Technischer und organisatorischer Datenschutz
Die Datenschutz-Grundverordnung (DSGVO) enthält vor allem in Artikel 5 und Artikel 32 die Vorgaben zur «Sicherheit der Verarbeitung». Außerdem sind weitere Vorgaben hierzu in Artikel 24, 25 sowie 36 DSGVO normiert.
- Vor Festlegung der technischen und organisatorischen Maßnahmen hat eine risikobasierte Abwägung zu erfolgen. Diese beinhaltet, dass alle möglichen Bedrohungen und Schwachstellen mit ihrer jeweiligen Eintrittswahrscheinlichkeit und der potentiellen Schwere des Schadens für die Rechte und Freiheiten betroffener Personen identifiziert werden.
- Die Prinzipien der Datenvermeidung und -sparsamkeit werden durch Artikel 25 Absatz 1 und der 2 Datenschutz-Grundverordnung konkretisiert und fordern Datenschutz durch Technikgestaltung und durch datenschutzrechtliche Voreinstellungen (Privacy by design und Privacy by default).
- Der Verantwortliche muss die technischen und organisatorischen Maßnahmen, die er getroffen hat, nachweisen und aktuell halten. Gemäß Artikel 32 Absatz 1 Buchstabe d Datenschutz-Grundverordnung muss auch die Wirksamkeit der umgesetzten technischen und organisatorischen Maßnahmen getestet und gegebenenfalls nachgesteuert werden.
- Nach der Datenschutz-Grundverordnung müssen sowohl Verantwortliche als auch Auftragsverarbeiter ein Verzeichnis führen, das alle Verarbeitungstätigkeiten mit personenbezogenen Daten enthält. Dieses Verzeichnis betrifft sämtliche, insbesondere auch nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
- Der Verantwortliche hat die technischen und organisatorischen Maßnahmen zu dokumentieren. Dies sollte im Rahmen eines Datenschutz- und Informationssicherheitskonzeptes erfolgen.
- Die öffentliche Stelle hat ein Verfahren zu etablieren, das regelmäßig die Wirksamkeit der technischen und organisatorischen Maßnahmen bewertet und evaluiert. Hierfür empfiehlt sich die Einführung eines Datenschutz-Managementsystems.
- Es wird empfohlen, das Prinzip Privacy by default bereits im Zuge der vergaberechtskonformen Ausschreibung von IT-Produkten zu beachten.
- Das Verarbeitungsverzeichnis muss die Anforderungen nach Artikel 30 Absatz 1 Datenschutz-Grundverordnung erfüllen.
Sicherheit der Verarbeitung (Artikel 32 DSGVO)
Artikel 32 DSGVO kommt eine zentrale Bedeutung zu. Demnach sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Datenschutzniveau zu gewährleisten. Die »Angemessenheit« orientiert sich dabei an dem Stand der Technik, den Implementierungskosten, der Art und dem Umfang der Umstände, dem Zweck der Verarbeitung sowie an den unterschiedlichen Eintrittswahrscheinlichkeiten und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen. Ausdrücklich aufgeführt werden als Maßnahmen in Artikel 32 Absatz 1 Buchstabe a Datenschutz-Grundverordnung lediglich Pseudonymisierung und Verschlüsselung der Daten.
Diese in Artikel 32 Absatz 1 DSGVO enthaltene Vorgabe enthält keine Aussagen, was unter dem »Stand der Technik« zu verstehen ist. Bewährt hat sich jedoch eine Interpretation, die nicht auf die Neuigkeit aus Wissenschaft und Forschung abzielt, sondern eher auf Maßnahmen abstellt, die gängig, verfügbar und ausgereift sind, in der Praxis ihre Wirksamkeit bereits nachgewiesen haben und einen beabsichtigten Sicherheitsstand ausreichend gewährleisten. Orientierung geben dazu eine Vielzahl technischer Richtlinien (TR) des Bundesamtes für die Sicherheit in der Informationstechnik (BSI), zum Beispiel hinsichtlich der Verwendung von Verschlüsselungsalgorithmen. Der Begriff »Stand der Technik« impliziert außerdem, dass es sich um eine gegenwärtige Bewertung handelt und der Stand der Technik immer wieder geprüft werden muss, um die Datensicherheit gewährleisten zu können.
