Ein Vorschlag für die datenschutzkonforme Gestaltung von Datenschutz-Grundsätzen und -Schutzmaßnahmen in IT-Systemen

Plant eine Organisation ein neues IT-System, mit dem es personenbezogene Daten ihrer Kunden oder Mitarbeiter verarbeiten möchte, so stellt es den Planer des IT-Systems häufig vor große Herausforderungen, die Entwicklung und Inbetriebnahme des neuen IT-Systems unter Beachtung der einschlägigen datenschutzrechtlichen Anforderungen umzusetzen. Häufigster Hemmschuh für eine datenschutzkonforme Entwicklung und Inbetriebnahme eines neuen IT-Systems sind einerseits fehlende Fachkenntnisse zu datenschutzrechtlichen Rahmenbedingungen - insbesondere die datenschutzrechtlichen Anforderungen, die sich aus der Datenschutz-Grundverordnung ergeben und die entsprechend des darin verankerten risikobasierten Ansatzes angemessen umzusetzen sind - sowie andererseits fehlende Erfahrungen zur Gestaltung der Umsetzung dieser Anforderungen, auch hinsichtlich der Einbindung von Funktionsträgern innerhalb der Organisation seitens des Planers des IT-Systems. Der vorliegende Aufsatz möchte vor diesem Hintergrund einen Beitrag dazu leisten, Planern von IT-Systemen die wichtigsten einschlägigen Datenschutzanforderungen aufzuzeigen sowie Empfehlungen zur Umsetzung dieser Anforderungen zu geben.

If an organization is planning a new IT system with which it wants to process personal data of its customers or employees, the planner of the IT system often faces great challenges in planning the development and use of the new IT system in compliance with the relevant data protection requirements. Frequent obstacles to a data protection-compliant development and use of a new IT system are a lack of expertise in data protection requirements and its appropriate implementation. Therefore, this paper aims to help IT system planners to identify the most important relevant data protection requirements and to provide recommendations for implementing these requirements.