Zurück zur Übersicht
05.07.2020

Dezentrale Datenhaltung und die Rechte

Eine dezentrale Verwaltung und Verarbeitung personenbezogener Daten kann erheblich zur Sicherstellung einer Zweckbindung gemäß Art. 5 Abs. 1 Buchst. b DSGVO und einer Datenminimierung gemäß Art. 5 Abs. 1 Buchst. c DSGVO beitragen. Gleichzeitig ergeben sich jedoch aus einer dezentralen Datenhaltung Herausforderungen in Bezug auf die Gewährleistung von Betroffenenrechten gemäß Kapitel III DSGVO. Hieraus resultiert u.a. die Notwendigkeit einer umfassenden und frühzeitigen Berücksichtigung des Datenschutzes bei der Konzeption und beim Design von IT-Systemen und -Landschaften im Sinne des Datenschutzes durch Technikgestaltung gemäß Art. 25 DSGVO.

Die Aufsichtsbehörde führte eine Prüfung bei einem hessischen Unternehmen durch, das für seine Kundinnen und Kunden Produkte herstellt. Gegenstand der Prüfung war die Fragestellung, ob und ggf. in welcher Form (zentral oder dezentral) das Unternehmen personenbezogene Daten zu den von ihm produzierten Produkten verarbeitet. Dies war Anlass, sich intensiver mit der Thematik der dezentralen Datenhaltung in Bezug auf die Rechte der Betroffenen auseinanderzusetzen.

Die verteilte Datenhaltung:
Den Ausgangspunkt zur Herstellung eines Produktes bildet meist ein Kaufvertrag, in dessen Kontext u.a. die Spezifika des konkreten Produktes festgehalten werden. Die entsprechenden personenbezogenen Daten werden hierzu in Form eines Auftrags in einem dafür vorgesehenen System zur Auftragsabwicklung gespeichert und zur weiteren Verarbeitung vorgehalten. Im Anschluss erfolgt die Produktion, an deren Ende die Auslieferung der Produkte an die Kundin oder den Kunden steht. Bereits im Zusammenhang mit der Produktion und der Auslieferung von kundenspezifischen Produkten werden personenbezogene Daten an weitere Systeme übertragen, z.B. Produktionsplanungs- und Steuerungssysteme. Im Rahmen der Auslieferung werden personenbezogene Daten dann an Logistik-Dienstleister übermittelt, die als Auftragsverarbeiter gemäß Art. 28 DSGVO agieren. Nachdem ein Produkt an eine Kundin oder einen Kunden übergeben wurde, wird es von Seiten des Herstellers weiterhin begleitet, u.a. im Rahmen der Produktbeobachtung und -verbesserung sowie von Garantie und Service.

Im Laufe des Lebenszyklus eines kundenspezifischen Produkts werden durch den Hersteller personenbezogene Daten zu unterschiedlichen Zwecken erhoben und verarbeitet. Bedingt durch die lange Nutzungsdauer der Produkte und die mit dieser in der Regel einhergehende Kundenbeziehung kommt im Laufe der Zeit eine größere Menge an personenbezogenen Daten zusammen.

Der Hersteller hat sich im vorliegenden Fall für eine weitgehend dezentrale Datenhaltung in Bezug auf personenbezogene Daten entschieden. Hierbei werden die für die jeweiligen Zwecke relevanten personenbezogenen Daten auf die zweckspezifischen IT-Systeme verteilt sowie in diesen vorgehalten und verarbeitet.

Jedes der IT-Systeme benötigt als Ausgangspunkt personenbezogene Basisdaten in unterschiedlichem Umfang, abhängig vom jeweiligen Einsatzzweck. Diese Daten werden in der Regel aus dem oben erwähnten System zur Auftragsabwicklung bezogen.

