Bearbeitungskompetenzen in Netzwerken |
|
Wie sind Bearbeitungskompetenzen in einem Netzwerk zu vergeben?
"Personendaten dürfen bearbeitet werden, wenn: a. dafür eine gesetzliche Grundlage besteht oder b. dies zur Erfüllung einer gesetzlichen Aufgabe erforderlich ist"(1). Die Frage nach den Bearbeitungskompetenzen in einem Netzwerk enthält somit zwei Aspekte: Welche Behörde darf über welche Personendaten verfügen? Und welche Person(en) innerhalb der bearbeitungsberechtigten Behörde(n) darf oder dürfen welche Daten wie bearbeiten? Beide Fragen sind unter einem funktionellen, aufgabenbezogenen Blickwinkel zu betrachten.
Jede Behörde darf nach der zitierten DSG-Bestimmung nur über diejenigen Personendaten verfügen, die ihr der Gesetzgeber ausdrücklich zugebilligt hat oder die sie zur Erfüllung der ihr vom Gesetzgeber aufgetragenen Aufgabe benötigt. Was eine Behörde ist, wird nicht unter einem organisatorischen Blickwinkel entschieden, sondern mit Blick auf ihre Aufgabe. Als Behörde erscheint somit beispielsweise nicht die Dienststelle "Polizei Basel-Landschaft", sondern es wird datenschutzrechtlich - je nach Aufgabe - eine Abteilung (z.B. die Verkehrsabteilung) oder sogar eine noch kleinere Einheit (etwa die Spezialfahndung(2)) als "Behörde" behandelt.
Auch innerhalb einer Behörde sind Bearbeitungskompetenzen an die Mitarbeiter(innen) nicht "personenbezogen", sondern funktionsbezogen(3) zu vergeben(4). Nicht alle Mitarbeiter(innen) werden "alles" tun müssen, somit tun dürfen und sollen deshalb letztlich auch nicht "alles" tun können.
Somit gibt es drei "Phasen" der Frage nach der Bearbeitungskompetenzen in Netzwerken zu durchlaufen:
| Sollen/ Müssen: Welche Behörde soll welche Aufgabe erfüllen? Welche Funktion innerhalb dieser Behörde hat bei dieser Aufgabenerfüllung welchen Teil zu leisten? |
| Dürfen: Über welche Daten darf eine Behörde bzw. eine Funktion verfügen? Welche Daten sind erforderlich, damit sie die Aufgabe (das Sollen/Müssen) erfüllen kann? |
| Können: Welche Massnahmen sind im jeweiligen Netzwerk hard- und/ oder softwaremässig zu treffen, damit ein Bearbeiten nur entsprechend der Berechtigung (dem Dürfen) möglich ist? |
Die Funktionenbeschriebe (Sollen/ Müssen, z.B. in Form von Pflichtenheften) liefern die Begründung für die Bearbeitungskompetenzen (Dürfen), differenziert nach der Berechtigung zum Erstellen, Mutieren, Löschen oder blossen Ansehen. Schliesslich ist hard- und/oder softwaremässig sicherzustellen, dass die Mitarbeiter(innen) Personendaten nur entsprechend ihrer Berechtigung bearbeiten können (z.B. durch die Verwendung verschiedener Masken, Benutzerauthentifikation).
Es lässt sich deshalb festhalten: Ohne Funktionsbeschriebe - also ohne Begründung! - können die Zugriffsberechtigungen nicht auch nur annähernd fundiert auf ihre Übereinstimmung mit dem Datenschutzrecht beurteilt werden.
1. § 6 DSG.
2. Vgl. z.B. unsere Stellungnahme zur Frage der Zulässigkeit der Führung eines Prostituiertenregisters, in: Datenschutz konkret 052.
3. Also darf beispielsweise Kommissär II X. bestimmte Polizeidaten nicht etwa bearbeiten, weil er ein tüchtiger und vertrauenswürdiger Mitarbeiter ist, sondern weil er Leiter eines Dienstes der Polizei Basel-Landschaft ist.
4. Vgl. auch § 6 Abs. 1 in Verbindung mit § 3 Abs. 1 der Verordnung vom 13. August 1991 zum Datenschutzgesetz/DSV, SGS 162.11.