Mit den aktuellen Regelungen der DSGVO und des BDSG wird die IT-Sicherheit als Bestandteil des Datenschutzes stark aufgewertet. Aus Betroffenensicht bedeutet eine verbesserte IT-Sicherheit einen stärkeren Schutz der Rechte und Freiheiten der betroffenen Personen. Aus Unternehmenssicht dient die Einhaltung dieser Vorgaben der Minimierung der mit der Verarbeitung personenbezogener Daten verbundenen Haftungsrisiken. Konkret regelt die DSGVO die Anforderungen an die Datensicherheit vor allem in Art. 25 und Art. 32. Art. 25 beschäftigt sich mit Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Grundeinstellungen. Die DSGVO beschreibt die technischen und organisatorischen Anforderungen allerdings nur sehr unbestimmt.
Ausgehend von der konkreten Verarbeitung legt der Verantwortliche im Einzelfall das angemessene Schutzniveau fest, wobei der Stand der Technik, die Implementierungskosten, die Umstände der Verarbeitung, sowie die Eintrittswahrscheinlichkeit und die Schwere des Risikos die Rahmenbedingungen der Entscheidung bilden. In Art. 32 legt die DSGVO den oft zitierten risikobasierten Ansatz fest. Die DSGVO verlangt vom Verantwortlichen (und seinem Auftragsverarbeiter) eine Betrachtung und Behandlung der Risiken für die Rechte und Freiheiten der von der Verarbeitung betroffenen Personen. Gleichlautend mit Art. 25 sind dabei der der Stand der Technik, die Implementierungskosten, die Umstände der Verarbeitung, sowie die Eintrittswahrscheinlichkeit und die Schwere des Risikos als Rahmenbedingungen der Entscheidung zu berücksichtigen. Im Ergebnis ist für die Gewährleistung der Sicherheit der Verarbeitung ein Risikomanagement, bezogen auf die Risiken der Verarbeitung für die betroffenen Personen erforderlich.
Weil die DSGVO Anforderungen bei der technischen Ausgestaltung des Datenschutzes nur sehr abstrakt beschreibt, empfinden viele Verantwortliche ein hohes Maß an Unsicherheit, wenn es um die konkrete Umsetzung im Unternehmen geht.
Im Folgenden greifen wir deshalb 10 Best Practices auf, die sich in unseren Beratungsprojekten bei der Umsetzung des technischen Datenschutzes bewährt haben.
Top 1: Verarbeitungsverzeichnis erstellen und regelmäßig aktualisieren
Die meisten Unternehmen sind verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) nach Art. 30 DSGVO zu führen. Es dient als wichtige Grundlage für eine strukturierte Datenschutzdokumentation und unterstützt den Verantwortlichen dabei, entsprechend seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachzuweisen, dass die Vorgaben der DSGVO eingehalten werden. Unternehmen, die über ein dokumentiertes Prozessmodell, z.B. aus einer ISO 9001 Zertifizierung, verfügen, können die Aufwände für die Erstellung des Verarbeitungsverzeichnis erheblich reduzieren.
Synergien ergeben sich auch für Unternehmen, die über ein Informationssicherheitsmanagement verfügen. Sie haben die Möglichkeit den Aufwand zu reduzieren, in dem sie im Verarbeitungsverzeichnis auf Beschreibungen und Konzepte der Informationssicherheit verweisen. Im Verarbeitungsverzeichnis sind dann nur die zusätzlichen oder abweichenden technischen und organisatorischen Maßnahmen aufzunehmen. Wichtig sind die Versionierung und die regelmäßige Aktualisierung des Verarbeitungsverzeichnisses. Die Versionierung ermöglicht den vergangenheitsbezogenen Nachweis von Verarbeitungen und erleichtert die Prüfung von Verarbeitungen, z.B. bei Betroffenenanfragen. Die regelmäßige Aktualisierung ist wichtig, weil das Verzeichnis den aktuellen Stand der Verarbeitungen zeigen muss. Das Verarbeitungsverzeichnis wird oft von Aufsichtsbehörden angefordert und sollte daher zeitnah in aktueller Version vorgelegt werden können.
