Festlegung der Mittel
Home » DSGVO » Wichtigste Konzepte » Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen » Anwendung der Datenschutzgrundsätze in den verschiedenen Phasen der Verarbeitung » Festlegung der Mittel

Im folgenden Unterabschnitt wird beschrieben, wie bei der Festlegung der Mittel geeignete technische und organisatorische Maßnahmen ermittelt werden können.

Während die Festlegung der Verarbeitungszwecke das „Was“ festlegt, das durch die Verarbeitung erreicht werden soll, legt die Festlegung der Mittel fest, „wie“ dieses Ziel erreicht wird.Bei jedem Schritt der Festlegung dieses „Wie“ müssen die Grundsätze und Anforderungen des Datenschutzes berücksichtigt werden.

Die Festlegung der Mittel kann als Ergebnis eines Durchführungsplans für die Verarbeitungstätigkeit angesehen werden.Er umfasst Ressourcen, Anweisungen sowie technische und organisatorische Maßnahmen.Letztere dienen dazu, die Datenschutzgrundsätze umzusetzen.Eine ausführliche Erörterung der Maßnahmen zur Umsetzung der verschiedenen Grundsätze findet sich im Abschnitt „Leitlinien“der Grundsätze (siehe Abschnitt „Grundsätze“ in Teil II dieser Leitlinien).

Management des Prozesses zur Festlegung der Mittel

Die Festlegung der Mittel ist oft ein umfangreicher Prozess, an dem in der Regel eine Vielzahl von Personen, Fachgebieten, Organisationseinheiten oder Abteilungen beteiligt sind und der sogar externe Berater und Experten einbeziehen kann.

Die primäre (meta-)organisatorische Maßnahme besteht daher darin, den Prozess zur Festlegung der Mittel so zu gestalten, dass er dem „Datenschutz durch Technikgestaltung“ entspricht.Diese Maßnahme wird als „Meta-Maßnahme“ bezeichnet, da sie darauf abzielt, diejenigen Maßnahmen zu ermitteln, die die Datenschutzgrundsätze tatsächlich umsetzen.Die Meta-Maßnahme muss der oberen Führungsebene klare Verantwortlichkeiten zuweisen:

  • Das oberste Management, das den Verantwortlichen rechtlich vertritt, muss die Kontrolle über diesen Prozess haben und dafür sorgen, dass der Datenschutz bei jedem Schritt und jeder Entscheidung angemessen berücksichtigt wird.
  • Das oberste Managementmuss in der Lage sein zu beurteilen, ob die ermittelten Mittel (d. h. das Ergebnis dieses Prozesses) tatsächlich den Datenschutzanforderungen genügen.
  • Am Ende dieses Prozesses liegt es in der Verantwortung des oberen Managements, die festgelegten Mittel abzusegnen und grünes Licht für die eigentlichen Verarbeitungsvorgänge (die eigentliche Verarbeitung) zu geben.

Es gibt verschiedene mögliche (meta-)organisatorische Maßnahmen, wie dies erreicht werden kann.Einige Beispiele sind im Folgenden aufgeführt:

  • Bei jedem Schritt oder jeder Entscheidung, die im Rahmen der Festlegung der Mittel getroffen wird, muss beschrieben werden, welche Datenschutzanforderungen gelten und wie diese durchgesetzt oder anderweitig erfüllt wurden.
  • Wird ein stufenweiser Ansatz gewählt[1][2], muss jeder Übergang von Stufentoren unter Berücksichtigung der Datenschutzaspekte genehmigt werden.
  • Es sollte klar festgelegt werden, wer für die Feststellung der Einhaltung der Datenschutzanforderungen in den einzelnen Schritten verantwortlich ist.
  • Sofern vorhandensollte der Datenschutzbeauftragte[3]in den Prozess einbezogen werden.
  • Die (kontinuierliche) Dokumentation (d. h. der Nachweis) der Berücksichtigung und Einbeziehung des Datenschutzes sollte integraler Bestandteil des Prozesses sein.Dies dient sowohl der Einhaltung des Grundsatzes der Rechenschaftspflicht (siehe Art. 5 Absatz 2 DSGVO) als auch als Grundlage für die Entscheidung der obersten Führungsebene, das Ergebnis für die betriebliche Nutzung förmlich freizugeben (d. h. grünes Licht für die eigentliche Verarbeitung).

Bei der Festlegung der Mittel muss zwangsläufig die Wirksamkeit der verschiedenen Maßnahmen bewertet werden (siehe die Diskussion über die Wirksamkeit im Abschnitt 2.3.3.7 oben).Dies erfordert in der Regel die Durchführung von

  • Risikobewertungen und
  • Erhebungen über den Stand der Technik oder den Markt.

Beachten Sie, dass das in der DSGVO vorgesehene formale Instrument zur Bewertung der Wirksamkeit von Datenschutzmaßnahmen die Datenschutz-Folgenabschätzung (DSFA, siehe Artikel 35 DSGVO) ist (siehe „DSFA“, Teil II, Abschnitt „Wichtigste Instrumetne und Maßnahmen“). Sowohl die Risikobewertung als auch die Beschreibung der Maßnahmen sind in ihren obligatorischen Teilen enthalten.Eine Datenschutz-Folgenabschätzung ist nach der Datenschutz-Grundverordnung nur bei hohen Risiken formell vorgeschrieben, kann aber im Rahmen des internen Prozesses informell verwendet werden.Eine Datenschutz-Folgenabschätzung ist auch ein hervorragendes Instrument, um die Einhaltung des „Datenschutzes durch Technikgestaltung“ zu dokumentieren.

