Zusage, dass bis zum Ablauf einer gemeinsam vereinbarten Frist ein Datenschutzbeauftragter ordnungsgemäß bestellt würde, der mindestes bis zur Aufarbeitung der über Jahre versäumten datenschutzrechtlichen Pflichten vollzeitig tätig werden müsste, und bis zum Ablauf einer weiteren Frist die gesetzlich geforderten Dateibeschreibungen erstellt werden würden.
Nach Ablauf der Frist erreichte uns eine Absichtserklärung, eine benannte Person zum Datenschutzbeauftragten sowie einen Vertreter zu bestellen. Da der Kandidat über keine Sachkenntnis als Datenschutzbeauftragter verfügte, haben wir ihm Hinweise für die Erlangung der erforderlichen Sachkenntnisse gegeben und unsere Unterstützung zugesagt. Allerdings lag auch einen Monat nach Ablauf der Frist keine Bestellung vor, so dass wir von einer Beanstandung nicht mehr absehen konnten.
In einem Krankenhaus der Vivantes-Gruppe, das wir einer Kontrolle unterzogen hatten, war zwar ein
Die Funktion des Behördlichen Datenschutzbeauftragten für den Fachbereich Humanmedizin war durch den zwischen 1993 und 2001 bestellten Behördlichen Datenschutzbeauftragten permanent besetzt. Er wurde nicht, wie im Bericht erwähnt, von einem externen Datenschutzbeauftragten abgelöst und damit entpflichtet, sondern lediglich bei der Wahrnehmung seiner Aufgaben unterstützt. Auf Grund der in diesem Zusammenhang aufgetretenen Problematik wurde jedoch eine personelle Veränderung angestrebt und durch die Bestellung eines neuen Behördlichen Datenschutzbeauftragten gelöst.
Der mit Wirkung von 13.2.2002 bestellte Behördliche Datenschutzbeauftragte für den Fachbereich Humanmedizin hat im Hinblick auf die vom Berliner Beauftragten für Datenschutz und Informationsfreiheit vorgetragenen Beanstandungen unverzüglich reagiert und mit den erforderlichen Maßnahmen zur Einrichtung dieses Aufgabengebiets begonnen.
Zum Erwerb der für die Durchführung des Datenschutzes erforderlichen Fachkunde besuchte der bestellte Behördliche Datenschutzbeauftragte Fortbildungsveranstaltungen an der Verwaltungsakademie bzw. ist eine weitere Teilnahme an Fortbildungsveranstaltungen beabsichtigt. Weiterhin wurden Ansprechpartner in den wissenschaftlichen Einrichtungen, Dezernaten und Sonderbereichen des Fachbereichs Humanmedizin benannt.
Im Rahmen eines ersten persönlichen Kontaktgesprächs erfolgen nunmehr Vororterhebungen, die zur Abklärung des Vorhandenseins von personenbezogenen Daten dienen. Diese aufwändige Datensammlung soll gleichzeitig die zu erstellenden Datenbeschreibungen vorbereiten. In diesem Zusammenhang werden auch Einschätzungen vorgenommen, in welchen Bereichen die vorgeschriebenen Vorabkontrollen erfolgen müssen.
In der weiteren Perspektive sind - als ergänzende Ausführung zum Datenschutz auch entsprechende Unterweisungen gegenüber den Mitarbeitern des Fachbereichs Humanmedizin geplant.
Das Universitätsklinikum Benjamin Franklin geht davon aus, dass die intensiven Bemühungen und die gesamte Vorgehensweise des neuen Behördlichen Datenschutzbeauftragten den vom BlnBDI aufgezeichneten Nachholbedarf im angemessenen Zeitrahmen vgl.