Deutscher Bundestag – 17. Wahlperiode
– 189 –
Drucksache 17/5200
n o c h Anlage 6
Konferenz der Datenschutzbeauftragten des Bundes und der Länder
„Ein modernes Datenschutzrecht für das 21. Jahrhundert“
o
o
o
chen, flexiblen und praxistauglichen Verfahren – durch Software unterstützt – umgesetzt werden können. Sie können die Basis für die Kriterien eines Datenschutzaudits bilden.
Die Schutzziele müssen technologieunabhängig definiert werden.
Die Schutzziele sind nachhaltig. Lediglich die Maßnahmen sind dem
Stand der Technik anzupassen.
Die Schutzziele sind so zu fassen, dass grundsätzliche rechtliche Anforderungen (z. B. Datenvermeidung/Datensparsamkeit, Zweckbindung oder Betroffenenrechte wie Berichtigung oder Löschung) technisch umgesetzt werden können.
•
Entsprechend den genannten Anforderungen sind folgende Schutzziele
aufzunehmen:
o Verfügbarkeit
o Vertraulichkeit
o Integrität
o Transparenz
o Nichtverkettbarkeit (als technische Sicherung der Zweckbindung)
o Intervenierbarkeit (als technische Gestaltung von Verfahren zur Ausübung der Betroffenenrechte)
•
Die Umsetzung der Schutzziele durch technische und organisatorische
Maßnahmen ist konzeptionell abzusichern:
o Vor der Freigabe von Verfahren sind grundsätzlich die Risiken für das
Recht auf informationelle Selbstbestimmung zu analysieren und die
zur Beherrschung der Risiken zu treffenden Maßnahmen in einem Sicherheitskonzept zu beschreiben; das Sicherheitskonzept ersetzt nicht
die Vorabkontrolle, sondern ist deren Bestandteil. Es kann zudem
wichtige Grundlage eines Datenschutzmanagements sein.
o Risikoanalyse und Sicherheitskonzept sind nach dem Stand der Technik regelmäßig fortzuschreiben.
•
Die Umsetzung der Schutzziele muss konzeptionell zu einem möglichst
frühen Zeitpunkt ansetzen:
Technische und organisatorische Maßnahmen sind im Sinne eines vorgelagerten Systemdatenschutzes schon dann zu treffen, wenn in einem Verfahren die Möglichkeit besteht, dass personenbezogene Daten verarbeitet werden oder dass dies zu einem späteren Zeitpunkt intendiert ist.
•
Angesichts der hohen Komplexität informationstechnischer Systeme ist
eine gesetzliche Verpflichtung der verantwortlichen Stellen zu schaffen,
den Betroffenen Methoden und Mittel des Selbstdatenschutzes zur Verfü19
BfDI 23. Tätigkeitsbericht 2009-2010