Hamburgisches - Hamburgische Beauftragte für Datenschutz und
Hamburgisches - Hamburgische Beauftragte für Datenschutz und
Hamburgisches - Hamburgische Beauftragte für Datenschutz und
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Zu § 8 Technische <strong>und</strong> organisatorische Maßnahmen;<br />
Vorabkontrolle<br />
Absatz 1<br />
Jede Verwendung personenbezogener Daten durch öffentliche Stellen im<br />
Rahmen der Selbst- oder der Auftragsdatenverarbeitung erfordert technische<br />
<strong>und</strong> organisatorische Maßnahmen, um die Ausführung der Vorschriften<br />
dieses Gesetzes zu gewährleisten. Dabei gilt nach § 8 Abs. 1 S. 2 der<br />
Gr<strong>und</strong>satz der Zweck-Mittel-Relation. Aufgr<strong>und</strong> der unterschiedlichen Verarbeitungsbedingungen<br />
werden hierbei <strong>für</strong> die automatisierte <strong>und</strong> nichtautomatisierte<br />
Datenverarbeitung differenzierte Maßnahmen vorgeschrieben.<br />
Mit welchen konkreten Maßnahmen die Ziele erfüllt werden, bleibt den<br />
verantwortlichen Stellen überlassen. Die Erforderlichkeit <strong>und</strong> das angemessene<br />
Verhältnis zur Schutzwürdigkeit der Daten im Einzelfall lassen<br />
sich immer nur anhand der konkreten Gegebenheiten bestimmen. Mehrere<br />
Faktoren (Art <strong>und</strong> Schutzwürdigkeit der Daten, Schulung <strong>und</strong> Zuverlässigkeit<br />
des Personals, räumliche <strong>und</strong> technische Gegebenheiten, Abgeschlossenheit<br />
der Dienststelle usw.) sind dabei zu berücksichtigen. Die<br />
Entscheidung liegt bei der jeweiligen öffentlichen Stelle, der insoweit ein<br />
organisatorischer Handlungsspielraum zusteht. Dass Maßnahmen nach<br />
dem jeweiligen Stand der Technik zu treffen sind, bedarf dabei keiner ausdrücklichen<br />
gesetzlichen Festlegung (Vgl. Bü-Drs 13/3282). Der aktuelle<br />
Stand der Technik ergibt sich u.a. aus den IT-Gr<strong>und</strong>schutz-Katalogen des<br />
B<strong>und</strong>esamtes <strong>für</strong> Sicherheit in der Informationstechnik. Die Einhaltung der<br />
technischen <strong>und</strong> organisatorischen Maßnahmen wird gr<strong>und</strong>sätzlich <strong>für</strong><br />
nicht abdingbar gehalten. Betroffene können somit nicht darin einwilligen,<br />
dass ihre Daten ohne einen ausreichenden Schutz nach dem Stand der<br />
Technik verarbeitet werden. Die elektronische Übertragung sensibler personenbezogener<br />
Daten ohne Verschlüsselung etwa per Mail scheidet deshalb<br />
auch dann aus, wenn der Betroffene explizit um die Übersendung per<br />
Mail bittet.<br />
Absatz 2<br />
Neben der Beachtung des Gr<strong>und</strong>satzes der Datenvermeidung <strong>und</strong> der<br />
Datensparsamkeit, an dem sich nach § 4 Abs. 4 HmbDSG Auswahl <strong>und</strong><br />
Gestaltung technischer Einrichtungen auszurichten haben, müssen sich<br />
bei automatisierter Verarbeitung die zu treffenden Maßnahmen an fünf<br />
übergeordneten Sicherungszielen orientieren, die im Wesentlichen selbsterklärend<br />
sind (Abs. 2 Nr. 1 bis 5):<br />
• „Das Sicherungsziel der Vertraulichkeit verlangt, dass kein unbefugter<br />
Informationsgewinn stattfinden kann;<br />
78