Hamburgisches - Hamburgische Beauftragte für Datenschutz und
Hamburgisches - Hamburgische Beauftragte für Datenschutz und
Hamburgisches - Hamburgische Beauftragte für Datenschutz und
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Gegenüber der automatisierten Datenverarbeitung sind allerdings die Gewichte<br />
der Maßnahmen unterschiedlich gesetzt: hier kommt der Verhinderung<br />
des Zugriffs durch Unbefugte zentrale Bedeutung zu (Vertraulichkeit);<br />
wird dies sichergestellt, können auch die anderen Sicherungsziele erreicht<br />
werden (vgl. Bü-Drs. 13/3282 zu § 8).<br />
Absatz 4<br />
Insbesondere mit Absatz 4 soll Artikel 20 der EG-<strong>Datenschutz</strong>richtlinie umgesetzt<br />
werden, wonach die Mitgliedsstaaten festlegen, welche Verarbeitungen<br />
spezifische Risiken <strong>für</strong> die Rechte der Betroffenen beinhalten können<br />
<strong>und</strong> da<strong>für</strong> Sorge tragen, dass diese Verarbeitungen vor ihrem Beginn<br />
geprüft werden. Der <strong>Hamburgische</strong> Gesetzgeber hat sich <strong>für</strong> eine datenschutzfre<strong>und</strong>liche<br />
Regelung entschieden <strong>und</strong> die Vorabkontrolle ausnahmslos<br />
<strong>für</strong> alle automatisierten Verfahren geregelt, unabhängig sowohl<br />
von der Sensibilität der im Verfahren verarbeiteten personenbezogenen<br />
Daten als auch von der Art des automatisierten Verfahrens (zum Begriff des<br />
Verfahrens siehe Erläuterungen zu § 9 Abs. 1). Ausnahmen, wie sie etwa in<br />
§ 9 HmbDSG zur Verfahrensbeschreibung <strong>für</strong> bestimmte Verfahren der<br />
Bürokommunikation oder <strong>für</strong> Stellen wie der Polizei <strong>und</strong> weitere in § 23 Abs.<br />
6 HmbDSG festgelegte Stellen vorgesehen sind, bestehen <strong>für</strong> die Erstellung<br />
einer Risikoanalyse nicht. Die Feststellung spezifischer Risiken <strong>und</strong><br />
deren Beherrschbarkeit ist somit nicht Voraussetzung, sondern Teil der obligatorischen<br />
Risikoanalyse bei automatisierten Verfahren. Die Risikoanalyse<br />
ist in jedem Fall mit rechtzeitigem Vorlauf vor der Freigabe <strong>und</strong> der<br />
anschließenden Produktionsaufnahme zu erstellen.<br />
Absatz 4 „verpflichtet die Stellen, die automatisierte Verfahren zur Verarbeitung<br />
personenbezogener Daten betreiben wollen, vor der Entscheidung<br />
über die Einführung oder die wesentliche Änderung eines solchen Verfahrens,<br />
eine Risikoanalyse durchzuführen. Hierin sind die Risiken des geplanten<br />
Verfahrens abzuschätzen sowie mögliche Alternativen mit geringerer<br />
Eingriffstiefe <strong>für</strong> die Betroffenen zu prüfen. Form <strong>und</strong> Tiefe der vorzunehmenden<br />
Prüfung haben sich an der Sensibilität der zu verarbeitenden Daten <strong>und</strong><br />
an den technischen <strong>und</strong> organisatorischen Rahmenbedingungen der geplanten<br />
Datenverarbeitung zu orientieren. Ein in bestimmter Weise formalisiertes<br />
Prüfverfahren wird dabei nicht vorgeschrieben.<br />
Nur soweit die Risiken durch technische <strong>und</strong> organisatorische Maßnahmen<br />
– bei Geltung der Verhältnismäßigkeitsregelung des Absatzes 1 Satz 2 –<br />
beherrschbar sind, ist der Einsatz des Verfahrens zulässig.<br />
Diese Vorschrift … beinhaltet eine Regelung des sogenannten vorgezogenen<br />
<strong>Datenschutz</strong>es; schon vor dem Einsatz oder der Änderung eines ADV-<br />
82