Im Laufe des Lebenszyklus eines kundenspezifischen Produkts kommt es zu unterschiedlichen Ereignissen, bei denen personenbezogene Daten erhoben werden. Beispiele hierfür sind Service-Kontakte, Reparaturen oder die Abwicklung von Garantiefällen. Je nach Relevanz der Daten für die jeweiligen Einsatzzwecke und dem Vorliegen einer entsprechend erforderlichen Rechtsgrundlage erfolgt eine Verteilung auf die IT-Systeme des Herstellers. Die Löschung der personenbezogenen Daten erfolgt ebenfalls auf Ebene der einzelnen IT-Systeme. Hierbei werden jeweils individuell anzuwendende Löschfristen berücksichtigt.


Die Rechte der betroffenen Personen
Zur Erfüllung der Informations- und Mitteilungspflichten des Verantwortlichen sowie zur Ausübung der Rechte durch betroffene Personen nach DSGVO sind vom Verantwortlichen die Voraussetzungen zu schaffen und entsprechende Maßnahmen vorzusehen, die die Spezifika einer dezentralen Datenhaltung berücksichtigen.


Unter der Voraussetzung, dass der zugrundeliegende Prozess der Verteilung erhobener personenbezogener Daten über einen längeren Zeitraum unverändert bleibt, ergibt sich die Möglichkeit, die nachfolgend beschriebenen Schritte einmalig durchzuführen. Anschließend können die ermittelten Informationen im Rahmen der Erhebung weiterer personenbezogener Daten wiederholt bereitgestellt werden. In Fällen relevanter Änderungen des Prozesses müssen diese Änderungen jedoch durch Anpassungen der bereitgestellten Informationen entsprechend reflektiert werden.

Die Informationspflichten gemäß der Art. 13 und 14 DSGVO müssen bereits bei der Erhebung personenbezogener Daten erfüllt werden. Bereits zu diesem Zeitpunkt müssen Verteilung und Zwecke der Verarbeitung der Daten feststehen. Hierzu sind die einzelnen Zielsysteme zu identifizieren sowie jeweils die verarbeitungserheblichen Informationen zu ermitteln und aufzubereiten. Abschließend ist eine Zusammenführung der Einzelinformationen erforderlich.

Zur Gewährung des Auskunftsrechts gemäß Art. 15 DSGVO ist bei einer verteilten Datenhaltung ein Prozess zur Identifikation derjenigen IT-Systeme zu implementieren, die personenbezogene Daten zur betroffenen Person verarbeiten. Im Rahmen dieses Prozesses müssen für die identifizierten IT-Systeme jeweils alle gemäß Art. 15 DSGVO erforderlichen Informationen zurückgeliefert werden. Auf Basis dieser Informationen ist im Anschluss eine umfassende Auskunft zusammenzustellen und zu erteilen.

Zu Gewährung des Rechts auf Berichtigung gemäß Art. 16 DSGVO, des Rechts auf Löschung gemäß Art. 17 DSGVO und des Rechts auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO sind mittels entsprechender Prozesse die jeweils betroffenen IT-Systeme zu identifizieren. Für jedes dieser IT-Systeme sind im Anschluss die zur Gewährung des jeweiligen Rechts erforderlichen Schritte durchzuführen. Hierbei sind die gemäß Art. 19 DSGVO erforderlichen Mitteilungspflichten umzusetzen. Zur Realisierung des Rechts auf Datenübertragbarkeit gemäß Art. 20 DSGVO ist hinsichtlich der Ermittlung der relevanten Informationen analog zu Art. 15 DSGVO vorzugehen. Das heißt, die gemäß Art. 20 Abs. 1 DSGVO geforderte Zusammenstellung und Aufbereitung der personenbezogenen Daten sowie deren etwaige direkte Übermittlung zwischen Verantwortlichen gemäß Art. 20 Abs. 2 DSGVO sind technisch zu implementieren. Auch das Recht auf Widerspruch gemäß Art. 21 DSGVO ist analog zu den Artikeln 16 bis 18 DSGVO umzusetzen.

