INFORMATIONEN

Wie geht man mit der Unbestimmtheit von Artikel 30 DSGVO um?

Die Datenschutz-Grundverordnung erlegt Organisationen, die Softwareunterstützung benötigen, viele Rechte und Pflichten auf. Jeder Softwareanbieter müsste Entscheidungen darüber treffen, wie die DSGVO zu interpretieren ist und wo Software oder Datenverarbeitung für die Durchsetzung der DSGVO erforderlich ist.

Die Anbieter werden aufgrund der zahlreichen mehrdeutigen Begriffe in der Verordnung unterschiedliche Auslegungen haben, was natürlich zu einer Vielzahl von Ergebnissen innerhalb der Software führen wird.

Daher wird es eine ziemliche Herausforderung sein, verschiedene Softwareangebote miteinander zu verknüpfen und die Funktionalität beizubehalten, während gleichzeitig die Anforderungen von Artikel 30 der Datenschutz-Grundverordnung erfüllt werden.

Im Bereich der Einhaltung der DSGVO sind einige praktische Anwendungen von Softwareverbindungen:

  • Meldungen von Datenschutzverletzungen an die Aufsichtsbehörden (statt manuelles Ausfüllen von Online-Formularen)
  • Verbindungen zwischen Werkzeugen zur Datenexploration und Registern nach Artikel 30 (zur automatischen Bestandsaufnahme der Verwendung personenbezogener Daten)
  • Datenübertragbarkeit zwischen verschiedenen Softwareanwendungen, die in Artikel 30 registriert sind (Wechsel des Softwareanbieters bei gleichzeitiger Datenhaltung möglich)
  • Der Austausch zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern für Tätigkeiten (um das Register gemäß Artikel 30 leichter ausfüllen zu können)
  • Die meisten dieser Beispiele beziehen sich auf Artikel 30, der ein Verzeichnis der Verarbeitungstätigkeiten vorsieht. Viele der anderen Rechte und Pflichten der Datenschutz-Grundverordnung beziehen sich auf den Einblick in die „Datenschutzlandschaft“ einer Einrichtung und können daher einen Bezug zum Register in Artikel 30 haben.

    Software-Verbindungen im Rahmen der DSGVO hergestellt

    Anwendungen müssen miteinander „kommunizieren“, um Softwareverbindungen herzustellen. Dies geschieht auch über so genannte „Anwendungsprogrammierschnittstellen“ (APIs). Damit diese funktionieren, ist ein standardisiertes Modell der Datenschutz-Grundverordnung höchst wünschenswert.

    In diesem Modell werden die genauen Attribute der Konzepte der Datenschutz-Grundverordnung definiert, wie z. B. Kategorien personenbezogener Daten, Kategorien betroffener Personen, für die Verarbeitung Verantwortliche und Auftragsverarbeiter. Dies kann dann über die Verbindung mit der DSGVO-Durchsetzungssoftware gehandhabt werden.

    Datenverarbeitung und DSGVO

    Ein weiterer Aspekt, der angesprochen werden kann, ist das Konzept der Verarbeitungsvorgänge. Ein Befragter hatte zum Beispiel eine Beziehung auf der Ebene einzelner Kategorien personenbezogener Daten und nicht nur auf der Ebene der Verarbeitung. Ein anderer hatte Kategorien personenbezogener Daten mit Kategorien betroffener Personen verknüpft. Und ein dritter ordnete den Begriff der Vorratsspeicherung den Anwendungen und nicht den Gruppen personenbezogener Daten zu.

    Wir wissen, dass all diese Beschreibungen, auch wenn sie sich nicht aus der Datenschutz-Grundverordnung ergeben, aus sehr guten Gründen gewählt wurden. Je nach Governance-Modell und Verfahren hat jeder, der einen Verarbeitungsvorgang definiert, seine eigenen Schwerpunkte. Das Problem ist, dass es bei unterschiedlichen Beschreibungen für Softwaresysteme oft sehr schwierig wird, diese Beschreibungen wiederzuverwenden.