Die Schutzziele werden in Artikel 32 Absatz 1 Buchstabe b DSGVO zusammengefasst. Ausdrücklich genannt werden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit. Während die ersten drei Schutzziele aus der ISO 27001 und dem BSI Grundschutz bekannt sind, bedarf das Schutzziel der Belastbarkeit mangels konkreter Vorgaben in der Datenschutz-Grundverordnung der Interpretation. Am naheliegendsten erscheint, die Belastbarkeit von Diensten und Systemen hinsichtlich ihrer Widerstandsfähigkeit auszulegen, so dass diese also auch noch »unter Last / starker Beanspruchung« funktionieren sollen, was gegebenenfalls in einem entsprechenden Notfallmanagement zu berücksichtigen wäre. Außerdem besteht gemäß Artikel 32 Absatz 1 Buchstabe c DSGVO die Forderung, dass personenbezogene Daten bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden sollen. Die Wiederherstellung der Daten muss somit regelmäßig getestet werden.
Bei der Abwägung der geeigneten Maßnahmen hat eine risikobasierte Betrachtung zu erfolgen. Diese beinhaltet, dass alle möglichen Bedrohungen und Schwachstellen mit ihrer jeweiligen Eintrittswahrscheinlichkeit und der potentiellen Schwere des Schadens für die Rechte und Freiheiten betroffener Personen identifiziert werden. Dies entspricht der Vorgehensweise im IT-Risikomanagement, bei dem aber auch Informationen betrachtet werden, die nicht personenbezogen sind. Das Ergebnis der Risikobetrachtung ist auch für die Datenschutz-Folgenabschätzung wichtig.
Um nach erfolgter Risikobemessung geeignete Maßnahmen zu identifizieren, sollte eine Schutzbedarfsfeststellung durchgeführt werden, indem der jeweilige Schutzbedarf der personenbezogenen Daten ermittelt wird. Dabei werden zunächst typische Schadensszenarien ermittelt und anschließend der Schutzbedarf für die einzelnen personenbezogenen Daten abgeleitet. Bewährt hat sich eine Einteilung in die Schutzbedarfskategorien „normal, »hoch« und »sehr hoch«.
Empfehlung: Unterstützende Orientierung kann das Standard-Datenschutzmodell (SDM) geben, das hierzu eine strukturierte Herangehensweise anbietet.
Die Verantwortung für das Ergreifen von geeigneten Maßnahmen obliegt dem Verantwortlichen gemäß Artikel 24 Absatz 1 DSGVO. Die Maßnahmen muss er nachweisen und aktuell halten. Artikel 32 Absatz 1 Buchstabe d DSGVO sieht dahingehend vor, dass die Wirksamkeit der umgesetzten technischen und organisatorischen Maßnahmen getestet wird. Dabei muss der Verantwortliche bzw. Auftragsverarbeiter ein Verfahren etablieren, das regelmäßig die Wirksamkeit der Maßnahmen bewertet und evaluiert.
Datenschutz durch Technikgestaltung und durch datenschutzrechtliche Voreinstellungen (Artikel 25 DSGVO)
Das Prinzip der Datenvermeidung und Datensparsamkeit ist in der Datenschutz-Grundverordnung verankert. Mit der Einführung des »Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen« (Artikel 25 Datenschutz-Grundverordnung) werden ausdrücklich Anforderungen an die Entwicklung und Implementierung von IT-Produkten gestellt, um eine wirksame Umsetzung dieser Datenschutzgrundsätze zu erreichen. Damit wird dem Gedanken Rechnung getragen, dass sich Datenschutzverstöße von vornherein vermeiden lassen, wenn die Belange des Datenschutzes bereits im Entwicklungsprozess produktseitig aufgenommen werden. Artikel 25 Datenschutz-Grundverordnung richtet sich an den Verantwortlichen. Die beiden Anforderungen beinhalten im Einzelnen Folgendes:
Datenschutz und Datensicherheit sollen bereits in der Planung und Entwicklung von IT-Systemen berücksichtigt werden. Dadurch soll erreicht werden, dass die Vorgaben nach dem Datenschutz und der Datensicherheit nicht erst nach dem Bereitstellen von IT-Systemen durch teure und zeitaufwendige Anpassungen umgesetzt werden. Bereits bei der Herstellung sollten Möglichkeiten wie Deaktivierung von Funktionalitäten, Anonymisierung oder Pseudonymisierung aber auch Authentifizierung oder Verschlüsselungen berücksichtigt werden.
