Hamburgisches - Hamburgische Beauftragte für Datenschutz und
Hamburgisches - Hamburgische Beauftragte für Datenschutz und
Hamburgisches - Hamburgische Beauftragte für Datenschutz und
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
den, wenn ein Datenaustausch zwischen den Mandanten ausschließlich<br />
über definierte Schnittstellen erfolgen kann <strong>und</strong> nicht allein durch ein<br />
Rechte- <strong>und</strong> Rollenkonzept geregelt ist. Der letzte Prüfschritt nimmt insbesondere<br />
die mandantenspezifische- <strong>und</strong> die mandantenübergreifende Protokollierung<br />
in den Blick.<br />
Wenn die Anforderungen der Mandantenfähigkeit nicht eingehalten<br />
werden, führt das im Ergebnis dazu, dass <strong>für</strong> unterschiedliche Daten verarbeitende<br />
Stellen ein gemeinsames Verfahren betrieben wird. Da ein gemeinsames<br />
Verfahren nach § 11a HmbDSG jedoch einer ausdrücklichen<br />
Zulassung durch eine Rechtsvorschrift bedarf, die häufig spezialgesetzlich<br />
nicht gegeben ist, würde eine nicht ausreichende Trennung dazu führen,<br />
dass ein gemeinsames Verfahren ohne Rechtsgr<strong>und</strong>lage betrieben werden<br />
würde. Dies wäre nach § 5 Abs. 1 Satz 1 HmbDSG unzulässig <strong>und</strong><br />
könnte auch nicht durch eine Abwägung nach § 8 Abs. 1 Satz 2 HmbDSG<br />
geheilt werden. Mit § 11a HmbDSG wurde dem Senat jedoch die Möglichkeit<br />
gegeben, die Einführung gemeinsamer Dateien durch Rechtsverordnung<br />
zu regeln <strong>und</strong> damit <strong>für</strong> eine hinreichende Rechtsgr<strong>und</strong>lage zu<br />
sorgen, soweit die spezialgesetzlichen Regelungen nicht abschließend<br />
sind.<br />
Angesichts der weit fortgeschrittenen Digitalisierung der automatisierten<br />
Datenverarbeitung <strong>und</strong> ihrer Allgegenwart, <strong>und</strong> angesichts der Verkettbarkeit<br />
personenbezogener Daten kommen technischen <strong>und</strong> organisatorischen<br />
Schutzvorkehrungen eine immer größere Bedeutung zu. Die<br />
besten rechtlichen Verarbeitungsbeschränkungen sind praktisch wertlos,<br />
wenn ihre technische <strong>und</strong> organisatorische Absicherung fehlt oder mangelhaft<br />
ist. Im geltenden Recht finden sich nur punktuelle Lösungsansätze<br />
hinsichtlich der konzeptionellen Absicherung vor <strong>Datenschutz</strong>risiken beim<br />
Einsatz automatisierter Verfahren. Dies betrifft auch Verfahren, bei denen<br />
eine Verarbeitung personenbezogener Daten nicht von vornherein intendiert,<br />
aber (ggf. zu einem späteren Zeitpunkt) möglich ist. Die Konferenz<br />
der <strong>Datenschutz</strong>beauftragten des B<strong>und</strong>es <strong>und</strong> der Länder schlägt deshalb<br />
seit langem eine gr<strong>und</strong>sätzliche Reform der Regeln zum technischen <strong>und</strong><br />
organisatorischen <strong>Datenschutz</strong> vor, die auch folgende Aspekte berücksichtigen<br />
müsste (vgl. „Ein modernes <strong>Datenschutz</strong>recht <strong>für</strong> das 21. Jahrh<strong>und</strong>ert<br />
– Eckpunkte“ (2010), http://www.bfdi.b<strong>und</strong>.de/SharedDocs/Publikationen/Allgemein/79DSKEckpunktepapierBroschuere.pdf):<br />
• Die elementaren Schutzziele sollten folgende Bedingungen erfüllen:<br />
– Die Schutzziele sollten einfach, verständlich <strong>und</strong> praxistauglich sein.<br />
– Die Schutzziele sind an den Vorgaben des <strong>Datenschutz</strong>es zu messen,<br />
müssen längere Zeit Bestand haben <strong>und</strong> dürfen sich trotz aller<br />
80