Zentrale IT-Verfahren und Datenschutz – Worauf kommt es an?

In Konzern- oder Verbundstrukturen werden personenbezogene Daten häufig in zentralen IT-Verfahren verarbeitet. Daran sind mehrere verantwortliche Stellen beteiligt, etwa verschiedene Gesellschaften, Einrichtungen oder Organisationseinheiten.

Zur Gewährleistung eines datenschutzkonformen Umgangs mit personenbezogenen Daten gemäß EU-Datenschutz-Grundverordnung (DSGVO) gilt:

• Klare Aufgabenverteilung: Verantwortlichkeiten, Aufgaben und Befugnisse der beteiligten Stellen müssen eindeutig, z. B. durch vertragliche Vereinbarungen, geregelt sein. Dies geschieht z. B. durch:
  • Auftragsverarbeitungsvertrag (Art. 28 DSGVO)
  • Vertrag zur gemeinsamen Verantwortlichkeit bei arbeitsteiligen Prozessen (Art. 26 DSGVO)
• Rechtsgrundlage erforderlich: Für jede Form der Datenverarbeitung ist eine gültige Rechtsgrundlage nach Art. 6 DSGVO erforderlich. Möglich ist z. B.:
  • Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO)
  • Vertragserfüllung bei Geschäftsbesorgungsverhältnissen (Art. 6 Abs. 1 lit. b DSGVO)
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
• Einzelfallbewertung: Jede Datenverarbeitung muss individuell geprüft und bewertet werden. Pauschale Annahmen sind unzulässig.
• Transparenz und Betroffenenrechte: Die Datenverarbeitung muss nachvollziehbar dokumentiert und in Datenschutz-Hinweisen kommuniziert werden. Betroffenenrechte sind stets zu gewährleisten.

Fazit

Zentrale IT-Verfahren ermöglichen Effizienzgewinne, setzen jedoch eine datenschutzkonforme Gestaltung mit klaren rechtlichen und organisatorischen Regeln voraus.