Zumindest für größere Organisationen mit mehreren unterschiedlichen Verarbeitungstätigkeiten kann ein systematischerer Ansatz zur Festlegung der Mittel von Vorteil sein.Dies kann Folgendes beinhalten:

  • Die Verwendung von Datenschutzvorkehrungen, die auf mehrere Verarbeitungstätigkeiten anwendbar sind und somit Größenvorteile bringen können (siehe Art. 24 Absatz 2DSGVO).
  • Die Ermittlung und Anwendung branchenweit geltender Verhaltensregeln kann Aufwand sparen und die Qualität der Umsetzung verbessern (siehe Art. 24 Absatz 3DSGVO).

Das Endergebnis eines erfolgreichen Prozesses zur Festlegung der Mittel ist eine klare und dokumentierte Genehmigung der Mittel und eine Freigabe durch die obere Führungsebene, die den Verantwortlichen vertritt.Die Freigabe ist erforderlich, damit der Verantwortliche die volle Verantwortung für die Verarbeitung übernehmen kann (siehe Artikel 29 DSGVO).Als zusätzliche Grundlage für die Genehmigungsentscheidung kann der Verantwortliche eine förmliche Zertifizierung nach Art. 42 DSGVO beantragen (siehe Art. 24 Absatz 3DSGVO).Die Zertifizierung ist eine förmliche Bescheinigung der Einhaltung der Datenschutz-Grundverordnung.Eine dokumentierte Freigabe ist eine Voraussetzung für den Beginn der operativen Phase der Verarbeitung (die eigentliche Verarbeitung).

Bewertung der Wirksamkeit der Maßnahmen in Bezug auf die Datenschutzgrundsätze

Der oben beschriebene Prozess sollte einen systematischen Ansatz verfolgen, um alle Datenschutzgrundsätze systematisch auf alle Entscheidungen über Mittel anzuwenden.Insbesondere muss jeder Grundsatz durch technische und organisatorische Maßnahmen durchgesetzt werden.Es muss nachgewiesen werden, dass diese Maßnahmen wirksam sind in Bezug auf

  • die Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen“,
  • die Umsetzungskosten“,
  • den Stand der Technik“ und
  • „Art, Umfang, Umstände und Zwecke der Verarbeitung“.

(siehe Abschnitt 2.3.3.7 oben).

Bei der Risikobewertung (siehe erster Aufzählungspunkt) besteht ein grundsätzliches Risiko darin, dass der Grundsatz verletzt wird oder nicht ausreichend gewährleistet ist.Dies könnte bei allen betroffenen Personen oder bei besonderen Gruppen oder Minderheiten der Fall sein.Die schutzbedürftigen betroffenen Personen, die möglicherweise bei der Festlegung der Zwecke ermittelt wurden, sollten berücksichtigt werden (siehe Abschnitt 2.3.5.1).

Um den dritten Aspekt der Wirksamkeit zu bewerten, kann es erforderlich sein, Erhebungen über den Stand der Technik durchzuführen.

Eine Möglichkeit, die Wirksamkeit von Maßnahmen zu bewerten, besteht darin, einen iterativen Ansatz zu verwenden, der dem Ansatz zur Festlegung der Zwecke sehr ähnlich ist (siehe Abbildung 6).Anstelle einer Version der Zweckbestimmung wird ein konkreter Umsetzungsplan evaluiert.Dieser Plan umfasst sowohl Ressourcen, Anweisungen als auch bereits vorgesehene technische und organisatorische Maßnahmen (siehe Abschnitt „Grundsätze“ in Teil II dieser Leitlinien). In jeder Iteration wird die Wirksamkeit der Maßnahmen bewertet und der Plan entsprechend den festgestellten Mängeln verbessert.Der iterative Prozess endet dann, wenn ein Umsetzungsplan mit wirksamen Maßnahmen gefunden wurde.

Um diesen Prozess systematisch zu gestalten, muss jede Aufgabe, die zu einer Entscheidung über die Mittel führt, im Hinblick auf alle Grundsätze bewertet werden.Abschnitt 2.3.3.4 hat einen Überblick über die möglichen Aufgaben gegeben.Die genaue Aufschlüsselung der Gesamtbestimmung in Aufgaben hängt jedoch von der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitungstätigkeit ab.Es ist daher notwendig, die Aufteilung in Aufgaben an die konkrete Situation anzupassen.

 

Quellenangaben

1Siehe zum Beispiel https://en.wikipedia.org/wiki/Phase-gate_process (zuletzt besucht am 13.7.2021).

2Beachten Sie, dass Phasen nicht auf das „Wasserfall“-Management beschränkt sind, sondern auch in agilen Methoden wie dem Agile Unified Process vorkommen, siehe http://www.ambysoft.com/unifiedprocess/aup11/html/phases.html (zuletzt besucht am 13.7.2021).

3Beachten Sie, dass der Datenschutzbeauftragte nicht direkt für die Einhaltung der Vorschriften verantwortlich ist, sondern der interne Experte ist, der wahrscheinlich am besten mit den Anforderungen der DSGVO vertraut ist (siehe auch Art. 39 Absatz 1 Buchstabe a bis Buchstabe c DSGVO).

 

Skip to content