Security-by-Design-Projekte in Zeiten der Datendämmerung

Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Unter anderem gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union, hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Diesem Grundrecht trägt die neue EU-Datenschutzgrundverordnung ab dem 25. Mai 2018 verstärkt Rechnung. Sie gilt für alle Unternehmen, Behörden und Freiberufler, die personenbezogene Daten von EU-Bürgern verarbeiten. Es wird also ernst für Verantwortliche bei der Verarbeitung von Daten. Diese sind  nun unmittelbar verpflichtet, alle sich aus der Neuerung ergebenden Auflagen und Pflichten zu erfüllen.  

Im Kapitel 1 Art. 4 der EU-DS-GVO finden sich die dazu passenden Begriffsbestimmungen für folgende Schlüsselbegriffe:

„Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“

„Verarbeitung: jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“ 

Wer auf dem Datenschutzohr nicht hören will …

Bei festgestellten Verstößen gegen die Verordnung können die zuständigen Aufsichtsbehörden nach Art. 83 DS-GVO Bußgelder von bis zu 4 % des jährlichen Konzernumsatzes oder bis zu 20 Millionen Euro verhängen, je nachdem, welcher Betrag höher ist. So wurden beispielsweise Bußgelder gegen eine Immobiliengesellschaft über 14,5 Millionen Euro verhängt. Zudem stellen zahlreiche Spezialnormen (§ 404 AktG, § 333 HGB, etc.) den Geheimnisverrat durch besonders zur Vertraulichkeit verpflichtete Personengruppen unter Strafe. Der strafrechtliche Geheimnisschutz ist dabei von großer praktischer Bedeutung, weil oft erst die Ergebnisse staatsanwaltschaftlicher Ermittlungen den Geschädigten ermöglichen, zivilrechtliche Ansprüche geltend zu machen. Gravierend kann sich auch ein Anspruch auf Gewinnabschöpfung nach § 10 UWG auswirken. Danach müssen Unternehmen, die vorsätzlich einen wettbewerbsrechtlich relevanten Datenschutzverstoß begangen und dadurch zu Lasten von Abnehmern einen Gewinn erzielt haben, diesen herausgeben. Hintergrund dieser Regelung ist der Gedanke, dass derjenige, der sich wettbewerbswidrig im Markt verhält, nicht auch noch die Früchte seines Rechtsverstoßes ernten sollte. Mittelfristig drohen zudem Reputationsschäden und Umsatzeinbußen.

Datenschutz als interdisziplinäre Unternehmensaufgabe   

Die Umsetzung von Datenschutzanforderungen ist eine ganzheitliche betriebliche Aufgabe. Sie betrifft alle Unternehmensbereiche und -prozesse, in denen personenbezogene Daten verarbeitet werden – egal ob analog oder digital. Beteiligte müssen geeignete und kontinuierlich geprüfte Verfahren bereitstellen, um einen datenschutzkonformen und transparenten Umgang mit personenbezogenen Daten zu gewährleisten. Demzufolge stellt sich IT-Führungskräften die Frage, wo sie primär ansetzen müssen, um diese Aufgabe nachhaltig zu lösen und wie sie verhindern, dass der damit verbundene Berg an Herausforderungen wächst.

Security-by-Design: zur Umsetzung von DS-GVO-Projekten

Die folgenden Abschnitte zeigen auf, wie neu erhobene und bestehende Personendaten zukünftig behandelt werden müssen, damit sich Unternehmen souverän und konform im Spannungsfeld zwischen Business-Aktivität, IT-Sicherheit und Datenschutz bewegen. Schon während des Designs einer Software- oder Datenbanklösung treten Faktoren zu Tage, die auf das Datenschutzkonto einzahlen. Mit folgenden Empfehlungen halten Entwickler und Administratoren den (Mehr-)Aufwand bei der Implementierung DS-GVO-relevanter Punkte überschaubar:

Eine klare Trennung von Daten

Für datenschutzkonforme Systementwicklungen zeichnet es sich als notwendig ab, Daten redundant zu speichern und sie mindestens in die Kategorien

  • Informationsdaten,
  • widerrufliche Einwilligungsdaten und
  • Archivierungsdaten aufzuteilen.

