umwelt-online: VV-DSG LSa - Verwaltungsvorschriften zum Gesetz zum Schutz personenbezogener Daten der Bürger - Sachsen-Anhalt - (2)

zurück

7. Zu § 7 (Einrichtung automatisierter Abrufverfahren)

Ein automatisiertes Abrufverfahren ist ein Datenverarbeitungsverfahren, in dem Einzeldaten oder ganze Datenbestände durch Abruf an einen Dritten (§ 2 Abs. 9) übermittelt (§ 2 Abs. 5 Satz 2 Nr. 3 Buchst. a Doppelbuchst. bb) werden können.

Wesentlich für den Abruf ist das Moment der Selbstbedienung. Werden Art und Umfang der zu übermittelnden Daten allein von der übermittelnden Stelle bestimmt und kann der Dritte nur den Zeitpunkt festlegen, liegt kein Abrufverfahren im Sinne des § 7 vor, so etwa bei der regelmäßigen Übermittlung der Kfz-Zulassungsdaten durch Zulassungsstellen an das Kraftfahrtbundesamt im automatisierten Verfahren. In Betracht kommt der Abruf eines Datensatzes, des Teils eines Datensatzes oder mehrerer Datensätze (eines Datenbestandes). Gegenstand eines Abrufs kann auch das Ergebnis einer Datenverarbeitung sein, z.B. des Vergleichs oder Abgleichs zweier Datenbestände.

7.1 Zulässigkeit automatisierter Abrufverfahren

Automatisierte Abrufverfahren sind wegen des erhöhten Gefährdungspotentials für das Persönlichkeitsrecht und der Änderung der Verantwortlichkeit für die Übermittlung vom Gesetzgeber nur eingeschränkt zugelassen. Eine vorweg genommene pauschalierte Prüfung muss ergeben haben, dass das Verfahren bei Abwägung der Interessen Betroffener am Ausschluss automatisierter Abrufe mit den Interessen der an Abrufen beteiligten Stellen angemessen ist. Wesentliche Faktoren sind die Dringlichkeit und die Häufigkeit von Übermittlungen. Die Prüfung erfolgt im Rahmen der Vorabkontrolle nach § 14 Abs. 2.

Außerdem müssen beim einzelnen Abruf die Voraussetzungen für eine Übermittlung im Einzelfall gegeben sein.

7.2.1 Kontrollierbarkeit

Satz 1 verlangt nur, dass die Zulässigkeit des Abrufverfahrens, nicht jedoch des einzelnen Abrufs kontrolliert werden kann. Satz 2 schreibt vor, welche Einzelheiten vor Inbetriebnahme des Verfahrens schriftlich festzulegen sind.

7.2.2 Festlegungen bei automatisierten Abrufverfahren

Technische und organisatorische Maßnahmen haben die zum Abruf bereithaltende und die zum Abruf berechtigte Stelle zu treffen. Es ist Aufgabe der verantwortlichen Stelle, die einzelnen Benutzer (die einzelnen Mitarbeiterinnen und Mitarbeiter) der abrufenden Stelle zu identifizieren und deren Abrufberechtigung festzustellen. Einzelheiten dieser und aller weiteren Maßnahmen zur Sicherheit des Verfahrens sind bei der Vereinbarung des Abrufverfahrens von der verantwortlichen Stelle und der abrufenden Stelle festzulegen. Erforderlich sind solche Maßnahmen, die in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen (§ 6 Abs. 1 Satz 2).

Wegen der prinzipiellen Angreifbarkeit des öffentlichen Wählnetzes, insbesondere des Telefonnetzes, können bei besonders sensiblen Daten anstelle von Wählanschlüssen auch festgeschaltete Leitungen erforderlich sein.

Die erforderlichen Festlegungen sind unter Berücksichtigung des Ergebnisses der Vorabprüfung (Nr. 14.2.1) durch den Beauftragten für den Datenschutz (Nr. 14a.4.2.2) zu treffen.

7.3 Vorabunterrichtung des Landesbeauftragten für den Datenschutz

Die Unterrichtung des Landesbeauftragten für den Datenschutz ist so rechtzeitig durchzuführen, dass er die Zulässigkeit des Verfahrens vor dessen Einrichtung prüfen kann. Die Unterrichtung erfolgt, sofern alle beteiligten Stellen seiner Kontrolle unterliegen, nur durch die Stelle, die die Daten zum Abruf bereithält. Für die Unterrichtung können Auszüge aus Entwürfen zum Verfahrensverzeichnis verwendet werden. Das Ergebnis der Vorabkontrolle sollte schriftlich festgehalten werden.

7.4 Protokollierung und Prüfung einzelner Abrufe

Die Prüfung der Zulässigkeit des einzelnen Abrufs kann grundsätzlich nur im Nachhinein, also nach erfolgtem Abruf, durch Auswertung von Abrufprotokollierungen erfolgen.

Der Umfang der Protokollierung ist jeweils für das einzelne Abrufverfahren festzulegen. Zumindest für einen Teil der Abrufe werden Zeitpunkt und Inhalt (Anfragetext und Antworttext) sowie abrufende Stelle und abrufende Person dokumentiert. Eine Vollprotokollierung, d. h. eine lückenlose Protokollierung aller Abrufe mit allen genannten Details, ist grundsätzlich nicht gefordert. Gleichwohl kann sie unter besonderen Umständen geboten sein. Solche Umstände können sich aus der Sensibilität der gespeicherten Daten, der Art des Übertragungsweges, aus dem Benutzerkreis oder aus allen drei Kriterien ergeben. Selbst wenn alle Anforderungen des § 6 erfüllt sind, ist ein Eindringen über die Online-Verbindung in den Datenbestand durch Unbefugte nicht auszuschließen. Zwar dient die Einrichtung geeigneter Stichprobenverfahren der Gewährleistung der Kontrolle (durch den Landesbeauftragten für den Datenschutz oder die Aufsichtsbehörde), es ist aber vor allem Sache der verantwortlichen Stelle zu überprüfen, ob unbefugt auf die von ihr gespeicherten Daten zugegriffen wird. Dies schließt aber eine Schadenersatzpflicht der abrufenden Stelle für eintretende Schäden nicht aus.