Top 2: Überblick zu Daten und IT-Systemen erhalten
Unabhängig vom Datenschutz sollte jedes Unternehmen wissen, welche Daten auf welchen IT-Systemen wie verarbeitet werden. In der Datenschutzpraxis zeigt sich oft erst bei Betroffenenanfragen wie detailliert und aktuell der Überblick bei der Verarbeitung personenbezogener Daten ist. Um auf solche Anfragen rechtzeitig und qualifiziert antworten zu können, sollten zu den Geschäftsprozessen und den darauf basierenden Verarbeitungen personenbezogener Daten die entsprechenden Datenflussdiagramme vorhanden sein. Über die Verknüpfung der Informationen aus den Datenflussdiagramme mit der IT-Dokumentation entsteht eine transparente Übersicht darüber, welche Geschäftsprozesse (Verarbeitungen) durch welche IT-System unterstützt werden.
Top 3: Den Unterschied zwischen Informationssicherheit, IT-Sicherheit, und Datenschutz und Datensicherheit kennen
Das Ziel der Informationssicherheit ist der Schutz von Informationen durch die Sicherstellung ihrer Vertraulichkeit, Integrität und Verfügbarkeit. Dabei kann es sich sowohl um digitale als auch um analoge Informationen handeln. In der Informationssicherheit gibt es verschiedene Standards, deren Einhaltung die Informationssicherheit gewährleisten sollen. Die bekanntesten Standards sind die Grundschutzkataloge des BSI und die ISO 27001. Weil die Standards zertifiziert werden können, sind sie für den Verantwortlichen eine geeignete Möglichkeit die Informationssicherheit selbst nachzuweisen oder bei Lieferanten, z.B. bei der Auswahl von Auftragsverarbeitern zu prüfen.
Die IT-Sicherheit ist ein Teilbereich der Informationssicherheit. Der Begriff bezieht sich auf die Sicherheit elektronisch gespeicherter Informationen und der IT-Systeme, mit denen diese Informationen verarbeitet werden. Nach allgemeinem Verständnis umfasst die IT-Sicherheit auch die fehlerfreie Funktion der IT-Systeme.
Das Ziel des Datenschutzes ist Schutz des Rechts auf informationelle Selbstbestimmung eines einzelnen Menschen. Der Grundgedanke ist, dass jeder selbst bestimmen kann, wem er welche persönlichen Daten zu welchem Zweck zugänglich macht. Es geht also um die Frage, ob personenbezogene Daten überhaupt verarbeitet werden dürfen und falls ja, in welcher Form. Um dieses Selbstbestimmungsrecht zu gewährleisten gibt es eine Reihe gesetzlicher Regeln, die vor allem in der DSGVO und dem BDSG festgelegt sind. Der Datenschutz beschäftigt sich also mit dem Schutz personenbezogener Daten, die sowohl in digitaler als auch in analoger Form vorliegen können. In diesem Sinne ist er auch ein Teilbereich der Informationssicherheit.
Das Ziel der Datensicherheit ist der Schutz von Daten, unabhängig davon, ob es sich dabei um Daten mit Personenbezug handelt und ob diese in analoger oder digitaler Form vorliegen. Allgemein werden unter Datensicherheit alle technischen und organisatorischen Aspekte zusammengefasst, die zur Erreichung der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit erforderlich sind. Für den Bereich personenbezogener Daten formulieren die DSGVO und das BDSG dazu verschiedene Anforderungen an die Sicherheit der Verarbeitung der Daten, die technischen und organisatorischen Maßnahmen.
Top 4: Risiken der Dienstleister managen
Fast alle Unternehmen nutzen externe Dienstleister, die bei Erledigung ihrer Aufgaben auch personenbezogene Daten verarbeiten. Für die Verantwortlichen ist wichtig zu wissen, dass die Verantwortung für die Einhaltung der datenschutzrechtlichen Vorschriften nicht auf den Dienstleister übergeht, sondern bei ihnen verbleibt. Um Risiken auf Lieferantenseite zu vermeiden, sollten Datenschutzthemen schon beim Einkauf berücksichtigt werden.
Wenn Dienstleister personenbezogene Daten verarbeiten, ist zu prüfen, ob die Voraussetzungen für eine Auftragsverarbeitung vorliegen. In diesem Fall ist zwischen dem Verantwortlichen und dem Auftragsverarbeiter ein Vertrag zur Auftragsverarbeitung abzuschließen. In Art. 28 DSGVO sind die wesentlichen Anforderungen und Pflichtinhalte an diesen Vertrag formuliert. Verantwortliche sollten sich nicht blind auf die Einhaltung der vertraglichen Vereinbarungen verlassen, sondern regelmäßig Kontrollen, z.B. in Form von Audits, durchführen. Wenn die Voraussetzungen für eine Auftragsverarbeitung nicht gegeben sind, sollte die Pflicht zur Wahrung der Vertraulichkeit vertraglich vereinbart werden.
Top 5: Löschen nicht vergessen
Unternehmen müssen personenbezogene Daten löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich sind. Der Zweck einer Datenverarbeitung entscheidet also über die zulässige Dauer der Speicherung der verarbeiteten Daten. Entfällt der Zweck und bestehen keine anderen Verpflichtungen zur Speicherung, sind personenbezogene Daten zu löschen. Ausnahmen von der Löschpflicht ergeben sich z.B., wenn gesetzliche Aufbewahrungspflichten eine Speicherung erforderlich machen.
Es hat sich bewährt die Standard-Löschpflichten im Verarbeitungsverzeichnis zu dokumentieren. Für ein vollständiges und durchgängiges Löschkonzept sollten Unternehmen eine Richtlinie zum datenschutzkonformen Löschen erstellen und zusätzlich die Vernichtung und Entsorgung von Datenträgern verbindlich regeln. Bei der Erarbeitung des Löschkonzeptes sollten Sonderfälle, bei denen Daten nicht entsprechend der Standard-Löschregel gelöscht werden, berücksichtigt werden. So können Unternehmen, z.B. bei laufenden Rechtsstreitigkeiten, für den Einzelfall auf die Löschung verzichten.
Top 6: Risikobasierten Ansatz richtig berücksichtigen
Der Begriff des Risikos ist in der DSGVO nicht ausdrücklich definiert. Im Zusammenhang mit der Angemessenheit der zu treffenden Maßnahmen nach Art. 24 Abs. 1 und bei der Abwägung der Interessen, Grundrechte und Grundfreiheiten der Betroffenen nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO wird dennoch oft vom risikobasierten Ansatz der DSGVO gesprochen. Für Datenschutzpraktiker stellt sich damit die Frage, wie der Begriff Risiko konkret zu interpretieren ist. Diesen Klarstellungsbedarf hat die DSK (Datenschutzkonferenz, gemeinsames Forum der dt. Aufsichtsbehörden) ebenfalls erkannt und im Kurzpapier Nr. 18 hergeleitet, dass ein Risiko im Sinne der DSGVO das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich der ungerechtfertigten Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann.
Was zunächst sperrig klingt, ist durchaus mit dem allgemeinen Risikoverständnis (z.B. aus der ISO 3100) in Übereinstimmung zu bringen. Die Definition greift auf die beiden üblichen Dimensionen des Risikos zurück, nämlich erstens die Schwere des Schadens und zweitens die Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten. Das macht die Einwertung der Datenschutzrisiken in das allgemeine Risikomanagement des Unternehmens einfach, weil im ersten Schritt nur das Verständnis zur Skalierung der Eintrittswahrscheinlichkeit des Schadens und zur Schadenshöhe in Übereinstimmung zu bringen sind. Bei der Bewertung von Datenschutzrisiken ist allerdings der Wechsel der Perspektive wichtig. Im Datenschutz erfolgt die Bewertung der Risiken aus der Perspektive des Betroffenen und nicht aus der Perspektive des Unternehmens!
Top 7: Umgang mit Datenpannen regeln
Der Umgang mit Datenpannen ist in der DSGVO in Art. 33 und 34 geregelt. Bei Datenpannen ist zwischen der Meldung an die Aufsichtsbehörde und der Information der betroffenen Person zu unterscheiden. Eine Meldung an die Aufsichtsbehörde ist eigentlich immer erforderlich, es sei denn, dass die Datenpanne „voraussichtlich nicht zu einem Risiko“ für die Betroffenen führt. Ein Fall bei dem auf eine Meldung verzichtet werden kann, ist z.B. dann gegeben, wenn ein Laptop verloren geht und die Datenträger (Festplatte oder SSD) ausreichend verschlüsselt sind. Die Information der Betroffenen ist nur dann erforderlich, wenn ein hohes Risiko für die Rechten und Freiheiten der Personen bestehen.
