Die Weitergabekontrolle – das vierte der acht Gebote des Datenschutzes

Unter dem Begriff der Weitergabekontrolle stellt das Bundesdatenschutzgesetz (BDSG) eine Forderung auf, die in der Praxis oft missverstanden wird. Ziel ist hier weniger, Datenweitergaben zu protokollieren. Es geht vielmehr darum, diese vorhersehbar und kontrollierbar zu machen, um den Datenschutz in Organisationen zu gewährleisten.

Die acht Gebote des Datenschutzes

Für Organisationen, die personenbezogene Daten verarbeiten oder nutzen, schreibt das Bundesdatenschutzgesetz (BDSG) konkrete Schutzmaßnahmen vor. Diese, als die „acht Gebote des Datenschutzes“ bekannten Regelungen (Anlage zu § 9, Satz 1), führen als vierten Punkt die Weitergabekontrolle auf.

Wozu dient Weitergabekontrolle?

Ziel der Weitergabekontrolle ist es einerseits, vorhersehbar zu machen, an wen und unter welchen Voraussetzungen Daten weitergegeben werden dürfen. Andererseits geht es um die Sicherung der zugelassenen Transfers. Anders ausgedrückt: Weitergabekontrolle bestimmt zulässige Empfänger und Übertragungswege.

Zulässige Empfänger

Um die Weitergabekontrolle gemäß Datenschutzvorschriften korrekt umzusetzen, ist zuerst festzulegen, an welche Stellen überhaupt welche Daten übermittelt werden dürfen. Diese Festlegung hat so präzise zu erfolgen, dass die in Frage kommenden Personen eindeutig bestimmbar werden. Hintergrund ist hier auch, dass eine Weitergabe von Daten an andere regelmäßig mit der Frage verbunden ist, auf welcher rechtlichen Grundlage dies geschieht. Der Zwang, festzulegen, an wen welche Daten unter welchen Bedingungen und letztlich auch zu welchem Zweck gegeben werden dürfen, hilft, hier nicht versehentlich rechtliche Schranken zu übersehen und zu überschreiten.

Ergänzt wird dieser Aspekt der Weitergabekontrolle durch die ggf. bestehende Pflicht, sich der Identität bzw. Authentizität eines Empfängers zu versichern.

Zulässige Übertragungswege

Stehen die zulässigen Empfänger fest, sind in Abhängigkeit des Schutzbedarfs der zu übertragenden Daten angemessene Anforderungen an den Weg der Übermittlung zu stellen bzw. festzulegen. Mindestvorgabe ist allgemein die exakte und ggf. überprüfte Adressierung einer Sendung; auch und gerade in Bereichen wie E-Mail oder Fax, bei denen Verwechslungen und Irrtümer sehr leicht vorkommen.

Zusätzlich können Maßnahmen wie bestimmte Versandarten, (versiegelte) Transportbehältnisse oder zuverlässige Boten in Frage kommen. Auch denkbar sind Maßgaben zur Vereinbarung eines bestimmten Sendezeitpunkts bei einem Fax oder die Verschlüsselung von Datenträgern und E-Mails.

Empfehlenswert – aber auch notwendig – sind hier Regelungen, die für alle Mitarbeiter klar nachvollziehbar sind und nicht mehr von diesen interpretiert werden müssen. Es hat sich bewährt, bestimmte Anforderungen an bereits vorhandene Klassifizierungen von Dokumenten zu knüpfen. Unternehmen, die (etwa im Bereich der Qualitätssicherung oder der Informationssicherheit) bereits Regelungen zum Umgang mit Dokumenten und Aufzeichnungen einsetzen, haben hier einen kleinen Vorsprung. So könnte etwa vorgeschrieben werden, dass per einfacher E-Mail nur „öffentliche“ Informationen verschickt werden dürfen.

Ein Ergebnis des Prozesses ist dann beispielsweise, dass eine Excelliste mit Lohndaten nur verschlüsselt an das Lohnbüro zu versenden ist.

Fazit: Weitergabekontrolle bedarf eindeutiger Regeln

Eine wirksame Weitergabekontrolle macht Übermittlungen von Daten planbar und nachvollziehbar. Die Protokollierung jedes einzelnen Sendevorgangs ist dadurch nicht mehr notwendig. Wesentlich dafür, dass die Regelungen in der Praxis funktionieren, ist eine klare Vorgabe an die mit der Umsetzung betrauten Beschäftigten. Diese müssen in allen Fällen eindeutig erkennen können, was von ihnen verlangt wird.

Bitte bewerten Sie diese Inhalte!
[5 Bewertung(en)/ratings]