Dr. Sebastian Kraska

80331, München
26.06.2019

Software-Instrumente im Datenschutz

IITR Information[IITR – 26.6.19] Häufig spricht man bei der Bewältigung der Aufgaben im Datenschutz von darauf spezialisierten Software-Lösungen. Tatsächlich können sich hinter dem Begriff „Software“ unterschiedliche Verfahrensweisen verbergen, die nicht vergleichbare Strategien darstellen.

Aktive Datenschutz-Programme

Am Markt verfügbar sind Programme, die aktiv in eine Firmen-IT eingreifen. Es werden dabei Speicherorte von Personen-Daten verschiedener Kategorien identifiziert, datenschutzrelevante Verknüpfungen aufgespürt, diesbezüglich notwendige Erklärungen vorgeschlagen. Dokumentationen der eigenen IT werden unter Datenschutz-Gesichtspunkten erstellt. Das Ziel ist eine Analyse der relevanten Datenbestände und Identifizierung von Speicherorten, um Daten nach Verwendung und Verfallsdaten zu ordnen, Verarbeitungsvorgänge zu dokumentieren. Die Programm-Anweisungen folgen dabei den Anforderungen einer dabei unterlegten Datenschutz-Gesetzgebung. Derartige Programme könnten der Software-Kategorie „Legal Tech“ zugeordnet werden.

Datenschutz-Management-Systeme (DsMS)

Im Unterschied dazu verfolgt ein Datenschutz-Management-System eine andere Herangehensweise. Aus Dokumenten-Management-Systemen abgeleitet stellt das DsMS dem Unternehmen eine strukturierte Auflistung der gesetzlich geforderten Datenschutz-Maßnahmen in einer integrierten Sammlung von Vorlagen für Erklärungen, Datenschutz-Strategien und Vertrags-Entwürfen zur Verfügung. Zu erstellende Dokumentationen sind der geforderten Nachweisbarkeit wegen versionierend ausgeführt und werden archiviert. Der jeweils aktuelle Datenschutz-Status ist auf Anforderung auditierbar.

Ein Eingriff in die Unternehmens-IT durch ein Datenschutz-Management-System erfolgt nicht. Das DsMS beschreibt und dokumentiert lediglich die vorliegenden Prozesse. In der Regel wird ein DSMS durch den internen oder externen Datenschutz-Beauftragten geführt.

Überlegungen zum Software-Begriff

Sowohl der Ansatz eines aktiven Datenschutz-Programms, als auch das letztgenannte Datenschutz-Management-Systems werden umgangssprachlich mit dem Oberbegriff „Software“ versehen. Auf den ersten Blick erfordern beide Ansätze tatsächlich zunächst einen mehr oder weniger umfangreichen Programmier-Aufwand, dessen Ergebnis in beiden Fällen dann zur generalisierenden Bezeichnung als „Software“ führen mag.

Bei näherer Betrachtung wird aber deutlich, dass es sich dabei um unterschiedliche Ansätze handelt, deren jeweilige Verwendung zu stark unterschiedlichen Konsequenzen führt.

Recht und Mathematik

Softwareprogramme werden nach Regeln und in der Sprache der Mathematik verfasst und sind damit dem Bereich der Naturwissenschaft zugehörig. Recht unterliegt nach unserer Einschätzung keiner naturwissenschaftlichen, sondern einer eher sozialwissenschaftlichen Ausrichtung. Recht kann damit nicht alleine den Regeln der Mathematik, sondern wird immer auch einer zusätzlichen menschlichen Bewertung unterworfen sein. Wertung ist jedoch kein naturwissenschaftlich beschreibbarer Vorgang. Im Rechtsbereich eingesetzte Software bedarf daher umso mehr einer ergänzenden Betreuung durch abwägende, also wertende Spezialisten, je komplexer sich ein juristischer Sachverhalt darstellt.

Ein dezentral, womöglich international aufgestelltes Unternehmen mit mehreren Verwaltungen, womöglich auf verschiedene Kontinente verteilt dürfte gut beraten sein, eine spezialisierte Gruppe von Bedienern für eine Software-gestützte Bewältigung des Datenschutzes aufzubauen. Diese müssen versiert sein in der Bedienung des eingesetzten Datenschutz-Programms, sowie der IT-Struktur des Unternehmens, sie müssen von der Intention des Datenschutzes etwas verstehen und darüber hinaus in juristischen Kategorien denken können.

Der Geschäftsführer im Datenschutz

Die in der Datenschutzgesetzgebung prominent herausgestellte Verantwortung eines Geschäftsführers für die datenschutzrechtliche Organisation seines Unternehmens ist tangiert auch dann, sofern dieser bereits auf die Existenz eines installierten Datenschutz-Programms vertraut. Denn er muss sich der Wirkungsweise und eines halbwegs erfolgreichen Einsatzes dieser Software vergewissert haben, Umfang und Wirkung des Einsatzes dieser Software sind dabei schriftlich zu fixieren.

Automatisierte Innovation

Sofern rechtliche Vorgaben durch eine softwaregetriebene Bewältigung von Datenschutz-relevanten Kriterien vorgenommen werden sollen, wird der Wirkungsgrad eines Unternehmens tangiert. Die Tatsache, wonach das Recht in die Unternehmen hineinwirkt ist wenig überraschend. Neu ist allerdings, wonach innovative Rechtsgebiete softwaregetrieben in die Firmenorganisation eingreifen.

Große Konzerne werden sich dem Einsatz solch hochkomplexer Datenschutz-Programme nicht verschließen können, und dafür entsprechend hochspezialisierte Abteilungen unterhalten müssen, denn die Auswirkungen von softwaregetriebenen Eingriffen in Unternehmens-Abläufe sollten gut kontrolliert werden.

Fazit

Ohne eine besonders Datenschutz-relevante Betätigung eines Unternehmens, sowie unterhalb von bestimmten Firmengrößen kommt das Datenschutz-Management-System in Betracht. Es dient einer Aufrechterhaltung von Transparenz, bietet organisatorische Vereinfachungen und womöglich auch Kostenvorteile.

Sollen oder müssen aktive Datenschutz-Programme eingesetzt werden, so empfehlen wir zur Sicherheit, über den ergänzenden Einsatz eines Datenschutz-Management-Systems nachzudenken.

Autor: Eckehard Kraska

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.