    In Ermangelung weiterer Leitlinien des Europäischen Datenschutzausschusses (EDPB) müssen Unternehmen, Anwaltskanzleien, Beratungsfirmen und Anbieter von Datensoftware immer noch raten, was der genaue Wortlaut der Artikel der Datenschutz-Grundverordnung, insbesondere Artikel 30, bedeutet. Es ist schwierig, alle Unklarheiten aus einer Vorschrift zu beseitigen.

    Andererseits ist der Text der Datenschutz-Grundverordnung voller Zugeständnisse, die es den Aufsichtsbehörden und Gerichten ermöglichen, später entscheidende Entscheidungen zu treffen. Allerdings herrscht unter den Datenschützern große Verwirrung darüber, ob sie die Vorschriften einhalten. Selbst die niederländische Aufsichtsbehörde, die derzeit ihr Artikel 30-Register bei Organisationen in verschiedenen Sektoren überprüft, formuliert ihre Fragen vorsichtig.

    Schlussfolgerung

    Dieser hohe Grad an Ungewissheit gibt Anlass zur Sorge: Warum gab es keinen spezifischeren Ansatz, z. B. für das Register von Artikel 30? Die Komplexität hätte durch eine förmlichere Definition der Elemente und der Beziehungen zwischen ihnen minimiert werden können, in der erklärt wird, welche Einheiten und welche Beziehungen mit jedem Verarbeitungsdatensatz hergestellt werden sollten. Dies würde auch den automatischen Kontakt zwischen den Beteiligten im Register erleichtern.

    Es ist zu hoffen, dass der Europäische Datenschutzbeauftragte bald spezifische Anweisungen für das Register nach Artikel 30 geben wird, die es den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern ermöglichen, mehr Gewissheit über die Personen und Beziehungen zu erlangen, die sie in das Register aufnehmen müssen, und die den Umfang der Bestandsinformationen klären. Dies würde auch die Rechtssicherheit erhöhen und die Leistungsfähigkeit der Softwarebranche für die Durchsetzung der DSGVO steigern.

    Lokale Behörden müssen Verantwortung übernehmen

    Obwohl die DSGVO im Vergleich zum Datenschutzgesetz keine drastischen Änderungen vorgenommen hat, zwingt sie die lokalen Behörden nun dazu, eine Logik der Verantwortlichkeit zu übernehmen. Diese neue Verordnung hat die privaten und öffentlichen Akteure von einer Kontrolllogik, die auf der Einhaltung von Verwaltungsformalitäten beruht, zu einem Ansatz der Selbstkontrolle gebracht.

    Von nun an müssen die lokalen Behörden organisatorische, aber auch technische Maßnahmen ergreifen, um den Schutz personenbezogener Daten während des gesamten Verarbeitungszyklus zu gewährleisten. Außerdem müssen sie nachweisen, dass sie alle Anstrengungen unternehmen, um diese Daten zu schützen, sei es in ihren Abteilungen, aber auch bei ihren Dienstleistern, die die lokalen Behörden als Unterauftragnehmer für die Verarbeitung dieser Daten heranziehen.

    Wie verbessert die Datenschutz-Grundverordnung den Schutz der Bürger?

    Die Datenschutz-Grundverordnung verbessert den Schutz der Bürger bei der Verarbeitung ihrer Daten durch die lokalen Behörden drastisch. In der Tat gilt der Grundsatz „Privacy by Default“ – oder „Privacy by Design“ -, was bedeutet, dass die Gemeinden bereits im Vorfeld der Erhebung personenbezogener Daten Einstellungen integrieren müssen, die deren Verarbeitung berücksichtigen.

    Sie müssen daher bereits in der Entwurfsphase ihrer Dienstleistungen oder Produkte Maßnahmen berücksichtigen, die den wichtigsten Grundsätzen der DSGVO entsprechen. Dieser Grundsatz zielt darauf ab, die Verarbeitung personenbezogener Daten so weit wie möglich einzuschränken und nur die Daten zu speichern, die für die entwickelte Dienstleistung oder das Produkt wesentlich sind.

