DSGVO | Datenschutzarchitektur

Eine Begriffsdefinition

Das Ergebnis einer Recherche in gängigen Suchmaschinen (April 2020): Vor allem Hinweise auf die Datenschutzseiten von Architekturbüros. Der Begriff also solches verzeichnet noch keine Treffer.

Wer Architektur hört, denkt gewöhnlich zuerst ans Konstruieren von neuen Wohn- und Geschäftshäusern.

ITler mögen ggf. noch an Software- oder Systemarchitektur denken; hier hat sich inzwischen sogar die Rolle des Softwarearchitekten herausgebildet. Wikipedia differenziert bereits in Enterprise-Architekten, Solutions-Architekten und Applikationsarchitekten.

Der Duden erklärt Architektur mit “Konstruktion” oder “Struktur des Aufbaus” – und das passt auf das Bauhandwerk und die Softwareindustrie.

Architektur im Datenschutz

Der Begriff Architektur kann auch sinnvoll im Datenschutz angewandt werden.

Architekten erbringen ihre Leistung gewöhnlich zu Beginn eines Projekts. Softwareentwickler und Bauherren überlegen sich bevor auch nur irgendetwas praktisch umgesetzt wird zumindest grob, was eigentlich erreicht werden soll. Es wird konstruiert und durchdacht. Funktionale Anforderungen, Kosten, technische aber auch rechtliche Möglichkeiten werden gegeneinander abgewogen, bis ein stimmiges Konzept steht. Feinheiten werden ggf. im weiteren Verlauf nachjustiert.

Auch der Datenschutz sollte von Anfang an mitgedacht werden. Die DSGVO fordert dies ausdrücklich mit dem Grundsatz Datenschutz by Design insb. über den Art. 25.

Digitalisierungsprojekte

Vor allem Digitalisierungsprojekte müssen von Beginn an konzipieren, welche personenbezogenen Daten wie, durch wen und warum (Zweck) verarbeitet werden sollen. Was soll erreicht werden? Wie lange muss und darf gespeichert werden? Müssen auf Anforderung einzelne Datensätze löschbar sein? Welche Rechtsgrundlage haben die Verarbeitungstätigkeiten und welche Konsequenzen ergeben sich hieraus? Wie feingranular müssen die Verarbeitungstätigkeiten geschnitten werden? Wie (wer) nimmt die Information nach Art. 13 / 14 DSGVO wahr?

Erfordert die Verarbeitung eine Einwilligung? Dann muss planerisch ein funktionierender Prozess (inkl. Zuständigkeiten) für mögliche Widerrufe geplant und im Business-Case berücksichtigt werden. Soll eine Einwilligung deswegen als Rechtsgrundlage verhindert werden – dann ergeben sich ggf. Restriktionen bei den angestrebten Datenarten.

Sollen für einen legitimen Zweck nur erforderliche Daten verarbeitet werden, könnte auch ein berechtigtes Interesse oder der Vertrag eine belastbare Rechtsgrundlage darstellen. Werden nicht erforderliche Daten erhoben, kommt man für diese Daten um eine Einwilligung kaum herum.

Soll im Praxisbetrieb die Verarbeitung mit Partnern / Subunternehmern realisiert werden? Will man dem Partner Erkenntnisse aus den Daten zugestehen, dann wird die Verarbeitung wohl als Joint Controller Ship (Art. 26 DSGVO) zu organisieren sein. Falls diese Variante nicht in Frage kommt, muss das Zusammenarbeitsmodell ggf. angepasst werden.

Wer kommt als Datenschutzarchitekt in Frage?

Architekten konzipieren, sie strukturieren und designen den Aufbau (des Hauses, der Software oder die Berücksichtigung der DSGVO in Projekten und Prozessen. Hierzu ist Überblickswissen erforderlich: Technik, fachliche Prozesse, allgemeine und spezielle rechtliche Aspekte, Best Practices und nicht zuletzt Business-Sense und Kostenbewusstsein.

Spontan könnte bei der Besetzung dieser Rolle der Blick auf den eigenen betrieblichen Datenschutzbeauftragten (DSB) fallen. Wer sonst hat den besseren Überblick? Wir empfehlen, diese Lösung jedoch genau nicht zu verfolgen. Grund: Der Datenschutzbeauftragte soll beraten und die Einhaltung der DSGVO im Unternehmen überwachen. Hierbei soll das Unternehmen jedoch sicherstellen, “dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen (Art. 38, Abs. 6 DSGVO).

Wird der eigene DSB in Digitalisierungsprojekten als Architekt tätig und bringt sich zudem sogar noch operativ ein, dann müsste er im Nachgang quasi seine eigene Arbeit auf Compliance prüfen. Das ist nicht im Sinne der DSGVO und dürft auch bei keiner externen Prüfung überzeugen.

Wir empfehlen, hier gezielt auf externe Spezialisten zu setzen. Die esquilin GmbH unterstützt auf Basis ihres breiten Erfahrungswissen und fachübergreifender Expertise beim Design und bei der Umsetzung. Lassen Sie uns eine mögliche Zusammenarbeit besprechen.

Lesen Sie unsere Datenschutzarchitektur am Beispiel der Eingangspost-Digitalisierung durch einen Dienstleister.