IT-Systeme sollen datenschutzfreundlich voreingestellt sein, so dass nur die personenbezogenen Daten verarbeitet werden, die für den verfolgten Zweck erforderlich sind. Hintergrund dieser Regelung ist, dass viele Nutzer nicht über ausreichende IT-Kenntnisse verfügen und somit keine Einstellungen zum Schutz personenbezogener Daten vornehmen können. Darüber hinaus müssen dem Nutzer Funktionen zur Verfügung gestellt werden, mit denen er die Privatsphäre betroffener Personen schützen kann (zum Beispiel Verschlüsselung).
Diese Regelungen wirken sich auf sämtliche Produkte, Systeme und Prozesse des Verantwortlichen aus. Im Gegensatz zu den oben genannten Vorgaben sind viele eingesetzte Systeme bisher in der Grundeinstellung so konzipiert, dass der Nutzer nur mit großem Aufwand eine datenschutzfreundliche Konfiguration vornehmen kann.
Empfehlung: Die datenschutzrechtlich angepasste Voreinstellung sollte bereits im Zuge der vergaberechtskonformen Ausschreibung von IT-Produkten beachtet werden.
Einführung eines Datenschutzmanagement-Systems
Um die oben beschriebenen Nachweis- und Rechenschaftspflichten zu erfüllen, empfiehlt sich ein Datenschutz-Managementsystem. Ähnlich wie bei anderen Managementsystemen (BSI-Grundschutz, ISO 27001) bietet sich hier das bewährte Verfahren nach dem PDCA-Zyklus an.
Mit diesem Verfahren soll ein kontinuierlicher Verbesserungsprozess etabliert werden. Im Rahmen dieses Verfahrens werden die technischen und organisatorischen Maßnahmen erst erdacht und geplant (»plan«), im »Kleinen Kreis« getestet (»do«), die Wirksamkeit überprüft (»check«), gegebenenfalls angepasst und dann im »Großen« eingeführt (»act«). Da es sich bei diesem Verfahren um einen Kreislauf handelt, wird sichergestellt, dass nach jeder Verbesserung der Maßnahmen stets eine erneute Überprüfung zu erfolgen hat.
Sofern das Vorgehen im Rahmen des PDCA-Zyklus ausreichend detailliert dokumentiert wird, sollte damit die durch die Datenschutz-Grundverordnung festgelegte Nachweis- und Rechenschaftspflicht gesetzeskonform umgesetzt werden können.
Durch die Implementierung des Datenschutzmanagement-Systems können die folgenden Ziele erreicht werden:
- Verringerung der Eintrittswahrscheinlichkeit für Datenschutzverstöße oder Datenpannen,
- im Falle des Eintritts eines Datenschutzverstoßes, Begrenzung des Schadens und des Risikos für die betroffenen Personen,
- Nachweis der datenschutzkonformen Umsetzung der Anforderungen der Datenschutz-Grundverordnung.
Pflicht zur Nachweisbarkeit (Dokumentationspflichten)
Grundlegendes Instrument für die Datenschutzorganisation eines Verantwortlichen ist ein Datenschutz- und Informationssicherheitskonzept. Das Datenschutzkonzept sollte gut strukturiert sein und die Aufgaben für die verschiedenen Organisationseinheiten in einem Unternehmen oder einer Organisation sauber trennen. Nur dann ist für jeden nachvollziehbar, welche Maßnahmen er für den Datenschutz zu ergreifen hat.
- Ziel und Gültigkeitsbereich
- übergreifende Leitlinie zum Datenschutz
- Festlegungen zur Verantwortlichkeit für den Datenschutz (übergreifend und in Spezialfragen), zum Beispiel Festlegung der Abteilung, des Sachgebietes etc. welches für die Verarbeitung der Daten zuständig ist, Zuständigkeit für die Bearbeitung von Beschwerden oder Auskunftsersuchen, evtl. Festlegungen zur Auftragsdatenverarbeitung, frühzeitige Einbeziehung des Datenschutzbeauftragten in die Verfahrenseinführung bzw. bereits zum Zeitpunkt der Verfahrensausschreibung
- Verhalten bei Datenschutzpannen (Meldewege, Zuständigkeiten)
- Datenschutzbeauftragter, Aufgaben usw.
