Die Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DSGVO) ist grund­sätz­lich tech­nik­neu­tral. Dennoch enthält sie ein paar Re­ge­lun­gen die auch, oder vor allem, im Rahmen der neuen Ar­beits­welt immer mehr an Be­deu­tung gewinnen.

1          Über­blick
Die DSGVO schreibt Prin­zi­pi­en wie Privacy by Design und by Default ver­bind­lich vor (Art. 25 DSGVO, ErwG 78). Das exis­tie­ren­de Grund­prin­zip im Da­ten­schutz­recht lautet: per­so­nen­be­zo­ge­ne Daten dürfen nicht ver­ar­bei­tet werden, es sei denn, es liegt eine Ein­wil­li­gung vor oder eine ge­setz­li­che Vor­schrift ge­stat­tet den Da­ten­um­gang. Einem Ge­rä­te­her­stel­ler ist bei­spiels­wei­se ge­setz­lich ge­stat­tet, jene per­so­nen­be­zo­ge­nen Daten des Kunden zu ver­ar­bei­ten, die für die rich­ti­ge Durch­füh­rung des Kauf­ver­tra­ges oder aber für die Er­brin­gung von Dienst­leis­tun­gen not­wen­dig sind.

2          An­for­de­run­gen
Die ge­re­gel­ten Kon­zep­te des Da­ten­schut­zes durch Tech­nik­ge­stal­tung („Privacy by Design“) und da­ten­schutz­freund­li­che Vor­ein­stel­lun­gen („Privacy by Default“) sind nicht neu. Breits in den 90er Jahren wurden sie von der In­­­for­­ma­­ti­ons­f­rei­heits- und Da­ten­schutz­be­auf­trag­ten Ann Ca­vou­ki­an (Ontario/Kanada) auf­ge­grif­fen, um das Ri­si­ko­po­ten­zi­al von Da­ten­ver­ar­bei­tungs­sys­te­men und -pro­zes­sen mittels pro­ak­ti­ver tech­ni­scher Ge­stal­tung zu vermindern.
Ein ef­fek­ti­ver Daten­schutz kann nicht nur durch eine re­ak­ti­ve ex post Be­trach­tung eines Ver­ar­bei­tungs­vor­gangs rea­li­siert werden. Die Ein­hal­tung der An­for­de­run­gen der DSGVO sind nur dann möglich, wenn tech­ni­sche Pro­zes­se ex ante, also im Vor­hin­ein, mit dem Daten­schutz in Ein­klang ge­bracht werden.
Art. 25 DSGVO ist eine reine Ver­fah­rens­vor­schrift und keine Vor­aus­set­zung für die Recht­mä­ßig­keit einer Ver­ar­bei­tung i.S.v. Art. 6 DSGVO (ein so ge­nann­ter Erlaubnistatbestand).

2.1       Privacy by Design (Art. 25 Abs. 1 DSGVO)
„Privacy by Design“ be­deu­tet „Daten­schutz durch Tech­nik­ge­stal­tung“. Der Daten­schutz ist am besten ein­zu­hal­ten, wenn er bereits bei der Ein­füh­rung eines Ver­ar­bei­tungs­vor­gangs tech­nisch in­te­griert ist. Anders for­mu­liert, der Schutz per­so­nen­be­zo­ge­ner Daten erfolgt durch das früh- und recht­zei­ti­ge Er­grei­fen tech­ni­scher und or­ga­ni­sa­to­ri­scher Maß­nah­men (TOM).
Es sind also durch den Ver­ant­wort­li­chen ge­eig­ne­te TOM zu treffen, die dafür aus­ge­legt sind, ge­setz­lich ge­for­der­te Da­ten­schutz­grund­sät­ze wirksam um­zu­set­zen und die not­wen­di­gen Ga­ran­tien in die Ver­ar­bei­tung auf­zu­neh­men, um a) ge­set­zes­kon­form zu sein und b) die Rechte der be­trof­fe­nen Person zu schützen.

