6.1
Unabhängig davon, ob personenbezogene Daten in Akten oder automatisiert verarbeitet werden, haben die öffentlichen Stellen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um eine datenschutzgerechte Verarbeitung der Daten sicherzustellen.

Die Datensicherung kann dann als wirksam angesehen werden, wenn die getroffenen technischen und organisatorischen Maßnahmen in ihrer Gesamtheit einen hinreichenden Schutz der Daten vor Missbrauch bieten.

6.2
Von einer Novellierung der nach Absatz 2 zu treffenden Maßnahmen, um diese den veränderten technischen Begrifflichkeiten anzupassen, hat der Gesetzgeber Abstand genommen, weil eine entsprechende Neuregelung auch auf Bundesebene erst im Rahmen einer vom BMI beabsichtigten grundlegenden Novellierung des BDSG erfolgen soll und für die Zwischenzeit keine neuen Begriffe eingeführt werden sollten, die bereits in Kürze wieder geändert werden müssten. Neu ist die Regelung nach Nr. 8, mit der die Daten verarbeitende Stelle einer Forderung der EG-Datenschutzrichtlinie entsprechend nunmehr auch gesetzlich verpflichtet wird, die Verfügbarkeit der personenbezogenen Daten zu gewährleisten.

Das Datensicherungskonzept ist regelmäßig zu überprüfen und dem Stand der Technik anzupassen. Dem jeweiligen Stand der Technik entsprechen fortschrittliche Maßnahmen, die die praktische Eignung zur Sicherstellung einer datenschutzgerechten Verarbeitung personenbezogener Daten gesichert erscheinen lassen, insbesondere mit Erfolg erprobt worden sind. Bei der Auswahl technischer Maßnahmen sollten grundsätzlich sicherheitsüberprüfte und zertifizierte Produkte bevorzugt werden. Einen aktuellen Nachweis über zertifizierte Produkte führt das Bundesamt für Sicherheit in der Informationstechnik, Godesberger Allee 183, 53133 Bonn.

6.3
Verfahren, die wegen der Art der zu verarbeitenden Daten oder der Verwendung neuer Technologien besondere Risiken in sich tragen, sind vor ihrer Einführung einer Vorabprüfung (Technikfolgenabschätzung) durch die Beauftragte oder den Beauftragten für den Datenschutz zu unterziehen, um festzustellen, ob die mit der automatisierten Verarbeitung verbundenen Risiken für die Rechte der Betroffenen durch technische und organisatorische Maßnahmen wirksam beherrscht werden können. Personenbezogene Daten, deren automatisierte Verarbeitung besondere Risiken für die Rechte der Betroffenen mit sich bringen, sind solche, deren Missbrauch oder Verlust Existenz, Leben oder Freiheit der Betroffenen gefährden oder sie in ihrer gesellschaftlichen Stellung erheblich beeinträchtigen würden. Als neu sind Technologien einzustufen, die erstmals im Anwendungsbereich des NDSG zum Einsatz kommen und bei denen noch nicht abschätzbar ist, ob die mit der Verarbeitung verbundenen Risiken für die Rechte der Betroffenen mit Maßnahmen nach § 7 Abs. 2 beherrscht werden können.

Die Ergebnisse der Technikfolgenabschätzung sind schriftlich zu dokumentieren. Dabei sind den denkbaren Gefährdungen die möglichen Sicherungs- und Vorbeugungsmaßnahmen gegenüberzustellen und verbleibende Gefahren für die Rechte der Betroffenen darzustellen und zu bewerten. Verfahrensalternativen zur angestrebten Lösung sind aufzuzeigen.

6.4
Mit § 7 Abs. 4 wird der Grundsatz der Datensparsamkeit und -vermeidung eingeführt. Die Daten verarbeitenden Stellen werden verpflichtet, bei der Auswahl und dem Einsatz von automatisierten Verfahren das Ziel zu beachten, keine oder so wenig wie möglich personenbezogene Daten zu verarbeiten. Danach ist bereits im Vorfeld bei Entwicklung und Auswahl von Datenverarbeitungssystemen darauf hinzuwirken, dass keine oder möglichst wenig personenbezogene Daten verarbeitet werden müssen. Es gibt damit ein übergreifendes Gestaltungsprinzip vor, das aus dem Tele- und Medienrecht übernommen worden ist und das Entstehen von Daten mit Personenbezug oder Personenbeziehbarkeit von vornherein ausschließen oder auf ein Minimum beschränken will. Dieses Prinzip ist Bestandteil eines neuen Ansatzes, der über einen Systemdatenschutz eine Reduzierung der Risiken für die informationelle Selbstbestimmung erreichen will. Auswirkungen hat es z.B. hinsichtlich der Verarbeitung von personenbezogenen Daten der Beschäftigten, soweit diese benötigt werden für Zwecke der Dokumentation der Kommunikation (E-Mail-Adresse), der Protokollierung von Intra- und Internetnutzung sowie zur Überwachung der Nutzung der Datenverarbeitungsanlagen. Soweit zur Vermeidung von Missbräuchen oder zur Abwehr unzulässiger Zugriffe und Nutzungen eine Protokollierung notwendig ist, sind Systeme zu verwenden, die keine oder nur in geringem Umfang personenbezogene Daten benötigen.