Möglichkeiten der Umsetzung:
Die konkrete Umsetzung der in dem vorangegangenen Kapitel dargestellten Rechte der betroffenen Person muss in Form von entsprechenden datenschutzrechtlichen Begleitprozessen erfolgen. Zur Ausgestaltung derartiger Prozesse haben Verantwortliche unterschiedliche Möglichkeiten. Ein wesentliches Merkmal einer konkreten Umsetzung ist der Grad der Automatisierung.

Bei einer automatisierten und weitgehend technischen Umsetzung des Auskunftsrechts gemäß Art. 15 DSGVO könnte ein IT-gestützter Prozess bspw. alle potenziell betroffenen IT-Systeme kontaktieren. Aus diesen könnten dann alle für ein konkretes Auskunftsersuchen relevanten Informationen abgerufen werden. Die Aufbereitung der ermittelten Informationen könnte im Anschluss ebenfalls automatisiert erfolgen. Gleiches gilt für den anschließenden Versand.

Eine manuelle und hauptsächlich organisatorische Umsetzung eines Auskunfts-Prozesses müsste sich an der Organisationsstruktur des Verantwortlichen sowie der Zuordnung von Verarbeitungstätigkeiten und IT-Systemen zu Organisationseinheiten orientieren. Im Falle eines Auskunftsersuchens nach Art. 15 DSGVO müssten alle Organisationseinheiten kontaktiert werden, in deren Kontext potenziell personenbezogene Daten zur betroffenen Person verarbeitet werden. Die Organisationseinheiten müssen sodann manuell ermitteln, ob sie tatsächlich entsprechende personenbezogene Daten verarbeiten. Für diesen Fall müssten sie alle zur Erteilung der Auskunft relevanten Informationen zusammenstellen und zurückmelden. Abschließend müssten die zurückgemeldeten Informationen zusammengeführt und der betroffenen Person übermittelt werden.

Bei der Ausgestaltung der datenschutzrechtlichen Begleitprozesse müssen Verantwortliche immer auch sonstige Rahmenbedingungen berücksichtigen, z.B. einzuhaltende Fristen oder verfügbare Mechanismen zur Ermittlung der Identität von betroffenen Personen. Die beiden obigen Beispiele stellen zwei entgegengesetzte Extreme hinsichtlich des Grades der Automatisierung für die Umsetzung datenschutzrechtlicher Begleitprozesse dar. In der Praxis dürften sich die tatsächlichen Implementierungen dazwischen bewegen.

So auch in dem geprüften Fall. Wie viele andere Verantwortliche auch hatte der Verantwortliche wesentliche Teile seiner IT-Landschaft bereits vor dem Inkrafttreten der DSGVO im Einsatz. Hieraus folgte, dass die konkreten Anforderungen aus dem Bereich der Rechte der betroffenen Personen gemäß Kapitel III DSGVO bei der Umsetzung der Verarbeitungstätigkeiten und der zugehörigen IT-Systeme noch nicht berücksichtigt werden konnten. Dementsprechend waren die oben angeführten datenschutzrechtlichen Begleitprozesse zum großen Teil manueller Natur und mittels organisatorischer Maßnahmen umgesetzt. Hieraus resultierten, neben den vergleichsweise hohen Aufwänden zur manuellen Umsetzung der Prozesse, auch Herausforderungen in Bezug auf die Wahrung der zugehörigen Fristen.

Der Einfluss der Technikgestaltung:
Art. 25 DSGVO fordert einen Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. In Art. 25 Abs. 1 DSGVO wird hierzu konkretisiert, dass der Verantwortliche sowohl zum Zeitpunkt der Festlegung als auch zum Zeitpunkt der Verarbeitung geeignete technische und organisatorischen Maßnahmen trifft, um u.a. die Rechte der betroffenen Personen zu schützen.

