Unter den in § 34 EKD-Datenschutzgesetz (DSG-EKD) genannten Voraussetzungen müssen verantwortliche Stellen eine Datenschutz-Folgenabschätzung (DSFA) erstellen. Dabei werden häufig gravierende Fehler gemacht, weil fälschlicherweise die Software bewertet wird und nicht die konkrete Verarbeitung von personenbezogenen Daten in der Einrichtung.

Nach ganz einhelliger Meinung werden in einer DSFA nicht Programme oder Apps betrachtet, sondern „Verarbeitungstätigkeiten“. Softwareprogramme stellen „nur“ ein Werkzeug zur Durchführung der Verarbeitungsvorgänge dar. Diese Verarbeitungsvorgänge gehen aus den zur Prüfung der Datenschutzkonformität vorgelegten DSFA häufig nicht klar hervor.

Eine allgemeine Beschreibung der geplanten oder eingesetzten Software und vorhandenen Funktionen der Software sowie eine Übersicht der technischen und organisatorischen Maßnahmen des Softwareherstellers reichen für eine DSFA zum konkreten Einsatz in einem Unternehmen oder einer Einrichtung nicht aus. Es ist immer ein Bezug zu den tatsächlich durchgeführten Datenverarbeitungsvorgängen und die konkrete Umsetzung in der jeweiligen kirchlichen oder diakonischen Einrichtung erforderlich.

Ein wesentlicher Grundsatz des Datenschutzrechtes ist die Zweckbindung, d.h. es dürfen personenbezogene Daten immer nur zu einem vorher festgelegten Zweck erfasst und verarbeitet werden. Der Zweck der Datenverarbeitung muss mit Bezug auf die verarbeiteten personenbezogenen Daten entsprechend konkretisiert, d.h. detailliert und eng formuliert werden. Allgemeine Formulierungen wie z.B. „IT-Sicherheit“, „Gemeinsame Arbeit an Dokumenten“ oder „Dokumentenmanagement“ reichen nicht aus. Durch die Festlegung des konkreten Zwecks wird der gesamte weitere Prozess der Verarbeitung gesteuert.

Als geeignetes Hilfsmittel zur Beschreibung und datenschutzrechtlichen Bewertung von Datenverarbeitungen (im Rahmen der für eine DSFA erforderlichen Schwellwertanalyse, bei der bestimmt wird, ob ein hohes oder akzeptables Risiko bei der Verarbeitung der personenbezogenen Daten vorliegt) kann das Kirchliche Datenschutzmodel (KDM) herangezogen werden. Im Abschnitt „D2 Verarbeitungstätigkeiten“ werden dort umfangreiche Erläuterungen für eine vollständige Dokumentation einer Datenverarbeitung zur Erfüllung der Transparenz- und Rechenschaftspflichten gegeben. Als Ausgangspunkt für die Betrachtung und Abgrenzung der Verarbeitungstätigkeiten kann das Verarbeitungsverzeichnis gemäß § 31 DSG-EKD herangezogen werden.

Im KDM wird detailliert dargestellt, welche Ebenen und Komponenten der Datenverarbeitung zur vollständigen Erfassung dieser beschrieben und dokumentiert werden müssen. Hierbei ist die Verwendung einer Software (nur) ein zu betrachtender Teilbereich. Darüber hinaus müssen die jeweiligen Geschäftsprozesse mit ihren funktionalen und organisatorischen Abläufen und die verwendete IT-Infrastruktur nachvollziehbar beschrieben sowie die an der Verarbeitung beteiligten Personen benannt werden.

Bei der Bestimmung des Risikos für eine Verarbeitungstätigkeit muss die zur Verarbeitung genutzte Software zwingend objektiv betrachtet werden, also ohne vorher schon die technischen und organisatorischen Maßnahmen zu berücksichtigen, die zur Reduzierung des Risikos für die Verarbeitung der personenbezogenen Daten führen können. Die Auswahl der technischen und organisatorischen Maßnahmen ist anschließend Bestandteil der DSFA.

Weitere Informationen finden Sie in unserer im April 2020 erschienenen Handreichung zur Erstellung einer DSFA.

Bildquellen