2.2          Privacy by Default (Art. 25 Abs. 2 DSGVO)
„Privacy by Default“ be­deu­tet „Daten­schutz durch da­ten­schutz­freund­li­che Vor­ein­stel­lun­gen“. Die Werk­ein­stel­lun­gen sind „da­ten­schutz­freund­lich“ aus­zu­ge­stal­ten. Der Gedanke da­hin­ter ist, dass die Nutzer und deren Pri­vat­sphä­re ent­spre­chend ge­schützt sind, aber nicht aktiv ent­spre­chen­de Ein­stel­lun­gen selbst vor­neh­men müssen. Der Ver­ant­wort­li­che hat dabei si­cher­zu­stel­len, dass grund­sätz­lich nur per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet werden, deren Ver­ar­bei­tung für den je­wei­li­gen Ver­ar­bei­tungs­zweck er­for­der­lich sind (Zweck­bin­dung und Da­ten­mi­ni­mie­rung). Dies gilt eben­falls für die Rah­men­be­din­gun­gen der Ver­ar­bei­tung wie Art, Umfang, Spei­cher­fris­ten und Zugänglichkeit.
Der Absatz 2 bezieht sich haupt­säch­lich auf in­ter­net­ba­sier­te Dienste wie Online-Shops oder soziale Netz­wer­ke, bei denen durch die stan­dard­mä­ßi­ge Kon­fi­gu­ra­ti­on von Pri­­va­t­sphä­­re-Ein­s­tel­­lun­­gen si­cher­zu­stel­len ist, dass Nutzer ihre Daten nur dem Per­so­nen­kreis und nur in dem Umfang zu­gäng­lich machen, die sie vorab fest­ge­legt haben.
Es sind TOM in Form von da­ten­schutz­freund­li­chen Vor­ein­stel­lun­gen um­zu­set­zen. Es handelt sich dabei um keine Ver­pflich­tung zum Einsatz von be­stimm­ten Nut­zer­um­ge­bun­gen. Der Ge­set­zes­text macht an keiner Stelle der­ar­ti­ge, in tech­ni­sche Struk­tu­ren ein­grei­fen­de, Vor­ga­ben. Hin­ter­grund für diese Vor­ein­stel­lung ist, das Horten von Daten in Form eines „Data Warehousing“ zu ver­mei­den. Ei­gent­lich ergibt sich das bereits aus den Grund­sät­zen der Zweck­bin­dung und Datenminimierung.

2.3          Rechts­fol­gen und Sanktionen
Ein Verstoß gegen Art. 25 DSGVO stellt eine Ver­let­zung der or­ga­ni­sa­to­ri­schen Ver­pflich­tun­gen des Ver­ant­wort­li­chen dar. Gemäß Art. 83 Abs. 4 lit. a DSGVO ist dies buß­geld­be­wehrt und kann je Verstoß mit einer Geld­bu­ße von bis zu 10 Mio. EUR oder bis zu 2 % des welt­wei­ten Jah­res­um­sat­zes eines Un­ter­neh­mens sank­tio­niert werden.

3             Was be­deu­tet „ent­spre­chen­de Maß­nah­men“ ergreifen?
Das Gesetz macht hier keine Vor­ga­ben. Als Bei­spiel nennt Art. 25 Abs. 1 DSGVO die Pseud­ony­mi­sie­rung oder Art. 32 DSGVO die Ver­schlüs­se­lung von Daten.Weitere Maß­nah­men werden in Er­wä­gungs­grund 78 vage formuliert:

„…Solche Maß­nah­men könnten unter anderem darin be­stehen, dass die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten mi­ni­miert wird, per­so­nen­be­zo­ge­ne Daten so schnell wie möglich pseud­ony­mi­siert werden, Trans­pa­renz in Bezug auf die Funk­ti­on und die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten her­ge­stellt wird der be­trof­fe­nen Person er­mög­licht wird, die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu über­wa­chen, und der Ver­ant­wort­li­che in die Lage ver­setzt wird, Si­cher­heits­funk­tio­nen zu schaf­fen und zu verbessern….“.