Grundsätzlich fordert die DSGVO von Verantwortlichen nicht, zur Wahrung der Rechte der betroffenen Personen vollautomatisierte datenschutzrechtliche Begleitprozesse umzusetzen. Dies gilt insbesondere vor dem Hintergrund, dass der Verantwortliche gemäß Art. 25 Abs. 1 DSGVO bei der Ausgestaltung der Maßnahmen, und somit auch der datenschutzrechtlichen Begleitprozesse, den Stand der Technik, die Implementierungskosten und die Art, den Umfang, die Umstände und den Zweck der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für Rechte und Freiheiten der betroffenen Personen berücksichtigen muss.

Gerade in komplexen und über einen längeren Zeitraum hinweg fortentwickelten IT-Landschaften dürfte die nachträgliche Realisierung vollautomatisierter datenschutzrechtlichen Begleitprozesse mit erheblichen Implementierungskosten verbunden sein. Auf der anderen Seite dürfte die Durchführung vorwiegend organisatorisch umgesetzter datenschutzrechtliche Begleitprozesse in jedem Einzelfall im Vergleich zu vollautomatisierten Prozessen zu hohen Aufwänden führen. Beide Aspekte sollten bei der konkreten Ausgestaltung der datenschutzrechtlichen Begleitprozesse berücksichtigt werden. Hierbei spielen die konkreten Gegebenheiten im Einzelfall eine wesentliche Rolle, z.B. das Aufkommen an Anfragen gemäß Art. 15 DSGVO sowie die Spezifika der IT-Landschaft und der konstituierenden IT-Systeme.

Es ist zu empfehlen, im Rahmen des Datenschutzmanagements eine Strategie für die Realisierung und Weiterentwicklung der datenschutzrechtlichen Begleitprozesse zu entwickeln und umzusetzen. Diese kann bspw. eine schrittweise Automatisierung vorsehen, die sowohl einzelne datenschutzrechtliche Begleitprozesse als auch einzelne IT-Systeme differenziert berücksichtigt. Die Abstimmung einer derartigen Strategie mit einem etwaig vorhandenen Enterprise Architecture Management, einer IT-Strategie sowie geplanten IT-Projekten sollte ebenfalls vorgenommen werden. So könnten bspw. Synergieeffekte genutzt werden, falls im Rahmen eines Anpassungs-Projekts für ein IT-System datenschutzrechtliche Begleitprozesse ebenfalls berücksichtigt werden. In Projekten zur Realisierung neuer Verarbeitungstätigkeiten und für die dazugehörigen IT-Systeme sollten datenschutzrechtlichen Begleitprozesse möglichst früh im Sinne des Datenschutzes durch Technikgestaltung berücksichtigt werden. Für die Dauer des Bestehens eines datenschutzrechtlichen Begleitprozesses muss dieser regelmäßig überprüft werden. Dies gilt sowohl in Bezug auf das technische als auch auf das organisatorische Umfeld des Prozesses sowie hinsichtlich der relevanten Verarbeitungstätigkeiten.

Fazit
Eine sinnvoll umgesetzte verteilte Datenhaltung und Verarbeitung personenbezogener Daten kann die Einhaltung der Grundsätze der Verarbeitung personenbezogenen Daten gemäß Art. 5 DSGVO unterstützen. Dies gilt insbesondere für die Zweckbindung gemäß Art. 5 Abs. 1 Buchst. b DSGVO und die Datenminimierung gemäß Art. 5 Abs. 1 Buchst. c DSGVO. Gleichzeitig ergeben sich hieraus spezifische Herausforderungen in Bezug auf die Wahrung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO. Im Zusammenhang mit dem Datenschutz durch Technikgestaltung gemäß Art. 25 DSGVO sind diese Herausforderungen entsprechend zu berücksichtigen. Bei einer frühzeitigen und umfassenden Berücksichtigung können in der Regel Synergieeffekte ausgeschöpft werden. Umgekehrt kann eine zu späte Berücksichtigung zu erheblichen und vermeidbaren Aufwänden führen. Eine regelmäßige Überprüfung datenschutzrechtlicher Begleitprozesse ist insbesondere in dynamischen Umgebungen unerlässlich.

Quelle: HBDI

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks