Wer auf dem Datenschutzohr nicht hören will …
Bei festgestellten Verstößen gegen die Verordnung können die zuständigen Aufsichtsbehörden nach Art. 83 DS-GVO Bußgelder von bis zu 4 % des jährlichen Konzernumsatzes oder bis zu 20 Millionen Euro verhängen, je nachdem, welcher Betrag höher ist. So wurden beispielsweise Bußgelder gegen eine Immobiliengesellschaft über 14,5 Millionen Euro verhängt. Zudem stellen zahlreiche Spezialnormen (§ 404 AktG, § 333 HGB, etc.) den Geheimnisverrat durch besonders zur Vertraulichkeit verpflichtete Personengruppen unter Strafe. Der strafrechtliche Geheimnisschutz ist dabei von großer praktischer Bedeutung, weil oft erst die Ergebnisse staatsanwaltschaftlicher Ermittlungen den Geschädigten ermöglichen, zivilrechtliche Ansprüche geltend zu machen. Gravierend kann sich auch ein Anspruch auf Gewinnabschöpfung nach § 10 UWG auswirken. Danach müssen Unternehmen, die vorsätzlich einen wettbewerbsrechtlich relevanten Datenschutzverstoß begangen und dadurch zu Lasten von Abnehmern einen Gewinn erzielt haben, diesen herausgeben. Hintergrund dieser Regelung ist der Gedanke, dass derjenige, der sich wettbewerbswidrig im Markt verhält, nicht auch noch die Früchte seines Rechtsverstoßes ernten sollte. Mittelfristig drohen zudem Reputationsschäden und Umsatzeinbußen.Datenschutz als interdisziplinäre Unternehmensaufgabe
Die Umsetzung von Datenschutzanforderungen ist eine ganzheitliche betriebliche Aufgabe. Sie betrifft alle Unternehmensbereiche und -prozesse, in denen personenbezogene Daten verarbeitet werden – egal ob analog oder digital. Beteiligte müssen geeignete und kontinuierlich geprüfte Verfahren bereitstellen, um einen datenschutzkonformen und transparenten Umgang mit personenbezogenen Daten zu gewährleisten. Demzufolge stellt sich IT-Führungskräften die Frage, wo sie primär ansetzen müssen, um diese Aufgabe nachhaltig zu lösen und wie sie verhindern, dass der damit verbundene Berg an Herausforderungen wächst.Security-by-Design: zur Umsetzung von DS-GVO-Projekten
Die folgenden Abschnitte zeigen auf, wie neu erhobene und bestehende Personendaten zukünftig behandelt werden müssen, damit sich Unternehmen souverän und konform im Spannungsfeld zwischen Business-Aktivität, IT-Sicherheit und Datenschutz bewegen. Schon während des Designs einer Software- oder Datenbanklösung treten Faktoren zu Tage, die auf das Datenschutzkonto einzahlen. Mit folgenden Empfehlungen halten Entwickler und Administratoren den (Mehr-)Aufwand bei der Implementierung DS-GVO-relevanter Punkte überschaubar:Eine klare Trennung von Daten
Für datenschutzkonforme Systementwicklungen zeichnet es sich als notwendig ab, Daten redundant zu speichern und sie mindestens in die Kategorien- Informationsdaten,
- widerrufliche Einwilligungsdaten und
- Archivierungsdaten aufzuteilen.
Berücksichtigung von Archivierungspflichten
Im Design neuer Software- und Datenbankentwicklungen sollte für nahezu jedes Datenfeld eine Tabelle mit den dazugehörenden gesetzlichen Archivierungspflichten hinterlegt sein. Beispiele für Datenfelder sind Rechnungsnummer, Rechnungsdatum und der Nettobetrag. Mitarbeiter müssen Belege entsprechend der Abgabeverordnung (AO) nach Steuerrecht zehn Jahre, Belege gemäß Handelsgesetzbuch (HGB) sechs Jahre archivieren. Wesentlich für Neuprojekte sind jedoch branchenbezogene Spezifika in puncto Archivierungsauflagen. So müssen Unternehmen bei der Verarbeitung von Daten wie einer Arztrechnung, in Verbindung mit Patientendaten nach Strahlenschutz- beziehungsweise Röntgenverordnung, eine Frist von bis zu 30 Jahren berücksichtigen. Gleiches zählt auch für Aufzeichnungen nach dem Transfusionsgesetz. Gelten für personenbezogene Daten mehrere und dabei divergierende Auflagen zur Archivierung, so empfiehlt es sich, nicht nur die maximale Archivierungszeit, sondern alle Fristen anzulegen. Haben Entwickler lediglich die Maximalzeit berücksichtigt, müssen sie bei Veränderungen erneut Hand an die Software und/oder Datenbank-Design legen. Auch sollten Verantwortliche rollenbasierend den Terminus Ansichtsfristen pro Feld hinterlegen. Was bedeutet dies? Archivierungsdaten für Rechnungen sind nur fünf Jahre für die Rolle A einsehbar, für die Rolle B in der ganzen Laufzeit. Bei besonders schützenswerten Informationen wie Gesundheitsdaten ist ein Einblick für Administratoren ohne Betriebsrat und / oder Datenschutzbeauftragte zu unterbinden, sprich, beide stellen ihren Schlüssel zur Einsichtnahme zur Verfügung. Eine auf Datenfeld basierte Verschlüsselung, die für bestimmte Informationen das Verfallsdatum bereits einbaut, eignet sich hierfür am besten.Datenschutz-Booster für bestehende Systeme
Was passiert mit Datenbanken, deren Datenspeicher zum Bersten gefüllt sind, während niemand weiß, welche personenbezogenen Daten darin lagern. Bei vielen Anwendungen existiert keine Transparenz darüber, wo diese Daten liegen und wer im Unternehmen für die allgemeine Speicherung verantwortlich zeichnet. Dies beschreibt eine Situation, in der sich aktuell viele Firmen, Behörden und Institutionen befinden. Berücksichtigen IT-Beauftragte Datenschutz und Entwicklungseffizienz, dann ist es unmöglich, auf diese Situation aufzubauen, neue Daten unter DS-GVO-Gesichtspunkten zu behandeln und den bestehenden Datenpool zu ignorieren. Alle personenbezogenen Daten jedoch in einem großen Unternehmen zu identifizieren und sie zuzuordnen, scheint, vorsichtig formuliert, ehrgeizig. Diese umfangreichen und komplizierten Prozesse stellen für alle eine der größten Herausforderungen auf dem Weg zur Datenschutzkonformität dar. Nicht erkannte, frei flottierende und unsachgemäß gespeicherte Datenbestände bergen ein hohes Risiko für Sicherheitsverletzungen und können eine Haftung nach EU-DS-GVO mit sich tragen. Konzentrierte Anstrengungen, diese nicht verwendeten Daten zu finden und zu löschen, reduzieren die Strafen im Ernstfall erheblich. Hier empfiehlt es sich für IT-Verantwortliche, analog zu Neuprojekten zu verfahren. Erschwerend kommt hinzu, dass es schwierig ist herauszufinden, wo sich relevante Informationen befinden und von wem und wie diese prozessiert werden. Dieses Mammutprojekt ist leider nur teilweise mit Software abbildbar, da dies zumeist gelebte Prozesse sind.Software-Einsatz
Was müssen Entwickler und Leiter in Fachabteilungen über brauchbare Lösungen wissen? Sie benötigen zum Start eine Beschreibung des Lösch-Prozesses personenbezogener Daten in den operativen und dispositiven Systemen des Unternehmens. Bei der Entwicklung und dem Einsatz von Software muss eine datenschutzkonforme Löschung dieser Daten oberste Priorität haben. Derzeit gibt es nahezu keine Standardsoftware, mit der Nutzer konform Daten löschen. Diesen Punkt sehen Anwendungsentwickler in der Konzeption von Software meist nicht vor. Um den Anforderungen der EU-DS-GVO gerecht zu werden, müssen sie nun nachträglich flächendeckend Softwareänderungen durchführen. Um eine aufwendige und fehleranfällige manuelle Löschung zu vermeiden, bietet sich die Entwicklung automatischer Löschroutinen an. Auch bei der Erstellung von Personendatenübersichten sollten Entwickler Prozesse softwareseitig unterstützen, um die enormen Aufwände und Fehleranfälligkeit einer manuellen Auswertung zu vermeiden. Nach welchen Kriterien sich eine Anpassung lohnt und wann eine neue Softwarelösung sinnvoll ist, zeigt sich als klassische Güterabwägung. Tendenziell empfiehlt es sich Refactoring den Vorzug zu geben statt alte, unzeitgemäße Systeme in die neue Welt hinüber zu retten.Mindestprüfungen und Small-Data
