Vorabkontrollen

In vielen Datenschutzgesetzen ist eine Vorabkontrolle gefordert. So müssen automatisierte Datenverarbeitungsverfahren (IT-Programme/-Systeme) noch vor der Einführung auf Ihre Ordnungsmäßigkeit geprüft werden.

Was beinhaltet eine Vorabkontrolle?

Die Vorabkontrolle ist in der Regel (unabhängig von der jeweiligen Rechtsgrundlage) auf zwei Ebenen durchzuführen: Zum einen ist die Ordnungsmäßigkeit des Produkts selbst (also der Software) dahingehend zu prüfen, ob datenschutzrechtliche Anforderungen in den Funktionen erfüllt sind. Hierbei können Ergebnisse von anderen Vorabkontrollen berücksichtigt werden, wobei natürlich Veränderungen durch einen Versionswechsel der Software o. ä. zu berücksichtigen sind.

Zum anderen ist auch eine Prüfung auf die Ordnungsmäßigkeit innerhalb der Einsatzumgebung innerhalb der Institution vorzunehmen. Auch hierbei können Erfahrungen aus anderen Vorabkontrollen (von anderen Produkten oder in der Instituion) genutzt werden; die Besonderheiten des geprüften Systems sind hierbei im Einzelfall akribisch zu berücksichtigen.

Im Rahmen der Ordnungsmäßigkeit sind im Wesentlichen also drei Themenkomplexe zu betrachten: Technik, Organisation und Recht.

Welche gesetzlichen Vorgaben existieren bei einer Vorabkontrolle?

Regelungen zur Vorabkontrolle finden sich im Bundesdatenschutzgesetz sowie in den verschiedenen Landesdatenschutzgesetzen. Hierbei ist die Ausgestaltung und die Anforderungen an die Inhalte an eine solche Ordnungsmäßigkeitsprüfung durchaus sehr unterschiedlich ausgestaltet.

Auch die Zuständigkeit bzw. Verantwortlichkeit ist je nach Gesetz unterschiedlich zwischen der verantwortlichen Stelle und dem Datenschutzbeauftragten aufgeteilt. Grundsätzliches Ziel einer Vorabkontrolle ist es, sicherzustellen, dass durch die Verarbeitung der personenbezogenen Daten in einem Verfahren das Persönlichkeitsrecht der Betroffenen gewahrt bleibt. 

Zu welchem Zeitpunkt sollte eine Vorabkontrolle idealerweise durchgeführt werden?

Wie aus dem Namen bereits zu schließen ist, sollte eine Vorabkontrolle bzw. eine Ordnungsmäßigkeitsprüfung eines einzusetzenden Verfahrens vor dem Einsatz im Echtbetrieb erfolgen. Geht man bei diesen automatisierten Verfahren von Softwareprogrammen wie z. B. zur Personalabrechnung und/oder Personalverwaltung aus, so bieten diese in der Regel ein breiteres Spektrum an Funktionalitäten als letztlich im Echtbetrieb tatsächlich genutzt werden sollen. Es findet demnach seitens der einsetzenden Institution eine entsprechende Anpassung statt. Somit ergibt sich als idealer Zeitpunkt zur Durchführung einer Vorabkontrolle das Zeitfenster zwischen dem Moment, in dem ein Konzept derart vorliegt, wie es letztlich eingesetzt werden soll und dem tatsächlichen Echtbetrieb. Es ist hierbei stets zu empfehlen, den Datenschutzbeauftragten schon bei dieser Konzepterstellung einzubinden.

Hierbei sollte der Datenschutz und somit auch die Vorbereitungen auf eine Vorabkontrolle schon in der Ausschreibungsphase berücksichtigt werden. Gemäß § 4g Absatz 1 Satz 3 Nr. 1 BDSG gilt, dass Datenschutzbeauftragte „über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten“ ist. Hierbei können Sie auf Erfahrungen der UIMC in einer Vielzahl solcher Projekte zurückgreifen.

Wie sollte die Vorabkontrolle in das Projekt einer Software-Einführung integriert werden?

Im Rahmen der langjährigen Erfahrungen der UIMC ist eine Software-Einführung in nachfolgende Phasen zu unterteilen:

  • Erfassen der aktuellen Ist-Prozesse und Überlegungen hinsichtlich der angestrebten/zukünftigen Soll-Prozesse
  • Zusammenführung der Soll-Prozesse und Formulierung eines Pflichtenhefts für die Umsetzung mit Hilfe einer Software
  • Auswahl des Software-Anbieters und/oder -Implementierers
  • Abnahme der Konzepte
  • Testphase
  • Erhebung zur Ordnungsmäßigkeitsprüfung
  • Freischaltung des Echt-Betriebs

Als vorgelagerten ersten Schritt kann noch die Bewusstseinsschaffung genannt werden, bei einem neuen Verfahren, den Datenschutz frühzeitig zu betrachten, um Mehr-, Doppel- und andere unnötigen Arbeiten zu vermeiden. Unsere langjährigen Erfahrungen und die Rückmeldungen unserer Kunden zeigen, dass der Datenschutzbeauftragte in allen Phasen involviert werden sollte.

Der Projektleiter sagt, dass eine zu frühe Einschaltung des Datenschutzbeauftragten den Projektverlauf verzögert. Stimmt dies?

Auch wenn dies unterschiedlich geregelt ist, so bedingt die Logik einer Vorabkontrolle, dass es sich um eine stichtagsbezogene Prüfung handelt, an dem das „fertige Produkt“ in eben der Version geprüft wird, in der es auch „live geschaltet“ werden soll.

Da diese Umstände je nach Komplexität des Verfahrens dazu führen, dass eine solche Prüfung erst kurz vor der Inbetriebnahme möglich ist, sollte es Ziel des Datenschutzbeauftragten sein, möglichst früh in das Projekt eingebunden zu sein, um Teilaufgaben möglichst früh abarbeiten und datenschutzrechtliche Probleme möglichst früh erkennen zu können. Somit kann potentiellen Zeitrestriktionen entgegengewirkt werden, die in der Praxis häufig kurz vor der Einführung eines entsprechenden Verfahrens entstehen können. Aber auch rechtlichen Problemen kann möglichst früh entgegengewirkt werden.

Welchen Phasen beinhaltet eine Vorabkontrolle?

Zunächst sollte die Dokumentation des Verfahrens geprüft werden. Hierbei handelt es sich einerseits um das Fachkonzept zum Einsatz des Systems (inkl. Berechtigungskonzept) und andererseits um die Produktdokumentation. Darüber hinaus müssen die Datenfelder innerhalb des Systems dahingehend geprüft werden, ob eine Rechtsgrundlage zur Erhebung, Verarbeitung und Nutzung vorliegt.

Hierauf aufbauend sollte in einer definierten, ausreichenden Stichprobe eine Funktionsprüfung vorgenommen werden. Ergebnis der o. g. Tätigkeiten ist ein Schwachstellenbericht, der aus Effizienz- und Effektivitätsgründen stets einen Maßnahmenkatalog bzw. ein Schwachstellenbeseitigungskonzept enthalten sollte.
Nach Umsetzung kann ein Prüfbericht erstellt werden, der aus Akzeptanzgründen idealerweise eine Management Summary und ein klar formuliertes Ergebnis enthalten sollte. Noch offene Schwachstellen sind detailliert zu dokumentieren.

Wie setzt die UIMC die Durchführung einer Vorabkontrolle um?

Wenngleich die Vorgehensweise vielleicht nicht bei allen Implementieren identisch ist, so wird in der Regel im Laufe der Implementierung ein Punkt erreicht, an dem der Implementierer detailliertere Konzepte vorlegt. Diese werden dann durch den Kunden „abgenommen“, sodass eindeutig festgelegt ist, wie (in welcher Konfiguration) der Implementierer das Verfahren umsetzen soll. Mit diesem Umsetzungsauftrag wird ein Status-quo verabschiedet, der verbindlich ist. Alle dann gewünschten Änderungsanforderungen (change requests) bedeuten dann häufig  Mehraufwand, der vergütet werden muss. 

Warum sollte der Datenschutz und die Anforderungen an die Vorabkontrolle schon bei der Konzepterstellung berücksichtigt werden?

In diesem Schritt lässt sich der implementierende Dienstleister (oder eigene IT-Abteilung) die beabsichtigte Umsetzung anhand der Konzepte als Auftrag zur Umsetzung „absegnen“. Die Umsetzungsanforderungen sind verbindlich und Änderungen bedeuten zusätzlichen Aufwand. Aus diesem Grund sollte die an dieser Stelle geplante Umsetzung auch datenschutzkonform sein.

Neben einer Reihe von möglichen Aspekten gilt dies insbesondere auch für die Benutzerberechtigung. Neue Verfahren ziehen ihren Reiz daraus, dass sich Workflows optimieren lassen und/oder zusätzliche Funktionalitäten angeboten werden können. Hinzu kommt in vielen Fällen auch der Wunsch der Nutzer, generell besser und leichter auf Daten zugreifen zu können, so dass dies auch in der Einführungs- und Testphase zu zusätzlichen Anforderungen kommen kann. Aus Sicht des Datenschutzes bedeutet das widerum, dass diese beabsichtigten Zugriffe auf personenbezogene Daten hinsichtlich der Zulässigkeit (neu) zu hinterfragen sind.

Durch wen ist die Vorabkontrolle umzusetzen?

Die Zuständigkeit bzw. Verantwortlichkeit ist je nach Gesetz unterschiedlich geregelt. In der Regel gehört die Vorabkontrolle zu den originären Aufgaben des Datenschutzbeauftragten. Dies schließt aber letztendlich nicht aus, dass der Beauftragte sich unterstützen lässt (IT-Abteilung oder externer Berater).

Neben der fachlichen Kompetenz bei diversen Datenschutzgesetzen und der Erfahrung aus der Begleitung vieler Implemetierungsprozesse, kann unsere Schwesterunternehmen, die UIMCert GmbH, als Außenstehender die vorgelegten Konzepte unabhängiger sowie oftmals schneller und routinierter prüfen und kritisch hinterfragen, um bspw. Zugriffe auf personenbezogene Daten hinsichtlich der häufig argumentierten „organisatorischen Notwendigkeit“ kritisch zu hinterfragen. Hierbei kann die UIMCert sowohl Fach- als auch Methodenkompetenz vorweisen und bedient sich zur Effizienz- und Effektivitätssteigerung eines Tools (UIMC-Tool zur Auswertung und Berichterstellung; kurz: UTAB).