Datenschutz

Hinweise zu automatisierten Abrufverfahren i. S. § 7 ThürDSG

  1. Ein automatisiertes Abrufverfahren (§ 7 ThürDSG) ist ein Datenverarbeitungsverfahren, in dem Einzeldaten oder ganze Datenbestände durch Abruf an einen Dritten (§ 3 Abs. 6 ThürDSG) übermittelt (§ 3 Abs. 3 Nr. 5 ThürDSG) werden.
    Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt die abrufende Stelle.
    Von mehreren Stellen gemeinsam betriebene Dateien mit wechselseitiger Schreibbefugnis fallen nicht unter § 7 ThürDSG, da es sich um mehrere speichernde Stellen handelt.
  2. Voraussetzung für die Einrichtung von Online-Verfahren ist, dass die Daten zur Erfüllung der in der Zuständigkeit der jeweiligen Behörde oder der des Empfängers liegenden Aufgabe benötigt werden. Auf Grund zusätzlicher Gefahren und Risiken bei automatisierten Abrufverfahren ist vor der Einrichtung eine umfassende Prüfung hinsichtlich der Angemessenheit dieser Maßnahme vorzunehmen. Dazu ist es notwendig, abzuwägen, ob wegen der Dringlichkeit und Häufigkeit von Datenanforderungen die Einrichtung eines Online-Anschlusses an Stelle anderer Formen der Datenübermittlung geboten ist. Selbstverständlich muss der Umfang der Datenübermittlung dem Erforderlichkeitsgrundsatz entsprechen. Ebenso muss den Forderungen der Datensicherheit z. B. durch eine stichprobenartige Protokollierung der einzelnen Abrufe Rechnung getragen werden. (siehe auch Nr. 8.)
  3. Wesentlich für den Abruf ist das Moment der "Selbstbedienung". Werden Art und Umfang der zu übermittelnden Daten allein von der übermittelnden Stelle bestimmt und kann der Empfänger nur den Zeitpunkt festlegen, liegt daher kein Abruf im Sinne des § 7 ThürDSG vor, so etwa bei der regelmäßigen Übermittlung der Kfz-Zulassungsdaten von den Gemeinden an das Kraftfahrtbundesamt im automatisierten Verfahren.
  4. Ein Abruf kann der Abruf eines Datensatzes, des Teils eines Datensatzes oder mehrerer Datensätze (eines Datenbestandes) sein. Gegenstand eines Abrufs kann auch das Ergebnis einer Datenverarbeitung sein, z. B. des Vergleichs oder Abgleichs zweier Datenbestände.
  5. Die speichernde Stelle und die abrufende(n) Stelle(n) legen die Einzelheiten des vereinbarten Verfahrens gemäß § 7 Abs. 2 ThürDSG fest:
    1. Anlass und Zweck des Verfahrens
    2. abrufberechtigte Stellen ("Datenempfänger")
    3. zum Abruf vorgesehene Daten (Datenarten)
    4. technische und organisatorische Datensicherungsmaßnahmen i. S. § 9 ThürDSG.
  6. Das Abrufverfahren ist schriftlich zu dokumentieren. Die in § 7 Abs. 2 ThürDSG genannten Informationen sind in geeigneter Weise übersichtlich in einer eigenen Dokumentation zusammenzustellen. Dazu reicht die technische Entwicklungsdokumentation (Programmdokumentation) allein in der Regel nicht aus. Sie kann der Dokumentation jedoch ergänzend als Anlage beigefügt werden.
  7. Über die Einrichtung eines automatisierten Abrufverfahrens ist unter Angabe der beteiligten Stellen - speichernde oder abrufende Stellen - vorher der TLfD zu unterrichten (§ 7 Abs. 3 ThürDSG). Dabei sind ihm die gem. § 7 Abs. 2 ThürDSG festgelegten oder festzulegenden Einzelheiten des Verfahrens (siehe Nr. 3) mitzuteilen.
  8. Die speichernde Stelle hat zu gewährleisten, dass die Übermittlung personenbezogener Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann (§ 7 Abs. 4 ThürDSG). Dazu ist eine Protokollierung der Abrufe erforderlich, deren Umfang für das einzelne Abrufverfahren festzulegen ist. Zumindest für einen Teil der Abrufe werden Zeitpunkt und Inhalt (Anfragetext und Antworttext) sowie abrufende Stelle und abrufender Benutzer dokumentiert.
    Eine Vollprotokollierung, d. h. eine lückenlose Protokollierung aller Abrufe mit allen genannten Details, ist vom Gesetz nicht gefordert. Gleichwohl kann sie unter Umständen geboten sein. Solche Umstände können sich aus der Sensibilität der gespeicherten Daten, der Art des Übertragungsweges, aus dem Benutzerkreis oder aus allen drei Kriterien ergeben. Selbst wenn alle Anforderungen des § 9 ThürDSG erfüllt sind, ist ein Eindringen über die Online-Verbindung in den Datenbestand durch Hacker nicht auszuschließen.
    Zwar dient die Einrichtung geeigneter Stichprobenverfahren der Gewährleistung der Kontrolle (durch den TLfD oder die Aufsichtsbehörden), es ist aber vor allem Sache der speichernden Stelle zu überprüfen, ob unbefugt auf ihre gespeicherten Daten zugegriffen wird.
  9. Liegen keine besonderen Umstände vor, so erfolgt die Protokollierung in Form einer Auswahl (z. B. jeder dritte Abruf) oder ausschnittsweise, wobei sich die Ausschnitte auf Zeiträume, Benutzer oder Benutzergruppen, Datenarten oder Dateninhalte beziehen oder an definierte Ereignisse (z. B. Abrufhäufigkeit) anknüpfen können. Die Auswahl sollte flexibel und situationsangemessen sein. Eine statistisch gleichmäßige (repräsentative) Berücksichtigung des Gesamtaufkommens der Abrufe ist nicht geboten. Eine gezielte Auswahl nach bestimmten Kriterien, zu denen auch Zufallskriterien gehören können, wird meist wirkungsvoller sein. Von entscheidender Bedeutung für die Missbrauchsprävention ist, dass die Art und Weise der Protokollierung für die Benutzer nicht vorhersehbar ist; für sie muss immer das Risiko einer Protokollierung und Nachprüfung bestehen.
  10. Die Protokolldaten müssen nicht in Papierform vorliegen; es reicht aus, wenn sie maschinenlesbar verfügbar sind.
  11. Eine allgemeine Aussage, wie lange die Protokolle aufzubewahren sind, ist nicht möglich. Im Allgemeinen wird eine Aufbewahrungsdauer von einem Jahr angemessen sein.
  12. Für alle Protokolldateien gilt die besondere Zweckbindung nach § 20 Abs. 4 ThürDSG.
  13. Bei der Auswertung der Protokolldaten steht das Ziel im Vordergrund, unzulässige und "problematische" Abrufe zu erkennen, um geeignete Korrekturmaßnahmen einleiten zu können. Ebenso ist es Ziel der Auswertung, eine möglichst hohe Gewissheit zu erreichen, dass unzulässige Abrufe nicht stattfinden. Hierzu ist es notwendig, einzelne protokollierte Abrufe auf ihre Rechtmäßigkeit zu überprüfen, insbesondere an Hand der Unterlagen der abrufenden Stelle. Welche Fälle in die konkrete Überprüfung einbezogen werden, richtet sich nach dem Kontrollzweck.

