Oft lau­ern Ver­ar­bei­tun­gen per­so­nen­be­zo­ge­ner Daten in All­tags­hand­lun­gen, manch­mal muss ein Pro­zess auch erst in sei­nen Ein­zel­tei­len ana­ly­siert wer­den, um die Ver­ar­bei­tungs­tä­tig­keit zu erken­nen. Die ana­lo­ge Schlüs­sel­ver­wal­tung ist ein gutes Bei­spiel dafür wie sich in einem ein­zi­gen Pro­zess per­so­nen­be­zo­ge­ne und nicht­per­so­nen­be­zo­ge­ne Tätig­kei­ten mischen. Daten­schutz­be­auf­trag­te sehen sich hier in der Pflicht, ihrer Überwachungs- und Bera­tungs­auf­ga­be nachzukommen. 

Schließ­lich soll­ten die Pro­zess­schrit­te, die mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zusam­men­hän­gen, in das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten auf­ge­nom­men wer­den bzw. soll­ten vor­han­de­ne Pro­zes­se auf deren Aktua­li­tät geprüft wer­den.” – Eileen Binder

In der Pra­xis erle­ben wir oft Über­ra­schun­gen, wenn wir bei der Zusam­men­ar­beit mit unse­ren Man­dan­ten wie­der ein­mal beson­ders klein­tei­lig vor­ge­hen müs­sen und dadurch selbst in den am wenigs­ten im Per­so­nen­be­zug ste­hen­den inter­nen Pro­zes­sen doch noch eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten fin­den. Dabei lohnt sich genau­es hin­se­hen, denn die­se Fäl­le sind häu­fi­ger als sich ver­mut­lich lässt. Ein schö­nes Bei­spiel stellt die ana­lo­ge Schlüs­sel­ver­wal­tung dar. Ver­meint­lich liegt der größ­te Per­so­nen­be­zug dar­in, dass der Schlüs­sel von Mensch zu Mensch über­ge­ben wird. Oder?

Am ein­fachs­ten lässt sich der Per­so­nen­be­zug erken­nen, wenn der gesam­te Pro­zess gedank­lich durch­ge­spielt wird. Dafür holen sich Daten­schutz­be­auf­trag­te am bes­ten den Rol­len­ver­ant­wort­li­chen an die Seite.

Ist noch gar kein Schlüs­sel­ma­nage­ment im Unter­neh­men imple­men­tiert, soll­te man – wie immer – mit der Bestands­auf­nah­me begin­nen. Wie vie­le Schlüs­sel gibt es? Sind alle Schlüs­sel aus­ge­ge­ben? Wel­cher Mit­ar­bei­ter hat einen Schlüs­sel? Habe alle Mit­ar­bei­ter die­sel­be Zugriffsberechtigung?

Hat man sich einen Über­blick ver­schafft, kann der Pro­zess für die zukünf­ti­ge Schlüs­sel­ver­wal­tung aus­ge­ar­bei­tet wer­den. Es sind Zutritts­be­rech­ti­gun­gen zu ertei­len, der Schlüs­sel ist aus­zu­ge­ben und die Mit­ar­bei­ten­den zu beleh­ren, die Aus­ga­be ist zu doku­men­tie­ren. Es soll­te auch regel­mä­ßig geprüft wer­den, ob die aus­ge­ge­be­nen Schlüs­sel beim Mit­ar­bei­ter noch vor­han­den sind. Dazu lässt man sich den Schlüs­sel am bes­ten zei­gen und notiert das Prüf­da­tum in die Schlüs­sel­do­ku­men­ta­ti­on. Wich­tig ist auch ein Not­fall­kon­zept dar­über, was zu tun ist, wenn ein Schlüs­sel ver­lo­ren gegan­gen ist. Wel­che ver­ant­wort­li­chen Stel­len müs­sen infor­miert wer­den? Die Not­fall­num­mern soll­ten immer griff­be­reit sein.

Ver­lässt ein Mit­ar­bei­ter das Unter­neh­men, ist der bis hier­hin erar­bei­te­te Pro­zess in wei­ten Tei­len rück­wärts abzu­lau­fen. Zutritts­be­rech­ti­gun­gen müs­sen ent­zo­gen wer­den, der Schlüs­sel muss ein­ge­zo­gen wer­den, die Abga­be wird dokumentiert.

Übri­gens soll­te auch doku­men­tiert wer­den, wenn ein Mit­ar­bei­ter, z.B. auf­grund län­ge­rer Abwe­sen­heit, den Schlüs­sel vor­über­ge­hend abgibt oder er einen neu­en Schlüs­sel erhält.

Bis sich die Mit­ar­bei­ter eigen­ver­ant­wort­lich Zutritt zu ihrem Arbeits­platz ver­schaf­fen kön­nen, sind eini­ge Daten mit Per­so­nen­be­zug ver­ar­bei­tet wor­den. Daten­schutz­be­auf­trag­te soll­ten schließ­lich dar­auf ach­ten, dass die­se Pro­zess­schrit­te in das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten auf­ge­nom­men wer­den bzw. soll­ten vor­han­de­ne Pro­zes­se auf deren Aktua­li­tät prüfen .

Der gan­ze Pro­zess kann nun visu­ell im Fluss­dia­gramm dar­ge­stellt oder schrift­lich fest­ge­hal­ten wer­den. Dadurch ergibt sich ein neu­es Doku­ment für das Daten­schutz­kon­zept oder die inter­ne Orga­ni­sa­ti­on (z.B. QM). Der gesam­te Pro­zess lässt sich meist auch über­sicht­lich in eine Check­lis­te fassen:

Fazit

Die ana­lo­ge Schlüs­sel­ver­wal­tung spielt auch im Daten­schutz eine Rol­le und soll­te vom Daten­schutz­be­auf­tra­gen über­wacht wer­den. Prü­fen Sie, ob Ihr Unter­neh­men einen Pro­zess zur Schlüs­sel­ver­wal­tung hat. Soll­te kein Pro­zess vor­han­den sein, füh­ren Sie gemein­sam mit dem Rol­len­ver­ant­wort­li­chen einen Pro­zess ein. Ist ein Pro­zess vor­han­den, prü­fen Sie, ob die daten­schutz­recht­li­chen Rah­men­be­din­gun­gen ein­ge­hal­ten wer­den. Gibt es einen Ein­trag im Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten? Da ein Schlüs­sel­ver­lust meist zu einer Mel­de­pflicht wegen einer Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten führt und unter Umstän­den für den Ver­ant­wort­li­chen z.B. beim Aus­tausch von gan­zen Schlüs­sel­sys­te­men sehr teu­er wer­den kann, ist eine gute Orga­ni­sa­ti­on hier der zen­tra­le Punkt. Im Ernst­fall lässt sich damit schnell reagie­ren, um dro­hen­de Schä­den zu ver­hin­dern oder wei­te­re Schä­den vermeiden.

Was Sie noch interessieren könnte:

Autorin des Artikels:

Eileen Binder

Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz