Die 20 absoluten No-Gos im technischen Datenschutz
Während sich der kontrollzentrierte Ansatz des alten Bundesdatenschutzgesetzes (BDSG) seit dem 25. Mai 2018 nicht mehr anwenden lässt, halten neue Konzepte des technischen Datenschutzes ausdrücklich Einzug in den Datenschutzalltag.
Neue Konzepte des technischen Datenschutzes
- Datenschutz durch Technikgestaltung und Voreinstellung (Art. 25 DSGVO)
- datenschutzkonforme Verarbeitung (Art. 24 DSGVO)
- Sicherheit der Verarbeitung (Art. 32 DSGVO)
- Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
Die DSGVO beschreibt diese technischen und organisatorischen Anforderungen nur sehr unbestimmt – was aufgrund der rasanten Entwicklung im technischen Bereich sinnvoll ist, den Datenschutzbeauftragten und den Verantwortlichen für den Datenschutz aber erstmal nicht klüger zurücklässt.
Im Folgenden werden keine Methoden und Maßnahmen beschrieben, wie es „richtig“ geht, sondern wir beleuchten die andere Seite: wie Verantwortliche es nicht machen sollten.
Diese Anti-Maßnahmen und Anti-Methoden helfen, große Fallstricke bei der eigenen Umsetzung zu erkennen und rechtzeitig gegenzusteuern.
No-Go 1: TOMs aus altem BDSG einfach beibehalten
Naheliegend und deshalb verführerisch: Die alten Checklisten einfach beibehalten und darauf hoffen, dass die technischen und organisatorischen Maßnahmen (TOMs) zukünftig passen werden.
Spätestens wenn das Stichwort „Rechenschaftspflicht“ bei einer Prüfung durch die Aufsichtsbehörde fällt und das geprüfte Unternehmen die verwendete Risikomethode erläutern soll, wird es Probleme bekommen.
No-Go 2: Maßnahmenauswahl allein festlegen
Auch wenn es schon heute nicht so sein sollte, ist es (leider) häufig so, dass der Datenschutzbeauftragte als Einzelkämpfer im Unternehmen unterwegs ist.
Das gilt nicht nur bei rechtlichen Fragestellungen (z.B. Einsatz von Facebook Custom Audience, Auftragsverarbeitung oder Transparenzfragen der Einwilligung), sondern auch dann, wenn die TOMs festgelegt werden sollen.
Bei der DSGVO ist der Datenschutzbeauftragte für primär zwei Bereiche zuständig: Beratung und Kontrolle – nicht aber für die Umsetzung der Anforderungen.
Eine Datenschutzleitlinie, von der Geschäftsführung unterschrieben, hilft, Zuständigkeiten und Verantwortlichkeiten zu klären.
No-Go 3: sich gar nicht mit der Technik beschäftigen
Der Datenschutzbeauftragte muss ein Multitalent sein: Er muss rechtlich versiert sein, die Unternehmensorganisation im Blick haben, verhandlungssicher auftreten und dann auch noch ein Experte in IT-Fragestellungen sein.
Gerade wenn der bisherige berufliche Hintergrund nicht die Informationstechnik war, ist es verführerisch, den technischen Datenschutz an die IT-Abteilung „outzusourcen“.
Da der IT-Leiter aber wohl weder mit „Rechten und Freiheiten natürlicher Personen“ noch mit dem Begriff des personenbezogenen Datums oder mit Konzepten datenschutzfreundlicher Techniken etwas anfangen kann, wird hier eine Lücke in der Umsetzung der gesetzlichen Anforderungen entstehen.
Es ist klar, dass kaum jemand Kryptoexperte, White-Hat-Hacker, Unternehmensberater und Anonymisierungsfachmann zur gleichen Zeit sein kann. Was allerdings bei entsprechender Weiterbildung machbar ist: dass der Datenschutzbeauftragte die Grundkonzepte und das „Big Picture“ versteht und umsetzt.
Für Spezialfragestellungen lassen sich dann interne wie externe Experten zurate ziehen.
No-Go 4: risikobasierten Ansatz nicht beachten
Mit dem Begriff des Risikos kann wohl jeder subjektiv etwas anfangen. Die DSGVO fordert aber eine objektive Herangehensweise und legt konkrete Faktoren fest, um ein Risiko zu bestimmen.
Eine konkrete Methode zur Risikobestimmung gibt die DSGVO dagegen nicht vor. Sie legt nur die unterschiedlichen Ausprägungen fest.
Da sich unterschiedliche Rechtsfolgen ergeben, z.B. die Meldung beim Betroffenen nach einer Datenschutzverletzung, bedarf es eines geregelten und einheitlichen Umgangs mit diesem zentralen Begriff des Risikos.
No-Go 5: dem Dienstleister „blind“ vertrauen
Jedes Unternehmen setzt standardmäßig Dienstleister ein. Sie können manche Aufgaben besser oder günstiger erledigen. Das ist mit einem Vertrag zur Auftragsverarbeitung auch unter der DSGVO kein Problem.
Allerdings gilt es zu beachten, dass sich die Verantwortung nicht auf den Dienstleister abwälzen lässt. Besonders die Sicherheit der Verarbeitung, also den Schutz gegen unrechtmäßiges oder fahrlässiges Handeln, muss der Verantwortliche ausdrücklich prüfen und im AV-Vertrag (oder einem Anhang) dokumentieren.
Zudem muss sichergestellt sein, dass die Betroffenenrechte auch beim Dienstleister greifen und er z.B. Daten löscht, wenn er sie nicht mehr benötigt.
No-Go 6: unzureichende Dokumentation
Eine weitere Neuerung sind umfangreichere Anforderungen an die Dokumentation. Das kann die (elektronische) Einwilligung, die Ausgestaltung von Betroffenenrechten oder Vorfälle zur Vertraulichkeit / Integrität der personenbezogenen Daten betreffen.
Die Rechenschaftspflicht verlangt ebenso, dass die Datenschutzorganisation dokumentiert wird und dass interne Audits durchgeführt und bewertet werden.
Wichtig: Alle Dokumente sind als lebendige Dokumente anzusehen und sollten regelmäßig, mindestens einmal im Jahr, auf den neuesten Stand gebracht werden.
No-Go 7: Datenschutzzertifikate falsch einschätzen
Die Einbindung von Dienstleistern darf nur dann erfolgen, wenn diese geeignet sind, den Schutz der personenbezogenen Daten sicherzustellen – deshalb sind sie vor Beginn der Verarbeitung zu kontrollieren.
Was in den 90er- Jahren bei Lettershops noch funktionierte, ist z.B. bei Cloud-Diensten praktisch unmöglich. Eine Lösung sind Zertifizierungen, die eine datenschutzkonforme Verarbeitung nachweisen.
So weit, so gut. Allerdings ist Vorsicht geboten, ob diese Zertifizierungen wirklich aussagekräftig sind. Gerade im technischen Bereich ist es höchst anspruchsvoll, die TOMs auf Eignung und Vollständigkeit zu überprüfen.
No-Go 8: keine Audits durchführen
Und wieder die Rechenschaftspflicht: Neben Prozessen und einer guten Dokumentation müssen Verantwortliche die Wirksamkeit der Umsetzung, auch in technischer Hinsicht, nachweisen. Dazu gehören regelmäßige und systematische Kontrollen, die Audits.
Diese Audits kann der Verantwortliche selbst durchführen oder von externen Dienstleistern durchführen lassen.
Achtung: Wer bei einer Prüfung durch die Aufsichtsbehörde überhaupt keine Audits belegen kann, wird ziemliche Probleme bekommen.
No-Go 9: Verarbeitungsverzeichnis nicht aktuell halten
An sich ergibt sich ein aktuelles Verarbeitungsverzeichnis wie von selbst – wenn die Prozesse passen.
Wer dies aber an den (in Teilzeit beschäftigten) Datenschutzbeauftragten delegiert und ihm dann auch noch zu wenige Ressourcen zugesteht, wird das erhalten, was es heute in der Praxis leider zu häufig gibt: ein in die Jahre gekommenes Papierdokument, das in irgendeinem Ordner im Schrank verstaubt.
Tipp: Aus diesem Papier ein lebendiges Dokument machen – sei es mit Word oder einer tollen Datenschutzsoftware.
Nehmen Sie das Verarbeitungsverzeichnis als Grundlage für den Abgleich mit der IT-Sicherheit her. Richten Sie die Risikobeurteilung auf Schäden an den Persönlichkeitsrechten statt auf rein finanzielle Aspekte aus.
No-Go 10: Fokus auf IT-Sicherheit vernachlässigen
Beim Datenschutz müssen Verantwortliche auch die Bedrohungen für die Rechte und Freiheiten betrachten, die sich aus einer rechtmäßigen Verarbeitung – z.B. bei Profilbildungen, Videoüberwachung oder Drittlandtransfers – ergeben.
Aber: Auch Cyberkriminelle und sogenannte Black Hats – also destruktive Hacker – stellen sehr ernst zu nehmende Risiken gerade für technologie- und datengetriebene Unternehmen dar. Deshalb ist die Beschäftigung mit einem Informationssicherheitsmanagementsystem (ISMS) ab einer gewissen Unternehmensgröße faktisch unumgänglich.
No-Go 11: Fokus nur auf IT-Sicherheit
Bei der Betrachtung des technischen Datenschutzes mit den Methoden der Informationssicherheit besteht die Gefahr, den Datenschutz als „Anhängsel“ anzusehen.
Dann kann es vorkommen, dass bestehende Bewertungen der Informationssicherheit wie Risikobewertungen, schützenswerte Daten und Prozesse 1:1 auf den Datenschutz übertragen werden.
Das hat zur Folge, dass die Schutzwürdigkeit beim Datenschutz nicht auf Grundrechte, sondern auf Unternehmenswerte ausgerichtet bleibt.
No-Go 12: Umgang mit Datenschutzverletzungen nicht planen
Eine weitere Neuerung mit Tragweite ist die Meldepflicht bei Datenschutzverletzungen. Während die bisherigen §-42a-BDSG-Fälle eher die Ausnahme statt die Regel sind, müssen Verantwortliche im Prinzip jeden Vorfall melden, bei dem sie ein Risiko objektiv nicht ausschließen können.
Dazu gehört auch, Datenschutzverletzungen überhaupt als solche zu erkennen. Das wiederum setzt geeignete Prozesse, eine Schulung der Mitarbeiter und technische Kontrollen voraus. (Wer jetzt an die Rechenschaftspflicht denkt, liegt richtig.)
Muss ein Verantwortlicher bei einem Vorfall erst Unterlagen suchen, die Rechtslage ausführlich diskutieren, und kennt er die Kontaktdaten der zuständigen Aufsichtsbehörde nicht, läuft er Gefahr, die 72-Stunden-Meldefrist zu verpassen – es bleibt abzuwarten, ob die Aufsichtsbehörden dann großzügig sein werden, was die Verhängung von empfindlichen Bußgeldern angeht.
No-Go 13: Schwellwertanalyse für Folgenabschätzung vergessen
Bei Verarbeitungen mit einem möglicherweise hohen Risiko ist eine Datenschutz-Folgenabschätzung nötig. Was liegt dabei näher, als nach Bauchgefühl die eigenen Datenverarbeitungen als unkritisch einzustufen?
Dann muss der Verantwortliche auch keine systematische und umfangreiche Risikobeurteilung, den Kern einer Datenschutz-Folgenabschätzung, durchführen.
Bei einer Prüfung durch die Aufsichtsbehörde könnte es allerdings sein, dass für manche Verarbeitungstätigkeiten der Begriff „Schwellwertanalyse“ fällt. Ist dann ein Schulterzucken die Antwort, dürfte es unangenehm werden.
No-Go 14: keinen Überblick über die Daten und IT-Systeme haben
Spätestens bei einem Auskunftsanspruch wird sich die Frage stellen, welche Daten der Betroffenen denn vorhanden sind – und v.a. wo.
Auch bei der Sicherstellung von aktuellen Softwareständen – Sicherheitslücken in veralteter Software sind ein enormes Risiko – ist eine Übersicht über die IT-Systeme, die eingesetzte Software und die damit verarbeiteten Daten zwingend notwendig. Ansonsten ist folgendes Szenario schnell erreicht: Systeme gehackt, Daten weg, Entdeckung des Vorfalls (wenn überhaupt) nach 100 Tagen.
No-Go 15: Löschen „verdrängen“
Mit der DSGVO wird es diesbezüglich ernst: Ein Sperren von Daten, weil das Löschen zu aufwendig wäre, fällt weg. Das trifft Verantwortliche und Auftragsverarbeiter, die alte Systeme einsetzen oder selbstentwickelte Lösungen in den letzten Jahren nicht angepasst haben.
Zu hoffen, die Aufsichtsbehörden würden weiterhin „Verständnis“ für falsche Priorisierungen haben, dürfte eine interessante Wette sein.
No-Go 16: Prozesse nicht an Datenschutz anpassen
Wer bei Projektende noch kurz die Freigabe durch den DSB benötigt, hat die DSGVO garantiert entweder nicht verstanden oder zumindest nicht umgesetzt.
Es gilt, dass bei Projektbeginn die datenschutzrechtlichen Anforderungen wie Rechtsgrundlagen und die „Technik“ geklärt werden müssen – ansonsten wird der Datenschutz nicht ernst genommen.
No-Go 17: nur die Daten und IT-Systeme betrachten
Und wieder die Prozesse. Gerade beim Verzeichnis der Verarbeitungstätigkeiten betrachten Verantwortliche häufig nur die Daten samt IT-Systemen.
Werden allerdings die Prozesse und die Menschen, die im Rahmen dieser Prozesse mit den Daten arbeiten, vergessen, fehlt ein wichtiger Bereich, um datenschutzkonform sein zu können.
Übrigens: Prozesse hat jedes Unternehmen, ob nun ausdrücklich in die Arbeitsabläufe umgesetzt oder „einfach so“.
No-Go 18: Unterschied zwischen IT-Sicherheit und Datenschutz nicht beachten
Die IT-Sicherheit betrachtet als übergeordnete Sichtweise gern die Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität. Diese Ziele sind auch beim Datenschutz zu berücksichtigen – allerdings auf die Rechte und Freiheiten der Betroffenen ausgerichtet statt auf das Wohl des Unternehmens.
Zudem führt die DSGVO in den Grundsätzen in Art. 5 weitere Ziele auf, die technisch einzuhalten sind: Zweckbindung, Transparenz und Datenminimierung. Ebenso müssen die Betroffenenrechte wie Auskunft oder Berichtigung technisch verfügbar sein.
Ein weiterer Fallstrick ist die Risikobeurteilung (siehe No-Go 4), wenn ein Verantwortlicher nicht die Risiken der Betroffenen (kann als Datenschutz-Risiko bezeichnet werden) analysiert, sondern nur die Risiken des Unternehmens, falls Datenschutzvorgaben nicht eingehalten werden (auch Compliance-Risiko genannt).
No-Go 19: Privacy by Design vernachlässigen
Datenschutz von Anfang an und bei allen Diensten und Produkten in jedem Bereich – das ist mit Privacy by Design im Prinzip gemeint.
Die Richtschnur sind die Grundsätze aus Art. 5 DSGVO (besonders Datenminimierung) sowie die Umsetzung von Art. 25 DSGVO (Datenschutzkonforme Verarbeitung), Art. 32 DSGVO (Sicherheit) und Art. 35 DSGVO (Datenschutz-Folgenabschätzung).
Privacy by Design ist im Grunde gar nicht so schwer, wenn Verantwortliche rechtzeitig daran denken. Deswegen darauf ein besonderes Augenmerk legen!
No-Go 20: Aufsichtsbehörde nicht konsultieren
Man muss nicht alles allein machen. Gerade in der Übergangszeit zur Grundverordnung gibt es naturgemäß viele Unklarheiten und Fragen. Hier empfiehlt es sich, den Kontakt zur zuständigen Aufsichtsbehörde zu suchen.
Hat eine Verarbeitung allerdings ein hohes Restrisiko, dann ist diese Beratung verpflichtend.
Unternehmen sollten sich nicht scheuen, die Aufsichtsbehörden in die Pflicht zu nehmen – die Datenschutz-Grundverordnung hält nämlich nicht nur für die Verantwortlichen und Auftragsverarbeiter neue Aufgaben bereit.