    Eine für den gesamten protokollierten Bestand repräsentative Auswahl ist nicht geboten und für sich allein nicht der optimale Ansatz. Vielmehr ist es zweckmäßig, durch Auswertung des Protokollbestandes diejenigen Teilmengen einzukreisen, bei denen eine erhöhte Wahrscheinlichkeit kritischer Abrufsfälle besteht. Hierzu können Auswertungen nach Tageszeiten, nach abrufberechtigten Personen oder Stellen, nach regionalen Gesichtspunkten, nach Nutzungsfrequenz, nach verwendeten Abrufarten oder nach abgerufenen Datenarten in Betracht kommen. Erweisen sich bestimmte Teilmengen von Abrufen als besonders fehlerträchtig, ist es angezeigt, für diese eine intensivere Protokollierung und Auswertung vorzunehmen.
  14. Die Zwischen- und Endergebnisse der Auswertung unterliegen ebenso wie der Inhalt der Protokolldateien der besonderen Zweckbestimmung des § 20 Abs. 4 ThürDSG.
  15. Es ist Aufgabe der speichernden Stelle, den einzelnen Benutzer (jede einzelne Person) der abrufenden Stelle zu identifizieren und zu authentisieren. Einzelheiten dieser und aller weiteren Maßnahmen zur Sicherheit des Verfahrens sind bei der Vereinbarung des Abrufverfahrens von der speichernden Stelle und der abrufenden Stelle festzulegen. Erforderlich sind solche Maßnahmen, die in angemessenem Verhältnis zu dem angestrebten Schutzzweck stehen (§ 9 ThürDSG).
  16. Passwörter sind in Abrufsystemen mit den üblichen Verfahrensweisen, etwa Kryptierung, zu schützen.
  17. Wegen der prinzipiellen Angreifbarkeit des öffentlichen Wählnetzes, insbesondere des Telefonnetzes, können bei besonders sensiblen Daten an Stelle von Wählanschlüssen auch festgeschaltete Leitungen erforderlich sein.
  18. Die Anforderungen des § 9 ThürDSG werden durch § 7 ThürDSG nicht eingeschränkt.

Ihr Kontakt zum TLfDI


Logo des TLFDI

Sie brauchen die Hilfe des TLfDI?

Postfach 90 04 55 | 99107 Erfurt
Häßlerstrasse 8 | 99096 Erfurt

Tel.: 03 61 / 37 71 900
Fax : 03 61 / 37 71 904

Logo Freistaat Thüringen