    Dieser Grundsatz des Datenschutzes von der Konzeption des Dienstes an bringt für die lokalen Behörden, aber auch für jede Organisation, die die DSGVO einhalten muss, mehrere technische Verbesserungen mit sich. Zum Beispiel die Tatsache, dass die Daten pseudonymisiert werden müssen, wenn ihre Verwendung in einer identifizierenden Form nicht obligatorisch ist, oder die Einrichtung von automatischen Mechanismen zur Löschung oder Archivierung der Daten.

    Seit dem Inkrafttreten der DSGVO sind die lokalen Behörden außerdem verpflichtet, jeden Nutzer über die Verwendung seiner Daten zu informieren. Sie müssen außerdem so schnell wie möglich den Zugang, aber auch die Änderung und Löschung dieser personenbezogenen Daten ermöglichen.

    Die Auswirkungen der Datenschutz-Grundverordnung auf die Arbeit der lokalen Behörden

    Die Datenschutz-Grundverordnung hat daher erhebliche Auswirkungen auf die Funk
    tionsweise der lokalen Behörden, insbesondere in Bezug auf die Verpflichtungen in Bezug auf vorherige Formalitäten. Neben der Wahrung der Rechte der Nutzer in Bezug auf ihre Daten haben die allgemeinen Datenschutzbestimmungen zur vollständigen Abschaffung der deklarativen Regelung zugunsten der Einführung einer einzigartigen Data-Governance-Lösung geführt.

    Daher müssen die lokalen Behörden in der Lage sein, die Einhaltung der Datenschutzgrundverordnung zu verwalten und jederzeit nachzuweisen. Die lokalen Behörden müssen insbesondere ein Register über die Datenverarbeitung führen. Sie sind auch verpflichtet, die betroffenen Personen und die Aufsichtsbehörde zu informieren, sobald Verstöße gegen personenbezogene Daten festgestellt werden. Die Datenschutz-Grundverordnung verpflichtet sie außerdem, verschiedene Maßnahmen zu ergreifen, wie zum Beispiel:

  • die Analyse der Auswirkungen bestimmter risikoreicher Behandlungen auf die Privatsphäre und die Freiheit der Nutzer;
  • Überwachung der Vergabe von Unteraufträgen im Rahmen von Dienstleistungsverträgen;
  • die Organisation der Erkennung und des Managements von Unfällen, die sich bei der Datenverarbeitung ereignen;
  • die Gewährleistung der Vertraulichkeit der Daten.
  • Die lokalen Behörden sind ebenso wie die anderen von der DSGVO betroffenen Stellen verpflichtet, einen behördlichen Datenschutzbeauftragten zu ernennen und ihn mit den für die Erfüllung seiner Aufgaben erforderlichen Mitteln auszustatten:

  • den Verantwortlichen und die Beauftragten für die Verarbeitung personenbezogener Daten, aber auch deren Unterauftragnehmer zu informieren und zu beraten;
  • Überwachung der Einhaltung der Datenschutzgrundverordnung innerhalb der Struktur durch Audits;
  • Verbreitung einer Kultur der IT und der Freiheiten in den betreffenden Dienststellen;
  • Beratung der Gemeinschaft bei der Durchführung einer Folgenabschätzung zum Datenschutz;
  • mit der Aufsichtsbehörde zusammenarbeiten.
  • DSGVO. Der Grundsatz der Zweckbindung

    Was ist das Prinzip der Speicherbegrenzung? Artikel 5 (1) (e) der Datenschutz-Grundverordnung sieht vor: Personenbezogene Daten müssen: Personenbezogene Daten dürfen so lange, wie es für

    mehr »

    ePrivacy-Verordnung im Kontext der EUDSGVO

    Die alte Richtlinie wird durch die neue EU-Datenschutz-Grundverordnung, die zeitgleich mit der EU-Datenschutz-Grundverordnung in Kraft treten wird, zu einer in allen EU-Staaten geltenden Regelung ohne

    mehr »