Die kon­kre­ten Maß­nah­men sind auch unter dem Punkt „Stand der Technik“ und Im­ple­men­tie­rungs­kos­ten zu er­grei­fen. Art, Umfang und Zweck der Ver­ar­bei­tung sind eben­falls zu be­rück­sich­ti­gen, wie auch das Risiko der Ver­ar­bei­tung für die be­trof­fe­ne Person. Durch die For­mu­lie­rung „Maß­nah­men“, Mehr­zahl, wird klar­ge­stellt, dass nicht nur eine Maß­nah­me, sondern mehrere Maß­nah­men zu er­grei­fen sind. Eine ein­zel­ne Maß­nah­me reicht für den Schutz nicht aus, sondern ein aus­rei­chen­der Schutz kann nur durch mehrere Maß­nah­men ge­währ­leis­tet werden.
Der um­zu­set­zen­de Si­cher­heits­stan­dard ist umso höher, je in­ten­si­ver und ri­si­ko­rei­cher die mit der ge­plan­ten oder durch­ge­führ­ten Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten für die be­trof­fe­ne Person sind. Welche Maß­nah­men also aus­rei­chend sind und dem Stan­dard ent­spre­chend sind, muss der Ver­ant­wort­li­che jeweils im Zeit­punkt der Maß­nah­men­ent­schei­dung sowie fort­lau­fend re­gel­mä­ßig prüfen.

3.1          Was ist bei der Auswahl der Maß­nah­men zu berücksichtigen?

Bei der Wahl der Maß­nah­men steht dem Ver­ant­wort­li­chen ein Auswahl- und Ge­stal­tungs­er­mes­sen im Rahmen der ge­setz­li­chen Vor­ga­ben zu.

Kri­te­ri­en:
  • Stand der Technik
  • Im­ple­men­tie­rungs­kos­ten
  • Umfang, Art, Um­stän­de und Zweck der Verarbeitung
  • Ein­tritts­wahr­schein­lich­keit
  • Schwere der mit der Ver­ar­bei­tung ver­bun­de­nen Risiken für die Rechte und Frei­hei­ten na­tür­li­cher Personen.

 

3.2          Mög­li­che Maßnahmen

  • Do­ku­men­ta­ti­on Pro­zes­se und Nach­wei­se für Mo­ni­to­ring, KVP (kon­ti­nu­ier­li­cher Ver­bes­se­rungs­pro­zess), PDCA-Methode
  • Eine ein­fa­che und sehr emp­feh­lens­wer­te Maß­nah­me ist die (re­gel­mä­ßi­ge) Schu­lung der Mit­ar­bei­ter und der User (or­ga­ni­sa­to­ri­sche Maßnahmen)
  • In­te­gra­ti­on von Ver­bes­se­rungs­pro­zes­sen in das be­trieb­li­che Vorschlagswesen
  • Check­lis­te für den IT-Ad­­mi­­nis­­tra­­tor bei der Ein­rich­tung eines neuen Notebooks
  • Pseud­ony­mi­sie­rung von per­so­nen­be­zo­ge­nen Daten vor wei­te­rer Verarbeitung
  • Stan­dard­mä­ßi­ge De­ak­ti­vie­rung von Blue­tooth, Kamera- und Mi­kro­fon­funk­ti­on bei Note­books und Smartphones
  • https-Ver­­­schlüs­­se­­lung der Firmenwebseite
  • Er­stel­lung eines kryp­to­gra­phi­schen Kon­zepts (Ver­schlüs­se­lung)

 

3.2.1      Bei­spiel für eine Maß­nah­me: ‚Er­stel­lung eines kryp­to­gra­phi­schen Kon­zepts[1] zum Schutz von Daten
Be­schrei­bung einer Vor­ge­hens­wei­se wie in einer he­te­ro­ge­nen Um­ge­bung sowohl die lokal ge­spei­cher­ten Daten als auch die zu über­tra­ge­nen Daten wir­kungs­voll durch kryp­to­gra­phi­sche Ver­fah­ren und Tech­ni­ken ge­schützt werden können. Dazu wird be­schrie­ben, wie und wo in einer he­te­ro­ge­nen Um­ge­bung kryp­to­gra­phi­sche Ver­fah­ren und die ent­spre­chen­den Kom­po­nen­ten ein­ge­setzt werden können.

 Bei­spiel (Inhalt) zum Aufbau eines tech­ni­schen Kryptokonzepts:

  1. Er­fas­sung der Basisdaten 
    1. Re­fe­renz­num­mer (in­ter­nes Ordnungskriterium)
    2. Be­zeich­nung (Be­zeich­nung des kryp­to­gra­phi­schen Service)
    3. Be­schrei­bung des Ein­sat­zes (kurze Ein­satz­be­schrei­bung (Bei­spiel):
      Trans­port Layer Se­cu­ri­ty (TLS) 1.2 mit perfect forward secrecy (PFS oder FS) ist ein hy­bri­des Ver­schlüs­se­lungs­pro­to­koll zur si­che­ren Da­ten­über­tra­gung im In­ter­net. In diesem An­wen­dungs­fall dient es der si­che­ren Über­tra­gung von In­for­ma­tio­nen von den Clients (Browser) der Ser­vice­neh­men (Kunden) zum vor­ge­la­ger­ten Load­ba­lan­cer des Online-Portals und zurück, wobei ins­be­son­de­re die Ver­trau­lich­keit, die In­te­gri­tät und die Au­then­ti­zi­tät der über­tra­ge­nen Daten im Vor­der­grund stehen.)
    4. Daten (Da­ten­ar­ten)
    5. Richtlinie(n) / Tech­ni­sche Richtlinie(n) (Bei­spiels­wei­se: BSI TR-02102-2 – Ver­wen­dung von Trans­port Layer Security)
    6. Protokoll(e) (Bei­spiel: Module – TLS 1.2 mit PFS)
    7. Cipher Suites (Bei­spiel: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)   ECDH secp384r1 (eq. 7680 bits RSA) FS 256
    8. Aus­stel­len­de Cer­ti­fi­ca­te Aut­ho­ri­ty (Bei­spiel: Ext-CA – D-TRUST SSL Class 3 CA 1 EV 2009)
    9. Zer­ti­fi­kats­pro­fi­le
    10. Art des Zer­ti­fi­kats (Bei­spiel: Ex­ten­ded Validation)
    11. Ver­wen­dung des Zer­ti­fi­kats (Bei­spiel: SSL-Server-Zertifikat)
    12. Le­bens­dau­er des Zer­ti­fi­kats (Bei­spiel: Datum)
    13. Be­zeich­nung der Schlüs­sel (Bei­spiel: TLS.Webserver-Authentifikation)
    14. Einsatz von Hard­ware Se­cu­ri­ty Module(n) (HSM): Ja/Nein
  2. Ad­mi­nis­tra­ti­on und Support 
    1. Ver­ant­wort­li­cher Mit­ar­bei­ter fachlich
    2. Ver­ant­wort­li­cher Mit­ar­bei­ter technisch
  3. Er­gän­zen­de Informationen 
    1. Do­ku­ment­ka­te­go­rie (Klas­si­fi­zie­rung)
    2. Fund­or­te er­wei­ter­te In­for­ma­tio­nen (Do­ku­men­te)

