Coming soon ... IT Summit by heise

Datenschutzprinzipien, Teil 2: Was Transparenz im Datenschutz bedeutet

Was für Unternehmen, die mit personenbezogenen Daten umgehen, wie überzogene Bürokratie klingt, ist von elementarer Bedeutung für die betroffenen Personen: Die Verarbeitung der Daten muss dokumentiert werden. Das Gebot der Transparenz wird wohl ausdrückliches EU-Recht; es gilt aber bereits heute.

Die Pflicht zur Dokumentation

Von Oliver Schonschek

Die EU-Datenschutz-Grundverordnung sieht einen eigenen Artikel zur Dokumentation vor. Der Artikel 28 besagt u.a., dass „alle für die Verarbeitung Verantwortlichen, alle Auftragsverarbeiter sowie etwaige Vertreter von für die Verarbeitung Verantwortlichen die ihrer Zuständigkeit unterliegenden Verarbeitungsvorgänge dokumentieren“ müssen. Diese Dokumentation soll nicht nur internen Zwecken dienen: „Der für die Verarbeitung Verantwortliche, der Auftragsverarbeiter sowie der etwaige Vertreter des für die Verarbeitung Verantwortlichen stellen die Dokumentation der Aufsichtsbehörde auf Anforderung zur Verfügung“, ist im Entwurf zu lesen. Wer allerdings glaubt, bis zur Verabschiedung der Grundverordnung aufs Dokumentieren pfeifen zu dürfen, der irrt.

Bitte beachten Sie: Die nationalen Datenschutzgesetze in der EU, also auch das BDSG, wurden zum 25. Mai 2018 durch die Bestimmungen der EU-Datenschutz-Grundverordnung ersetzt.

Das Bundesdatenschutzgesetz (BDSG) hat zwar keinen eigenen Paragrafen, der die Bezeichnung „Dokumentation“ trägt. Aber das Datenschutzgesetz sieht unter bestimmten Voraussetzungen eine Meldepflicht vor, die bestimmte, dokumentierte Inhalte vorsieht. Zudem ist dem Datenschutzbeauftragten von der verantwortlichen Stelle (also von der Geschäftsleitung) eine Übersicht über die Verfahren der Datenverarbeitung sowie über zugriffsberechtigte Personen zur Verfügung zu stellen.

Der Beauftragte für den Datenschutz wiederum macht bestimmte Angaben aus dieser Übersicht auf Antrag jedermann in geeigneter Weise verfügbar. Das bedeutet unterm Strich: Es muss schon heute eine Dokumentation der Verarbeitung personenbezogener Daten geben.

Keine Dienste ohne Vertrauensbasis

Auf den ersten Blick erscheint eine Auflistung und Beschreibung der Verfahren zur Verarbeitung personenbezogener Daten lediglich als hoher und an sich überflüssiger Aufwand. Man bedenke dabei aber auch dieses: Eine Dokumentation schafft die Grundlage für Transparenz im Datenschutz, und Transparenz ist die wichtigste Grundlage für Vertrauen. Wie wichtig Vertrauen in den Datenschutz eines Unternehmens ist, zeigen Umfragen (z.B. des BITKOM) immer wieder. Auch wenn laut BITKOM die Skepsis der Deutschen gegenüber der Datensicherheit im Internet erstmals seit Beginn der NSA-Abhöraffäre 2013ff wieder leicht gestiegen ist, gibt es noch eine Menge zu tun, um die Transparenz im Datenschutz zu verbessern.

Dieses Ziel ist so wichtig, dass man es zu den neuen Datenschutzprinzipien rechnen kann. In einigen Landesdatenschutzgesetzen ist sie bereits explizit genannt: So sind z.B. in Nordrhein-Westfalen Maßnahmen zu treffen, die gewährleisten, dass

„die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können (Transparenz).“ (§ 10 DSG NRW)

Ähnliches gilt auch in den anderen Bundesländern, z.B. damit Unternehmen die genannte Meldepflicht erfüllen können.

Serie: Datenschutzprinzipien
Teil 1 beginnt mit den Betroffenenrechten, vom Recht auf Auskunft bis zum Widerrufsrecht; außerdem geht es darum, wie sich das Datenschutzprinzip der Intervenierbarkeit praktisch umsetzen lässt. Teil 2 geht genauer auf die Dokumentationspflichten ein; Transparenz im Datenschutz erfordert zuerst eine saubere Datenschutzerklärung.Teil 3 widmet sich schließlich dem Gebot der Nichtverkettbarkeit, das sich aus der Zweckbindung einer Datenerhebung ableitet.

Fazit: Online-Transparenz heißt Datenschutzerklärung

Ein Beispiel, wie Transparenz im Datenschutz geschaffen werden kann und muss, findet man im Telemediengesetz (TMG) unter den Pflichten des Diensteanbieters. Die sogenannte Datenschutzerklärung zu einem Online-Angebot soll insbesondere darüber Klarheit schaffen, welche Daten des Nutzers zu welchem Zweck verarbeitet werden, wie der Schutz aussieht und an welche Dritten zu welchem Zweck die Daten übermittelt werden.

Es zeigt sich: Im Datenschutz sollen die Daten vor Unbefugten geschützt werden; die Betroffenen aber brauchen Klarheit über ihre Daten und deren Verarbeitung. Vertraulichkeit und Transparenz gehören zusammen.

Der abschließende Teil 3 dieser Serie widmet sich dem Problem der Zweckentfremdung und dem Gebot der Nichtverkettbarkeit, die für Online-Profilen im Internet ebenso von Bedeutung sind wie für die interne IT.
News Analyst Oliver Schonschek.JPG

Oliver Schonschek bewertet als News Analyst auf MittelstandsWiki.de aktuelle Vorfälle und Entwicklungen. Der Fokus liegt auf den wirtschaftlichen Aspekten von Datenschutz und IT-Sicherheit aus dem Blickwinkel des Mittelstands. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen, insbesondere in seinem Spezialgebiet Datenschutz und Datensicherheit.


Oliver Schonschek, Tel.: 02603-936116, www.schonschek.de

Nützliche Links