Bei bestehenden IT-Systemen müssen Entwickler etablierte Prozesse wie Audits und Penetrations-Tests adaptieren; Projekte, die teilweise mit großen Herausforderungen verbunden sind. Es gibt hierbei jedoch Mindestanforderungen an Überprüfungen bestehender Systeme. Unter der Voraussetzung, dass mindestens drei Umgebungen (Dev=Entwicklung, Test und Prod=Produktion) vorhanden sind, sollten Administratoren, Entwickler und IT-Sicherheitsmitarbeiter idealerweise folgende Schritte automatisch vornehmen:- Schwachstellenanalyse (Vulnerability Scans)
- Schadsoftware-Überprüfungen (Malware Scans)
- Compliance Scans wie Härtungen, bei der IT-Komponenten auf Sicherheitsaspekte hin verändert werden
- Historisierung der Codes innerhalb der Software-Entwicklung (idealerweise bei jedem Commit), Einführung eines Versionskontrollsystems (beispielweise mit Git)
Die sieben Grundprinzipien von Privacy-by-Design
- Proaktiv, nicht reaktiv; als Vorbeugung und nicht als Abhilfe
- Datenschutz als Standardeinstellung
- Der Datenschutz ist in das Design eingebettet
- Volle Funktionalität – eine Positivsumme, keine Nullsumme
- Durchgängige Sicherheit – Schutz während des gesamten Lebenszyklus
- Sichtbarkeit und Transparenz – für Offenheit sorgen
- Die Wahrung der Privatsphäre der Nutzer – für eine nutzerzentrierte Gestaltung sorgen
Wann ist Privacy-by-Design erfüllt? (Art. 25 Abs1 DS-GVO)
Maßnahmen müssen folgende Vorgaben erfüllen:- den Stand der Technik
- die Implementierungskosten
- Art der Verarbeitung
- den Umfang der Verarbeitung
- die Umstände der Verarbeitung
- die Zwecke der Verarbeitung
- mit der Verarbeitung verbundene Risiken für die Rechte und Freiheiten natürlicher Personen, unter Betrachtung der Eintrittswahrscheinlichkeit und Schwere (Schadenshöhe/Schadensintensität), die darauf ausgelegt sind,
- die Datenschutzgrundsätze wie zum Beispiel Datenminimierung wirksam umzusetzen und
- die notwendigen Garantien in die Verarbeitung aufzunehmen,
- um den Anforderungen dieser Verordnung zu genügen und
- die Rechte der betroffenen Personen zu schützen.
Privacy-by-Default (Art. 25 Abs2 DS-GVO)
Datenschutz durch datenschutzfreundliche Voreinstellungen- Insbesondere Schutz von wenig technikaffinen Nutzern, die nicht geneigt sind, die datenschutzrechtlichen Einstellungen ihren Wünschen entsprechend anzupassen – è„Privacy Paradox“
- Konkretisierung von Privacy-by-Design
Wann ist Privacy-by-Default erfüllt? (Art. 25 Abs2 DS-GVO)
Pflicht zum Datenschutz durch Voreinstellung ist erfüllt, wenn- der Verantwortliche geeignete technisch-organisatorische Maßnahmen trifft, die sicherstellen, dass grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Das wäre unter anderem die Durchsetzung des Gewährleistungsziels der Zweckbindung, bezogen auf
- die Menge der erhobenen personenbezogenen Daten,
- den Umfang ihrer Verarbeitung,
- ihre Speicherfrist und
- ihre Zugänglichkeit.
- sichergestellt wird, dass Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. (Satz 3)
- die Minimierung der Verarbeitung personenbezogener Daten
- eine frühestmögliche Pseudonymisierung
- die Herstellung der Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten,
- um Betroffenen zu ermöglichen, die Verarbeitung personenbezogener Daten zu überwachen und
- um den Verantwortlichen in die Lage zu versetzen, Sicherheitsfunktionen zu schaffen und zu verbessern.
Datenschutz by-Design & by-Default
- Kommt mit der EU-Datenschutz-Grundverordnung (Art. 25)
- Richtet sich primär an Datenverarbeiter, das heißt an Verantwortliche und Auftragsverarbeiter
- Richtet sich nur indirekt an Hersteller von IT-Systemen
- Ziel: Gestaltung von Systemen und Diensten von Anfang an über den gesamten Lebenszyklus
- datensparsam
- mit möglichst datenschutzfreundlichen Voreinstellungen
Datenschutz by-Design & by-Default (gemäß Erwägungsgrund 78 DS-GVO)
- Nachweis durch interne Strategien sowie technische- und organisatorische Maßnahmen
- Datenminimierung
- Schnellstmögliche Pseudonymisierung
- Transparenz in Bezug auf Funktionen und Verarbeitung
- Ermöglichung der Überwachung der Verarbeitung durch die betroffenen Personen
- Ermöglichung für Sicherheitsfunktionen on Top durch Verantwortlichen
- Ermutigung für Hersteller
- Berücksichtigung in öffentlichen Ausschreibungen
Pierre Gronau ist seit über 25 Jahren für namhafte Unternehmen als Senior IT-Berater mit umfangreicher Projekterfahrung tätig. Zu seinen Kompetenzfeldern gehören Server-Virtualisierungen, IT-Sicherheit, IT-Compliance, moderne Cloud- und Automationslösungen sowie Informationsschutz.