Bei Informationsdaten handelt es sich um Informationen zu einer Person, die nicht der gesetzlichen Archivierungspflicht unterliegen. Sie müssen umgehend nach Erfüllung des Erhebungszwecks gelöscht werden. Als Beispiel dient die Löschung von Kreditkartendaten nach dem Bezahlvorgang.

Widerrufliche Einwilligungsdaten, oder Opt-In-Daten, sind Informationen, die bis zum Widerruf zu einem bestimmten Zweck vorgehalten werden, um die Umsetzung eines wiederkehrenden Wunsches zu ermöglichen. Beispiele hierfür sind die E-Mail-Adresse für den Newsletter oder der Geburtstag für jährliche Glückwünsche. Für werbliche Maßnahmen wie einen Newsletter-Versand dürfen Anwender ausschließlich Daten verwenden, deren Eigentümer ihre explizite, temporäre Zustimmung hierfür abgegeben haben (Opt-in). Sobald Datenschutzbehörden nachweisen, dass eine Kontaktaufnahme zu Personen erfolgte, die nicht explizit über Opt-in zustimmten, können sie diese mit erheblichen Geldstrafen belegen. Wichtig ist Transparenz für Dateneigentümer, damit sie überblicken können, wie ihre Daten verwendet werden und sie die einmal erteilte Zustimmung jederzeit widerrufen können. Unternehmen sollten darauf achten, Antworten und Aktionen sorgfältig zu dokumentieren, damit Audits gelingen. Empfehlenswert ist zudem das Design eines Datenbankbereichs für Textbausteine. Dies können zum Beispiel Einwilligungsvorlagen oder juristische Texte sein.

Archivierungsdaten stellen eine Sammlung an Informationen dar, die beispielsweise für die gesetzlichen Aufhebungsfristen im medizinischen Bereich oder in der Buchhaltung benötigt werden, um Vorgänge nachvollziehen zu können. Das sind  unter anderem Rechnungsdaten zum Kauf von Produkten und Dienstleistungen. Erst nach Ablauf der gesetzlichen Aufbewahrungspflicht dürfen diese Archivierungsdaten gelöscht werden ─ ein Löschvorgang, der mit Inkrafttreten der EU-DS-GVO bindend ist. Diese Daten dürfen von den Unternehmen nicht mehr verarbeitet werden.

Berücksichtigung von Archivierungspflichten

Im Design neuer Software- und Datenbankentwicklungen sollte für nahezu jedes Datenfeld eine Tabelle mit den dazugehörenden gesetzlichen Archivierungspflichten hinterlegt sein. Beispiele für Datenfelder sind Rechnungsnummer, Rechnungsdatum und der Nettobetrag. Mitarbeiter müssen Belege entsprechend der Abgabeverordnung (AO) nach Steuerrecht zehn Jahre, Belege gemäß Handelsgesetzbuch (HGB) sechs Jahre archivieren. Wesentlich für Neuprojekte sind jedoch branchenbezogene Spezifika in puncto Archivierungsauflagen. So müssen Unternehmen bei der Verarbeitung von Daten wie einer Arztrechnung, in Verbindung mit Patientendaten nach Strahlenschutz- beziehungsweise Röntgenverordnung, eine Frist von bis zu 30 Jahren berücksichtigen. Gleiches zählt auch für Aufzeichnungen nach dem Transfusionsgesetz. Gelten für personenbezogene Daten mehrere und dabei divergierende Auflagen zur Archivierung, so empfiehlt es sich, nicht nur die maximale Archivierungszeit, sondern alle Fristen anzulegen. Haben Entwickler lediglich die Maximalzeit berücksichtigt, müssen sie bei Veränderungen erneut Hand an die Software und/oder Datenbank-Design legen.

