Vorabkontrolle

In vielen Datenschutzgesetzen ist eine Vorabkontrolle gefordert. So müssen automatisierte Datenverarbeitungsverfahren (IT-Programme/-Systeme) noch vor der Einführung auf Ihre Ordnungsmäßigkeit geprüft werden. Dies wird gemäß unserer Erfahrung aus verschiedenen Gründen jedoch versäumt. Neben der Unwissenheit der Erforderlichkeit wird aus Angst vor einer „datenschutzrechtlichen Bremsfunktion“ und vor erwarteten Mehraufwänden sowie aufgrund fehlender Erfahrungen, Ressourcen und/oder Kenntnissen in der Umsetzung auf eine Vorabkontrolle verzichtet.

Im Rahmen der EU-Datenschutz-Grundverordnung werden die Anforderungen im Hinblick auf die Vorabkontrolle („Datenschutz-Folgeabschätzung“; Artikel 35 und 36 EU-DSGVO) noch steigen. Näheres finden Sie unter www.EU-Datenschutz-Grundverordnung.info [ext.]. Die UIMCert unterstützt Sie natürlich auch hierbei!

Wie kann die UIMCert hierbei unterstützen?

Neben der fachlichen Kompetenz bei diversen Datenschutzgesetzen und der Erfahrung aus der Begleitung vieler Implementierungsprozesse, kann die UIMCert als Außenstehender die vorgelegten Konzepte unabhängiger sowie oftmals schneller und routinierter prüfen und kritisch hinterfragen. Oft fehlt es den beteiligten Personen an einem ausreichenden Abstand zum Projekt, um bspw. Zugriffe auf personenbezogene Daten hinsichtlich der häufig argumentierten „organisatorischen Notwendigkeit“ kritisch zu hinterfragen. 

Hierbei kann die UIMCert sowohl Fach- als auch Methodenkompetenz vorweisen und bedient sich im Rahmen der Ordnungsmäßigkeitsprüfung sowohl in der Erhebungs- als auch der Phase der Dokumentation eines Tools zur Effizienz- und Effektivitätssteigerung. Basierend auf dem UIMC-Tool zur Auswertung und Berichterstellung (kurz: UTAB), umfasst es ca. 300 Fragen zum Produkt und zur Einsatzumgebung. Es enthält eine Auswertungsfunktion, die es gestattet, die im Erhebungsprozess erhobenen Daten sowohl als Status-Quo-/Schwachstellen-Bericht und Maßnahmenkatalog als auch in einer quantitativen Darstellung auszuwerten.

Darf die UIMCert diese Aufgabe überhaupt übernehmen?

Die Zuständigkeit bzw. Verantwortlichkeit ist je nach Gesetz unterschiedlich geregelt. In der Regel gehört die Vorabkontrolle zu den originären Aufgaben des Datenschutzbeauftragten. Dies schließt aber letztendlich nicht aus, dass der Beauftragte sich unterstützen lässt (IT-Abteilung oder externer Berater). Eine Auflistung der genauen Regelung innerhalb Ihres Bundeslands können wir Ihnen gerne zur Verfügung stellen.

 

Wissenswertes zur Durchführung einer Vorabkontrolle [Download]

Unterstützungsmöglichkeiten durch die UIMCert: Ordnungsmäßigkeitsprüfung zur Vorbereitung auf eine Vorabkontrolle [Download]

 

FAQ: Wissenswertes zur Vorabkontrolle

Was beinhaltet eine Vorabkontrolle?

Die gesetzliche Ausgestaltung und die Anforderungen an die Inhalte einer Vorabkontrolle sind in den verschiedenen Landes- und Bundesgesetzen sehr unterschiedlich gestaltet. Die Vorabkontrolle ist auf zwei Ebenen durchzuführen: Zum einen ist die Ordnungsmäßigkeit des Produkts selbst (also der Software) dahingehend zu prüfen, ob datenschutzrechtliche Anforderungen in den Funktionen erfüllt sind. Hierbei können Ergebnisse von anderen Vorabkontrollen herangezogen werden, wobei natürlich Veränderungen durch einen Versionswechsel der Software o. ä. zu berücksichtigen sind. Zum anderen ist auch eine Prüfung auf die Ordnungsmäßigkeit innerhalb der Einsatzumgebung innerhalb der Institution vorzunehmen. Auch hierbei können Erfahrungen aus anderen Vorabkontrollen (von anderen Produkten oder in der Institution) genutzt werden; die Besonderheiten des geprüften Systems sind dabei im Einzelfall akribisch zu berücksichtigen. Im Rahmen der Ordnungsmäßigkeit sind im Wesentlichen drei Themenkomplexe zu betrachten: Technik, Organisation und Recht. Bei Fragen stellen wir Ihnen individuelle Informationen zusammen.

