Database Reference
In-Depth Information
die Datenschutzanforderungen effektiver und vor allem effizienter umsetzen zu können.
Die Möglichkeit, mit einzelnen Maßnahmen das Datenschutzniveau zu steigern, wird den
Verantwortlichen dadurch aber nicht genommen und sollte deshalb zu jeder Zeit ergriffen
werden.
Aus diesen Ad-hoc-Anpassungen erwachsen entsprechende Pflichten, die im Rahmen
des DSMS beachtet werden müssen:
•
Der Verantwortliche für den Datenschutz muss in geeigneter Art und Weise einbezo-
gen werden, sei es lediglich über Benachrichtigung oder auch über ein ausdrückliches
Zustimmungserfordernis.
•
Die Dokumentation des DSMS muss durchgehend angepasst werden.
•
Aufzeichnungen müssen über den gesamten Zeitraum des DSMS angelegt werden.
•
Die Mitarbeiter müssen die Veränderungen mittragen und umsetzen, sie müssen
dementsprechend eingebunden werden.
•
Zudem sind die Mitarbeiter zu informieren, dies kann zusätzlichen Schulungsaufwand
bedeuten.
Im Endeffekt bedeutet dies, dass die DSMS-Akteure Veränderungen auf ihre Datenschutz-
relevanz hin untersuchen und mit ihrer fachlichen Expertise begleiten müssen.
Eine besondere Form der Veränderung im Unternehmen stellt die Einführung oder
auch Anpassung eines automatisierten Verfahrens dar. Der deutsche Gesetzgeber hat auf
Basis der derzeit gültigen EU-Datenschutzrichtlinie von seinem Recht Gebrauch gemacht,
nach den Voraussetzungen des § 4d BDSG die Unternehmen zur Vorabkontrolle sol-
cher Verfahren zu verpflichten. Zwar lässt sich die Abfolge der einzelnen Prüfschritte
aus dem BDSG entnehmen, jedoch sind die Voraussetzungen einer Prüfpflicht aufgrund
der unbestimmten Rechtsbegriffe vage. Deshalb ist es empfehlenswert, auch unabhängig
von einem gesetzlichen Erfordernis im Rahmen des DSMS einen Prozess zu etablieren, so-
dass jedes neue automatisierte Verfahren nur unter Beteiligung eines Datenschutzexperten
(das Gesetz sieht diese Aufgabe originär beim Datenschutzbeauftragten, § 4g BDSG) ein-
geführt werden kann. Dieser kann auf diese Weise frühzeitig eingreifen und so auf die
Rechtmäßigkeit des neuen Verfahrens hinwirken. In vielen Fällen ist die Rechtmäßigkeit
schnell ersichtlich, sodass für diesen Schritt im Rahmen der übergeordneten Einführung
desautomatisiertenVerfahrenswenigVerzögerungspotentialbestehtundzugleichRechts-
sicherheit entsteht. So besteht die Möglichkeit, die Prüfung zu stufen: Zunächst wird jedes
Verfahren dem Verantwortlichen für den Datenschutz zur Prüfung vorgelegt. Verneint
dieser die Notwendigkeit einer Vorabkontrolle, gibt er das Verfahren frei. Ansonsten er-
folgt die ausführliche Prüfung nach den gesetzlichen Maßstäben für die Vorabkontrolle.
Das bedeutet, dass vor allem auf lokaler Ebene die DSMS-Akteure entsprechende Be-
strebungen zur Neueinführung oder Anpassung solcher Verfahren erkennen und sich
frühzeitig einbringen müssen.
Die Vorabkontrolle selbst stellt eine gesetzlich eingeforderte Sonderform eines
Datenschutz-Audits dar, die sich nur auf das automatisierte Verfahren bezieht und ent-
Search WWH ::
Custom Search