Auf die Information kann auch dann verzichtet werden, wenn ausreichende technische und organisatorische Maßnahmen getroffen wurden, um den Zugriff auf die personenbezogenen Daten zu verhindern. In der DSGVO wird explizit die Verschlüsselung als geeignete Maßnahme angeführt. Für den Datenschutz ist in der Praxis die mit der Meldepflicht verbundene Zeitspanne von 72 Stunden nach Bekanntwerden einer Datenpanne eine große Herausforderung. Deshalb ist die Sensibilisierung der Mitarbeiter bezüglich des Erkennens von Datenpannen wichtig. Die Mitarbeiter sollten wissen, wer ihnen bei Datenpannen weiterhelfen kann und welche Prozesse für Datenpannen existieren. In der Praxis hat es sich bewährt, die Meldung und den Ablauf zu üben. Dazu ist es hilfreich, wenn der DSB und der Datenschutzkoordinator die Anforderungen der Aufsichtsbehörden kennen.
Top 8: Audits einplanen
Die Rechenschaftspflicht des Verantwortlichen ist in Art. 5, Abs. 2 der DSGVO ausdrücklich festgehalten. Konkret muss der Verantwortliche die Einhaltung der in Art. 5. Abs. 1 DSGVO definierten Grundsätze der Verarbeitung (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit) nachweisen können. Zur Breite und dem Detaillierungsgrad der Rechenschaftspflicht gibt es in der DSGVO keine weiteren Vorgaben. Auf jeden Fall zählen Nachweise wie Löschprotokolle, Logdaten über regelmäßige und abgeschlossene Datensicherungen, sowie Dokumentationen von Trainings und Sensibilisierungsmaßnahmen zu den Wirksamkeitsnachweisen.
Zusätzlich sollten Verantwortliche regelmäßige und systematische Kontrollen in Form von Audits durchführen. Unternehmen, die weitere Managementsysteme etabliert haben können Ressourcen sparen, indem Audits zum Datenschutz und Qualitätsmanagement gemeinsam geplant und durchgeführt werden. Die Audits können vom Verantwortlichen selbst oder von externen Dienstleistern durchgeführt werden.
Top 9: Datenschutz-Folgenabschätzungen nicht vergessen
Nach Art. 35 Abs. 1 DSGVO ist eine Datenschutz-Folgenabschätzung (DSFA) erforderlich wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. In der Praxis herrscht oft Unsicherheit, ob und wie eine DSFA durchzuführen ist. Zur Orientierung hat die DSK eine Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist veröffentlicht. Diese sogenannte Blacklist wird regelmäßig aktualisiert. Die DSK weist ausdrücklich darauf hin, dass die Liste nicht abschließend ist und als Ergänzung der Absätze 1 und 3 des Art. 35 DSGVO zu verstehen ist. Deshalb ersetzt sie auch nicht die Prüfung im Einzelfall.
Zur Methodik der DSFA gibt es keine formalen Vorgaben, allerdings legt die DSGVO in Art. 35 Abs. 7 einige Mindestanforderungen fest, die von der eingesetzten Methodik erfüllt werden müssen. Memex Consulting führt DSFA nach der Methodik der ISO 29134 und nach dem von der französischen Aufsichtsbehörde CNIL entwickelten Verfahren durch. Beide Methoden legen besonderen Wert auf eine systematische und ausführliche Risikobeurteilung, die auch aus Sicht der Aufsichtsbehörden das Kernstück der DSFA darstellt.
Top 10: Privacy by Design berücksichtigen
Vereinfacht gesagt, zielt der in Art. 25 DSGVO festgelegte Grundsatz des Privacy by Design darauf ab, die Belange des Datenschutzes von Anfang an, also schon beim Design von Produkten oder der Konzeption von Services, sicherzustellen. Das Ziel ist, den Betroffenen, also den Nutzern von Produkten, Services oder IT-Systemen die volle Kontrolle über ihre Daten zu ermöglichen. Ergänzt wird dieser konzeptionelle Ansatz durch das Prinzip der datenschutzfreundlichen Grundeinstellungen (Privacy by Default). In der Praxis setzen sich zunehmend Privacy-Cockpit-Konzepte durch. Sie fassen für den Anwender die Datenschutzeinstellungen an einer zentralen Stelle zusammen und vereinfachen so das Gewähren und den Entzug von Einwilligungen. Im Nachhinein sind solche Konzepte nur sehr aufwändig umzusetzen, deshalb gehört es heute zu den Best Practices, den Datenschutzbeauftragten beratend in den Designprozess der Konzeptionsphase zu integrieren.