Welcher Nutzen kann aus einer Vorabkontrolle generiert werden?

Neben dem Datenschutzbeauftragten sollte auch die IT-Leitung bzw. der IT-Sicherheitsbeauftragte auf einen sicheren Einsatz hinwirken. Durch die Überprüfung der technischen und organisatorischen Maßnahmen sowie die Optimierung nach der Schwachstellendarstellung wird zwangsläufig auch die Informationssicherheit verbessert. Aber auch eine revisionssichere Prozessgestaltung, die auch Teil eines ordnungsgemäßen Verfahrenseinsatzes ist, kann durch eine Vorabkontrolle erreicht werden.

Letztlich ist eine Vorabkontrolle verpflichtend durchzuführen und stellt demnach eine gesetzliche Anforderung dar, ohne deren Erfüllung das Verfahren nicht zulässig betrieben werden kann (Compliance). Somit sollte Ihre Durchführung auch im Interesse der Geschäfts- bzw. Behördenleitung sein sein; andernfalls kann dies zu einer persönlichen Haftung führen. Dies gilt auch dann, wenn der Datenschutzbeauftragte hierbei nicht ausreichend unterstützt wird (zeitliche, finanzielle und personelle Ressourcen).

Wann sollte die Vorabkontrolle vorgenommen werden?

Wie aus dem Namen bereits zu schließen ist, muss eine Vorabkontrolle vor dem Einsatz im Echtbetrieb erfolgen. Geht man dabei von Standard-Programmen wie z. B. zur Personalabrechnung und/oder -verwaltung aus, so bieten diese oftmals ein breiteres Spektrum an Funktionalitäten als später tatsächlich genutzt wird. Somit sollte zunächst ein Konzept entwickelt werden, wie das System letztlich eingesetzt werden soll. Danach, aber noch vor der Einführung, ist die Vorabkontrolle durczuführen. Es ist hierbei stets zu empfehlen, den Datenschutzbeauftragten auch schon bei dieser Konzepterstellung einzubinden.

Wie läuft eine Vorabkontrolle typischerweise ab?

Zunächst sollte die Dokumentation des Verfahrens geprüft werden. Hierbei handelt es sich einerseits um das Fachkonzept zum Einsatz des Systems (inkl. Berechtigungskonzept) und andererseits um die Produktdokumentation. Darüber hinaus müssen die Datenfelder innerhalb des Systems dahingehend geprüft werden, ob eine Rechtsgrundlage zur Erhebung, Verarbeitung und Nutzung vorliegt. Hierauf aufbauend sollte in einer definierten, ausreichenden Stichprobe eine Funktionsprüfung vorgenommen werden. Ergebnis der o. g. Tätigkeiten ist ein Schwachstellenbericht, der aus Effizienz- und Effektivitätsgründen stets einen Maßnahmenkatalog bzw. ein Schwachstellenbeseitigungskonzept enthalten sollte. Nach Umsetzung kann ein Prüfbericht erstellt werden, der aus Akzeptanzgründen idealerweise eine Management Summary und ein klar formuliertes Ergebnis enthalten sollte. Noch offene Schwachstellen sind detailliert zu dokumentieren.

Durch wen ist die Vorabkontrolle umzusetzen?

Die Zuständigkeit bzw. Verantwortlichkeit ist je nach Gesetz unterschiedlich geregelt. In der Regel gehört die Vorabkontrolle zu den originären Aufgaben des Datenschutzbeauftragten. Dies schließt aber letztendlich nicht aus, dass der Beauftragte sich unterstützen lässt (IT-Abteilung oder externer Berater). Eine Auflistung der genauen Regelung innerhalb Ihres Bundeslands können wir Ihnen gerne zur Verfügung stellen.