 4          Nach­weis­pflicht (Ac­coun­ta­bi­li­ty)
Der Ver­ant­wort­li­che sollte zu­min­dest ein ir­gend­wie ge­ar­te­tes Da­ten­schutz­kon­zept („Data Stra­tegy“) vor­wei­sen können. Der Ver­ant­wort­li­che hat au­ßer­dem „interne Stra­te­gien“ und damit eine lang­fris­tig an­ge­leg­te Kom­bi­na­ti­on von Maß­neh­men fest­zu­le­gen, um die Ein­hal­tung der DSGVO nach­wei­sen zu können. Ein der­ar­ti­ges Konzept kann ein Un­ter­neh­men z. B. in Form von in­ter­nen Da­ten­schutz­richt­li­ni­en eta­blie­ren. Dabei sollte die Ri­si­ko­ana­ly­se, Auswahl, Fest­le­gung und Um­set­zung kon­kre­ter tech­ni­scher und or­ga­ni­sa­to­ri­sche Maß­nah­men be­han­delt werden. Des Wei­te­ren sollten Maß­ga­ben zur Do­ku­men­ta­ti­on, sys­te­ma­ti­scher Über­wa­chung (Mo­ni­to­ring), Eva­lu­ie­rung sowie An­pas­sung ein­zel­ner Maß­nah­men ent­hal­ten sein.

5          Fazit
Bei den An­for­de­run­gen aus Art. 25 DSGVO handelt es sich um extrem pra­xis­re­le­van­te Re­ge­lun­gen, die al­ler­dings keine Stan­dard­ant­wort er­lau­ben und er­mög­li­chen. Ins­be­son­de­re „Privacy by Design“ ist sehr früh zu be­rück­sich­ti­gen und ent­spre­chen­de Aus­wir­kun­gen auf das gesamte Da­ten­ver­ar­bei­tungs­sys­tem sind zu be­rück­sich­ti­gen. Der Ver­ant­wort­li­che hat sich also früh- und recht­zei­tig mit den An­for­de­run­gen zu be­fas­sen.
Ein Nach­weis über die Ein­hal­tung der oben auf­ge­führ­ten An­for­de­run­gen gemäß Art. 25 DSGVO können auch durch Zer­ti­fi­zie­run­gen im Sinne des Art. 42 DSGVO nach­ge­wie­sen werden.

 

[1] Bau­stein BSI B1.7 (Über­grei­fen­de Aspekte): Dieser Bau­stein be­schreibt eine Vor­ge­hens­wei­se, wie in einer he­te­ro­ge­nen Um­ge­bung sowohl die lokal ge­spei­cher­ten Daten als auch die zu über­tra­ge­nen Daten wir­kungs­voll durch kryp­to­gra­phi­sche Ver­fah­ren und Tech­ni­ken ge­schützt werden können. Dazu wird be­schrie­ben, wie und wo in einer he­te­ro­ge­nen Um­ge­bung kryp­to­gra­phi­sche Ver­fah­ren und die ent­spre­chen­den Kom­po­nen­ten ein­ge­setzt werden können. Da beim Einsatz kryp­to­gra­phi­scher Ver­fah­ren sehr viele kom­ple­xe Ein­fluss­fak­to­ren zu be­trach­ten sind, sollte hierfür ein Kryp­to­kon­zept er­stellt werden.

(Autorin: Regina Mühlich berät als Da­ten­schutz­be­ra­te­rin und Com­pli­ance Officer na­tio­nal und in­ter­na­tio­nal tätige mit­tel­stän­di­sche Un­ter­neh­men; Vor­stands­mit­glied Be­rufs­ver­band der Da­ten­schutz­be­auf­trag­ten Deutsch­lands (BvD) e.V.; https://www.adorgasolutions.de/regina-muehlich/)

Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns:
per E-Mail consulting@AdOrgaSolutions.de oder
Büro München +49 89 411 726 – 35 / Büro Wien +43 1 253 017- 8177.

23. April 2019

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!