- Verzeichnis von Verarbeitungstätigkeiten
- Datenschutz-Folgenabschätzungen
- Erläuterungen zum Schutzbedarf und Verfahren, um den Schutzbedarf zu bestimmen
- Maßnahmen für die Sicherheit der Verarbeitung, übergreifend und für spezielle Datenkategorien
- organisatorische Richtlinien (wie Backup, Virenschutz, Protokollierung)
- Regelungen für den Fall der Auftragsverarbeitung
- Datenschutz-Unterweisungen
- regelmäßige Datenschutz-Kontrollen und Audits
Weitere praktische Hinweise zur Erstellung von Datenschutz- und Informationssicherheitskonzepten für öffentliche Stellen sind auch im Handlungsleitfaden zum Sächsischen E-Government-Gesetz zu finden.
Verzeichnis von Verarbeitungstätigkeiten
Nach Artikel 30 DSGVO hat jeder Verantwortliche und gegebenenfalls sein Vertreter ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, zu führen. Dieses Verzeichnis hat sämtliche folgenden Angaben:
a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
b) die Zwecke der Verarbeitung;
c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO zu enthalten.
Das Verzeichnis betrifft sämtliche – auch teilweise – automatisierten Verarbeitungen sowie nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Grundsätzlich ist jeder Verantwortlicher und auch jeder Auftragsverarbeiter zur Erstellung und Führung eines solchen Verzeichnisses verpflichtet. Nur Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, müssen keine Verzeichnisse führen (Artikel 30 Absatz 5 DSGVO). Dies gilt jedoch wiederum nicht, falls
- die von ihnen vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt oder
- die Verarbeitung nicht nur gelegentlich erfolgt oder
- die Verarbeitung besondere Datenkategorien gemäß Artikel 9 Absatz 1 DSGVO (zum Beispiel Gesundheitsdaten, Daten zur Religionszugehörigkeit) oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO betrifft.
Die Pflicht zum Führen des Verarbeitungsverzeichnisses besteht bereits dann, wenn eine der genannten Bedingungen erfüllt ist (»oder«).
Dies ist in aller Regel der Fall, da es nicht (wie bei der Datenschutz-Folgenabschätzung) darauf ankommt, dass es sich voraussichtlich um ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen handelt, sondern dem Wortlaut der Vorschrift nach jedes Risiko für die Rechte und Freiheiten bezüglich der Verarbeitung ausreicht. Außerdem wird auch die Verarbeitung in den meisten Fällen nicht nur gelegentlich erfolgen. Es sollte also in der Praxis davon ausgegangen werden, dass eine Pflicht zur Führung eines Verarbeitungsverzeichnisses besteht. Die Erstellung eines vollständigen Verzeichnisses von Verarbeitungstätigkeiten ist übrigens auch im eigenen Interesse, denn es dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gemäß Artikel 5 Absatz 2 DSGVO nachweisen zu können, dass die Vorgaben aus der Datenschutz-Grundverordnung eingehalten werden (Rechenschaftspflicht).
Artikel 30 Absatz 1 Buchstabe g und Artikel 30 Absatz 2 Buchstabe d DSGVO geben vor, dass das Verzeichnis, wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO enthalten soll. Wie detailliert diese Beschreibung sein muss, lässt sich der Datenschutz-Grundverordnung nicht unmittelbar entnehmen. Jedenfalls sollte die Beschreibung der Maßnahmen nach Artikel 32 DSGVO so konkret erfolgen, dass die Sächsische Datenschutzbeauftragte eine erste Rechtmäßigkeitsüberprüfung vornehmen kann. Unterstützende Orientierung kann das Standard-Datenschutzmodell geben, das hierzu eine strukturierte Herangehensweise anbietet.
Weitere Informationen
Eine Muster-Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DSGVO finden Sie nachfolgend:
- Muster Verarbeitungsverzeichnis Verantwortlicher (*.docx, 32,16 KB)
- Muster-Verarbeitungsverzeichnis Auftragsverarbeiter (*.docx, 31,08 KB)
- Anwendungshilfe: Hinweise zum Verzeichnis von Verarbeitungstätigkeiten (PDF-Datei auf der Website der Datenschutzkonferenz)
- Kurzpapier: Verzeichnis von Verarbeitungstätigkeiten – Artikel 30 DSGVO (PDF-Datei auf der Website der Datenschutzkonferenz)