Auch sollten Verantwortliche rollenbasierend den Terminus Ansichtsfristen pro Feld hinterlegen. Was bedeutet dies? Archivierungsdaten für Rechnungen sind nur fünf Jahre für die Rolle A einsehbar, für die Rolle B in der ganzen Laufzeit. Bei besonders schützenswerten Informationen wie Gesundheitsdaten ist ein Einblick für Administratoren ohne Betriebsrat und / oder Datenschutzbeauftragte zu unterbinden, sprich, beide stellen ihren Schlüssel zur Einsichtnahme zur Verfügung. Eine auf Datenfeld basierte Verschlüsselung, die für bestimmte Informationen das Verfallsdatum bereits einbaut, eignet sich hierfür am besten.

Datenschutz-Booster für bestehende Systeme

Was passiert mit Datenbanken, deren Datenspeicher zum Bersten gefüllt sind, während niemand weiß, welche personenbezogenen Daten darin lagern. Bei vielen Anwendungen existiert keine Transparenz darüber, wo diese Daten liegen und wer im Unternehmen für die allgemeine Speicherung verantwortlich zeichnet. Dies beschreibt eine Situation, in der sich aktuell viele Firmen, Behörden und Institutionen befinden. Berücksichtigen IT-Beauftragte Datenschutz und Entwicklungseffizienz, dann ist es unmöglich, auf diese Situation aufzubauen, neue Daten unter DS-GVO-Gesichtspunkten zu behandeln und den bestehenden Datenpool zu ignorieren. Alle personenbezogenen Daten jedoch in einem großen Unternehmen zu identifizieren und sie zuzuordnen, scheint, vorsichtig formuliert, ehrgeizig. Diese umfangreichen und komplizierten Prozesse stellen für alle eine der größten Herausforderungen auf dem Weg zur Datenschutzkonformität dar. Nicht erkannte, frei flottierende und unsachgemäß gespeicherte Datenbestände bergen ein hohes Risiko für Sicherheitsverletzungen und können eine Haftung nach EU-DS-GVO mit sich tragen. Konzentrierte Anstrengungen, diese nicht verwendeten Daten zu finden und zu löschen, reduzieren die Strafen im Ernstfall erheblich. Hier empfiehlt es sich für IT-Verantwortliche, analog zu Neuprojekten zu verfahren. Erschwerend kommt hinzu, dass es schwierig ist herauszufinden, wo sich relevante Informationen befinden und von wem und wie diese prozessiert werden.  Dieses Mammutprojekt ist leider nur teilweise mit Software abbildbar, da dies zumeist gelebte Prozesse sind.

Software-Einsatz

Was müssen Entwickler und Leiter in Fachabteilungen über brauchbare Lösungen wissen? Sie benötigen zum Start eine Beschreibung des Lösch-Prozesses personenbezogener Daten in den operativen und dispositiven Systemen des Unternehmens. Bei der Entwicklung und dem Einsatz von Software muss eine datenschutzkonforme Löschung dieser Daten oberste Priorität haben.

Derzeit gibt es nahezu keine Standardsoftware, mit der Nutzer konform Daten löschen. Diesen Punkt sehen Anwendungsentwickler in der Konzeption von Software meist nicht vor. Um den Anforderungen der EU-DS-GVO gerecht zu werden, müssen sie nun nachträglich flächendeckend Softwareänderungen durchführen. Um eine aufwendige und fehleranfällige manuelle Löschung zu vermeiden, bietet sich die Entwicklung automatischer Löschroutinen an. Auch bei der Erstellung von Personendatenübersichten sollten Entwickler Prozesse softwareseitig unterstützen, um die enormen Aufwände und Fehleranfälligkeit einer manuellen Auswertung zu vermeiden. Nach welchen Kriterien sich eine Anpassung lohnt und wann eine neue Softwarelösung sinnvoll ist, zeigt sich als klassische Güterabwägung. Tendenziell empfiehlt es sich Refactoring den Vorzug zu geben statt alte, unzeitgemäße Systeme in die neue Welt hinüber zu retten.

Mindestprüfungen und Small-Data

Bei bestehenden IT-Systemen müssen Entwickler etablierte Prozesse wie Audits und Penetrations-Tests adaptieren; Projekte, die teilweise mit großen Herausforderungen verbunden sind. Es gibt hierbei jedoch Mindestanforderungen an Überprüfungen bestehender Systeme.

Unter der Voraussetzung, dass mindestens drei Umgebungen (Dev=Entwicklung, Test und Prod=Produktion) vorhanden sind, sollten Administratoren, Entwickler und IT-Sicherheitsmitarbeiter idealerweise folgende Schritte automatisch vornehmen:

  1. Schwachstellenanalyse (Vulnerability Scans)
  2. Schadsoftware-Überprüfungen (Malware Scans)
  3. Compliance Scans wie Härtungen, bei der IT-Komponenten auf Sicherheitsaspekte hin verändert werden
  4. Historisierung der Codes innerhalb der Software-Entwicklung (idealerweise bei jedem Commit), Einführung eines Versionskontrollsystems (beispielweise mit Git)

Diese Mindestprüfungen müssen Anwender ausführen und die Ergebnisse in der Deployment-Pipeline lückenlos dokumentieren. Ein praxisnahes Konzept zeigt auf, wie IT-Beauftragte anfallende Daten verarbeiten und worauf sie gesondert achten müssen:

Zu Beginn erfassen Projektverantwortliche alle anfallenden Daten und klassifizieren sie. Im   Klassifizierungsprozess spielt auch eine Rolle, dass neben der DS-GVO noch weitere Gesetze, Regularien und Behördenauflagen existieren. Dazu zählen die Abgabenordnung (AO) als elementares Gesetz des deutschen Steuerrechts; das IT-Sicherheitsgesetz (IT-SiG), weithin unter KRITIS bekannt, und diverse eHealth-Gesetze wie die EU-Verordnungen zu Medizinprodukten und In-vitro-Diagnostika.

Interessanterweise widersprechen sich diese Verordnungen zum Teil und erfordern eine permanente und gründliche Prüfung aller Parameter, die für die eigenen Daten greifen. Festhalten kann man, dass bei unterschiedlichen Zeiträumen zur Datenspeicherung und Archivierung immer der längste zählt.

Als nächstes sollten Projektverantwortliche prüfen, wie personenbezogene Daten, die sich auf Geschäftsaktivitäten beziehen, in datenschutzkonformem Umfang  gesammelt werden können und / oder wie eine Pseudonymisierung der Daten gelingt. Diese Pseudonymisierung meint die „Verarbeitung personenbezogener Daten in einer Weise, dass diese ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“ [Kapitel 1 Art. 4 DS-GVO].

Nach dem neuen Gesetz „Clarifying Lawful Overseas Use of Data Act“ (CLOUD) sind amerikanische Internet-Unternehmen, also auch Cloud-Service-Provider aus den USA, dazu verpflichtet, amerikanischen Sicherheitsbehörden Zugriff auf Nutzerdaten zu ermöglichen, die außerhalb der USA gespeichert sind. Daraus folgt der zwingende Rat an Entwickler, auch unter Berücksichtigung der DS-GVO, sich mit der Verschlüsselung at Rest, in Transit und in Use vertraut machen und so schnell wie möglich mit der Implementierung zu beginnen.

Zusammenfassend lässt sich festhalten, dass eine exakte Bestandaufnahme aller datenverarbeitenden Prozesse und ihrer IT-Systeme im Unternehmen die Basis aller Entscheidungen pro und contra Neuentwicklung bildet. Darauf bauen Überlegungen zu Security-by-Design-Projekten, zu ihrem Umfang, dem personellen Einsatz und den eingesetzten Methoden auf.

Die sieben Grundprinzipien von Privacy-by-Design

  1. Proaktiv, nicht reaktiv; als Vorbeugung und nicht als Abhilfe
  2. Datenschutz als Standardeinstellung
  3. Der Datenschutz ist in das Design eingebettet
  4. Volle Funktionalität – eine Positivsumme, keine Nullsumme
  5. Durchgängige Sicherheit – Schutz während des gesamten Lebenszyklus
  6. Sichtbarkeit und Transparenz – für Offenheit sorgen
  7. Die Wahrung der Privatsphäre der Nutzer – für eine nutzerzentrierte Gestaltung sorgen

Wann ist Privacy-by-Design erfüllt? (Art. 25 Abs1 DS-GVO)

Maßnahmen müssen folgende Vorgaben erfüllen:

  • den Stand der Technik
  • die Implementierungskosten
  • Art der Verarbeitung
  • den Umfang der Verarbeitung
  • die Umstände der Verarbeitung
  • die Zwecke der Verarbeitung
  • mit der Verarbeitung verbundene Risiken für die Rechte und Freiheiten natürlicher Personen, unter Betrachtung der Eintrittswahrscheinlichkeit und Schwere (Schadenshöhe/Schadensintensität), die darauf ausgelegt sind,
    • die Datenschutzgrundsätze wie zum Beispiel Datenminimierung wirksam umzusetzen und
    • die notwendigen Garantien in die Verarbeitung aufzunehmen,
    • um den Anforderungen dieser Verordnung zu genügen und
    • die Rechte der betroffenen Personen zu schützen.

Privacy-by-Default (Art. 25 Abs2 DS-GVO)

Datenschutz durch datenschutzfreundliche Voreinstellungen

  • Insbesondere Schutz von wenig technikaffinen Nutzern, die nicht geneigt sind, die datenschutzrechtlichen Einstellungen ihren Wünschen entsprechend anzupassen – è„Privacy Paradox“
  • Konkretisierung von Privacy-by-Design

Wann ist Privacy-by-Default erfüllt? (Art. 25 Abs2 DS-GVO)

Pflicht zum Datenschutz durch Voreinstellung ist erfüllt, wenn

  1. der Verantwortliche geeignete technisch-organisatorische Maßnahmen trifft, die sicherstellen, dass grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Das wäre unter anderem die Durchsetzung des Gewährleistungsziels der Zweckbindung, bezogen auf
    • die Menge der erhobenen personenbezogenen Daten,
    • den Umfang ihrer Verarbeitung,
    • ihre Speicherfrist und
    • ihre Zugänglichkeit.
  2. sichergestellt wird, dass Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. (Satz 3)

Beispiele für Maßnahmen:

  • die Minimierung der Verarbeitung personenbezogener Daten
  • eine frühestmögliche Pseudonymisierung
  • die Herstellung der Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten,
    • um Betroffenen zu ermöglichen, die Verarbeitung personenbezogener Daten zu überwachen und
    • um den Verantwortlichen in die Lage zu versetzen, Sicherheitsfunktionen zu schaffen und zu verbessern.

Datenschutz by-Design & by-Default

  • Kommt mit der EU-Datenschutz-Grundverordnung (Art. 25)
  • Richtet sich primär an Datenverarbeiter, das heißt an Verantwortliche und Auftragsverarbeiter
  • Richtet sich nur indirekt an Hersteller von IT-Systemen
  • Ziel: Gestaltung von Systemen und Diensten von Anfang an über den gesamten Lebenszyklus
    • datensparsam
    • mit möglichst datenschutzfreundlichen Voreinstellungen

Datenschutz by-Design & by-Default (gemäß Erwägungsgrund 78 DS-GVO)

  • Nachweis durch interne Strategien sowie technische- und organisatorische Maßnahmen
    • Datenminimierung
    • Schnellstmögliche Pseudonymisierung
    • Transparenz in Bezug auf Funktionen und Verarbeitung
    • Ermöglichung der Überwachung der Verarbeitung durch die betroffenen Personen
    • Ermöglichung für Sicherheitsfunktionen on Top durch Verantwortlichen
  • Ermutigung für Hersteller
  • Berücksichtigung in öffentlichen Ausschreibungen

Pierre Gronau

Pierre Gronau ist seit über 25 Jahren für namhafte Unternehmen als Senior IT-Berater mit umfangreicher Projekterfahrung tätig. Zu seinen Kompetenzfeldern gehören Server-Virtualisierungen, IT-Sicherheit, moderne Cloud- und Automationslösungen sowie Informationsschutz.

 

 

Pierre Gronau


Pierre Gronau ist seit über 25 Jahren für namhafte Unternehmen als Senior IT-Berater mit umfangreicher Projekterfahrung tätig. Zu seinen Kompetenzfeldern gehören Server-Virtualisierungen, IT-Sicherheit moderne Cloud- und Automationslösungen sowie Informationsschutz.

Leave a Reply