M 2.510 Meldung und Regelung von Abrufverfahren bei der Verarbeitung personenbezogener Daten

Verantwortlich für Initiierung: Datenschutzbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Datenschutzbeauftragter, Fachverantwortliche

Den automatisierten Abrufverfahren kommt unter dem Aspekt des Datenschutzes und der Datensicherung besondere Bedeutung zu, weil die abrufende Stelle je nach Einrichtung eines solchen Anschlusses ohne Einzelentscheidung der zuständigen Stelle über den gesamten Bestand oder wesentliche Teile der von der übermittelnden Stelle bereitgehaltenen personenbezogenen Daten verfügen kann. Deshalb sehen die entsprechenden gesetzlichen Regelungen (z. B. § 10 BDSG ) den technischen und organisatorischen Datenschutz zwingend bereits als Teil der Planung von Abrufverfahren vor.

Automatisierte Abrufverfahren werden in den Datenschutzgesetzen als eine Phase der Datenverarbeitung definiert, bei der gespeicherte oder durch Datenverarbeitung gewonnene personenbezogene Daten an einen Dritten in der Weise bekannt gegeben werden, dass die Daten durch die datenverarbeitende Stelle zum Abruf bereitgestellt werden und der Abruf durchgeführt wird.

Ein Beispiel für ein automatisiertes Abrufverfahren ist das Elektronische Grundbuch, das zugelassenen Teilnehmern nach Maßgabe der gesetzlichen Bestimmungen die unmittelbare Online-Einsicht auf Grundbuchdaten von ihren Arbeitsplatz-Rechnern ermöglicht. Dieser Dienst kann insbesondere von Notaren, Rechtsanwälten, Banken, Sparkassen und Versicherungen, aber auch Landes- und Kommunalbehörden genutzt werden, die zur Ausübung ihrer Tätigkeiten häufig auf die Grundbucheinsicht angewiesen sind.

Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Empfänger.

Für die Einrichtung eines automatisierten Abrufverfahrens sind die besonderen Zulässigkeitsvoraussetzungen in den einschlägigen Gesetzen dargestellt. Zur Kontrollierbarkeit der Zulässigkeit sind die wesentlichen Details des Abrufverfahrens schriftlich festzulegen.

Zu beachten ist, dass die Unterrichtung des Bundes- bzw. Landesbeauftragten für den Datenschutz über die Einrichtung eines Abrufverfahrens in einigen Datenschutzgesetzen gefordert ist.

Allgemeine Aspekte:

Maßnahmen gegen unbefugten Abruf:

Netzanbindung:

Bei der Vernetzung von IT-Systemen ist zu überprüfen, wie der Netzanschluss der Endsysteme realisiert ist. Bei Wählanschlüssen ist beispielsweise zu überprüfen, welche Sicherheitsmaßnahmen vorgesehen sind, bei virtuellen Festverbindungen, ob geschlossene Benutzergruppen eingerichtet worden sind. In lokalen Netzen sollten geschlossene Benutzergruppen so eingerichtet werden, dass sie jeweils nur geschlossene Organisationseinheiten umfassen.

Prüffragen: