Die Datenschutz-Grundverordnung (DSGVO) ist grundsätzlich technikneutral. Dennoch enthält sie ein paar Regelungen die auch, oder vor allem, im Rahmen der neuen Arbeitswelt immer mehr an Bedeutung gewinnen.
1 Überblick
Die DSGVO schreibt Prinzipien wie Privacy by Design und by Default verbindlich vor (Art. 25 DSGVO, ErwG 78). Das existierende Grundprinzip im Datenschutzrecht lautet: personenbezogene Daten dürfen nicht verarbeitet werden, es sei denn, es liegt eine Einwilligung vor oder eine gesetzliche Vorschrift gestattet den Datenumgang. Einem Gerätehersteller ist beispielsweise gesetzlich gestattet, jene personenbezogenen Daten des Kunden zu verarbeiten, die für die richtige Durchführung des Kaufvertrages oder aber für die Erbringung von Dienstleistungen notwendig sind.
2 Anforderungen
Die geregelten Konzepte des Datenschutzes durch Technikgestaltung („Privacy by Design“) und datenschutzfreundliche Voreinstellungen („Privacy by Default“) sind nicht neu. Breits in den 90er Jahren wurden sie von der Informationsfreiheits- und Datenschutzbeauftragten Ann Cavoukian (Ontario/Kanada) aufgegriffen, um das Risikopotenzial von Datenverarbeitungssystemen und -prozessen mittels proaktiver technischer Gestaltung zu vermindern.
Ein effektiver Datenschutz kann nicht nur durch eine reaktive ex post Betrachtung eines Verarbeitungsvorgangs realisiert werden. Die Einhaltung der Anforderungen der DSGVO sind nur dann möglich, wenn technische Prozesse ex ante, also im Vorhinein, mit dem Datenschutz in Einklang gebracht werden.
Art. 25 DSGVO ist eine reine Verfahrensvorschrift und keine Voraussetzung für die Rechtmäßigkeit einer Verarbeitung i.S.v. Art. 6 DSGVO (ein so genannter Erlaubnistatbestand).
2.1 Privacy by Design (Art. 25 Abs. 1 DSGVO)
„Privacy by Design“ bedeutet „Datenschutz durch Technikgestaltung“. Der Datenschutz ist am besten einzuhalten, wenn er bereits bei der Einführung eines Verarbeitungsvorgangs technisch integriert ist. Anders formuliert, der Schutz personenbezogener Daten erfolgt durch das früh- und rechtzeitige Ergreifen technischer und organisatorischer Maßnahmen (TOM).
Es sind also durch den Verantwortlichen geeignete TOM zu treffen, die dafür ausgelegt sind, gesetzlich geforderte Datenschutzgrundsätze wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um a) gesetzeskonform zu sein und b) die Rechte der betroffenen Person zu schützen.
2.2 Privacy by Default (Art. 25 Abs. 2 DSGVO)
„Privacy by Default“ bedeutet „Datenschutz durch datenschutzfreundliche Voreinstellungen“. Die Werkeinstellungen sind „datenschutzfreundlich“ auszugestalten. Der Gedanke dahinter ist, dass die Nutzer und deren Privatsphäre entsprechend geschützt sind, aber nicht aktiv entsprechende Einstellungen selbst vornehmen müssen. Der Verantwortliche hat dabei sicherzustellen, dass grundsätzlich nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen Verarbeitungszweck erforderlich sind (Zweckbindung und Datenminimierung). Dies gilt ebenfalls für die Rahmenbedingungen der Verarbeitung wie Art, Umfang, Speicherfristen und Zugänglichkeit.
Der Absatz 2 bezieht sich hauptsächlich auf internetbasierte Dienste wie Online-Shops oder soziale Netzwerke, bei denen durch die standardmäßige Konfiguration von Privatsphäre-Einstellungen sicherzustellen ist, dass Nutzer ihre Daten nur dem Personenkreis und nur in dem Umfang zugänglich machen, die sie vorab festgelegt haben.
Es sind TOM in Form von datenschutzfreundlichen Voreinstellungen umzusetzen. Es handelt sich dabei um keine Verpflichtung zum Einsatz von bestimmten Nutzerumgebungen. Der Gesetzestext macht an keiner Stelle derartige, in technische Strukturen eingreifende, Vorgaben. Hintergrund für diese Voreinstellung ist, das Horten von Daten in Form eines „Data Warehousing“ zu vermeiden. Eigentlich ergibt sich das bereits aus den Grundsätzen der Zweckbindung und Datenminimierung.
2.3 Rechtsfolgen und Sanktionen
Ein Verstoß gegen Art. 25 DSGVO stellt eine Verletzung der organisatorischen Verpflichtungen des Verantwortlichen dar. Gemäß Art. 83 Abs. 4 lit. a DSGVO ist dies bußgeldbewehrt und kann je Verstoß mit einer Geldbuße von bis zu 10 Mio. EUR oder bis zu 2 % des weltweiten Jahresumsatzes eines Unternehmens sanktioniert werden.
3 Was bedeutet „entsprechende Maßnahmen“ ergreifen?
Das Gesetz macht hier keine Vorgaben. Als Beispiel nennt Art. 25 Abs. 1 DSGVO die Pseudonymisierung oder Art. 32 DSGVO die Verschlüsselung von Daten.Weitere Maßnahmen werden in Erwägungsgrund 78 vage formuliert:
„…Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktion und die Verarbeitung personenbezogener Daten hergestellt wird der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern….“.
Die konkreten Maßnahmen sind auch unter dem Punkt „Stand der Technik“ und Implementierungskosten zu ergreifen. Art, Umfang und Zweck der Verarbeitung sind ebenfalls zu berücksichtigen, wie auch das Risiko der Verarbeitung für die betroffene Person. Durch die Formulierung „Maßnahmen“, Mehrzahl, wird klargestellt, dass nicht nur eine Maßnahme, sondern mehrere Maßnahmen zu ergreifen sind. Eine einzelne Maßnahme reicht für den Schutz nicht aus, sondern ein ausreichender Schutz kann nur durch mehrere Maßnahmen gewährleistet werden.
Der umzusetzende Sicherheitsstandard ist umso höher, je intensiver und risikoreicher die mit der geplanten oder durchgeführten Verarbeitung von personenbezogenen Daten für die betroffene Person sind. Welche Maßnahmen also ausreichend sind und dem Standard entsprechend sind, muss der Verantwortliche jeweils im Zeitpunkt der Maßnahmenentscheidung sowie fortlaufend regelmäßig prüfen.
3.1 Was ist bei der Auswahl der Maßnahmen zu berücksichtigen?
Bei der Wahl der Maßnahmen steht dem Verantwortlichen ein Auswahl- und Gestaltungsermessen im Rahmen der gesetzlichen Vorgaben zu.
Kriterien:
|
3.2 Mögliche Maßnahmen
- Dokumentation Prozesse und Nachweise für Monitoring, KVP (kontinuierlicher Verbesserungsprozess), PDCA-Methode
- Eine einfache und sehr empfehlenswerte Maßnahme ist die (regelmäßige) Schulung der Mitarbeiter und der User (organisatorische Maßnahmen)
- Integration von Verbesserungsprozessen in das betriebliche Vorschlagswesen
- Checkliste für den IT-Administrator bei der Einrichtung eines neuen Notebooks
- Pseudonymisierung von personenbezogenen Daten vor weiterer Verarbeitung
- Standardmäßige Deaktivierung von Bluetooth, Kamera- und Mikrofonfunktion bei Notebooks und Smartphones
- https-Verschlüsselung der Firmenwebseite
- Erstellung eines kryptographischen Konzepts (Verschlüsselung)
3.2.1 Beispiel für eine Maßnahme: ‚Erstellung eines kryptographischen Konzepts[1] zum Schutz von Daten
Beschreibung einer Vorgehensweise wie in einer heterogenen Umgebung sowohl die lokal gespeicherten Daten als auch die zu übertragenen Daten wirkungsvoll durch kryptographische Verfahren und Techniken geschützt werden können. Dazu wird beschrieben, wie und wo in einer heterogenen Umgebung kryptographische Verfahren und die entsprechenden Komponenten eingesetzt werden können.
Beispiel (Inhalt) zum Aufbau eines technischen Kryptokonzepts:
- Erfassung der Basisdaten
- Referenznummer (internes Ordnungskriterium)
- Bezeichnung (Bezeichnung des kryptographischen Service)
- Beschreibung des Einsatzes (kurze Einsatzbeschreibung (Beispiel):
Transport Layer Security (TLS) 1.2 mit perfect forward secrecy (PFS oder FS) ist ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. In diesem Anwendungsfall dient es der sicheren Übertragung von Informationen von den Clients (Browser) der Servicenehmen (Kunden) zum vorgelagerten Loadbalancer des Online-Portals und zurück, wobei insbesondere die Vertraulichkeit, die Integrität und die Authentizität der übertragenen Daten im Vordergrund stehen.) - Daten (Datenarten)
- Richtlinie(n) / Technische Richtlinie(n) (Beispielsweise: BSI TR-02102-2 – Verwendung von Transport Layer Security)
- Protokoll(e) (Beispiel: Module – TLS 1.2 mit PFS)
- Cipher Suites (Beispiel: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp384r1 (eq. 7680 bits RSA) FS 256
- Ausstellende Certificate Authority (Beispiel: Ext-CA – D-TRUST SSL Class 3 CA 1 EV 2009)
- Zertifikatsprofile
- Art des Zertifikats (Beispiel: Extended Validation)
- Verwendung des Zertifikats (Beispiel: SSL-Server-Zertifikat)
- Lebensdauer des Zertifikats (Beispiel: Datum)
- Bezeichnung der Schlüssel (Beispiel: TLS.Webserver-Authentifikation)
- Einsatz von Hardware Security Module(n) (HSM): Ja/Nein
- Administration und Support
- Verantwortlicher Mitarbeiter fachlich
- Verantwortlicher Mitarbeiter technisch
- Ergänzende Informationen
- Dokumentkategorie (Klassifizierung)
- Fundorte erweiterte Informationen (Dokumente)
4 Nachweispflicht (Accountability)
Der Verantwortliche sollte zumindest ein irgendwie geartetes Datenschutzkonzept („Data Strategy“) vorweisen können. Der Verantwortliche hat außerdem „interne Strategien“ und damit eine langfristig angelegte Kombination von Maßnehmen festzulegen, um die Einhaltung der DSGVO nachweisen zu können. Ein derartiges Konzept kann ein Unternehmen z. B. in Form von internen Datenschutzrichtlinien etablieren. Dabei sollte die Risikoanalyse, Auswahl, Festlegung und Umsetzung konkreter technischer und organisatorische Maßnahmen behandelt werden. Des Weiteren sollten Maßgaben zur Dokumentation, systematischer Überwachung (Monitoring), Evaluierung sowie Anpassung einzelner Maßnahmen enthalten sein.
5 Fazit
Bei den Anforderungen aus Art. 25 DSGVO handelt es sich um extrem praxisrelevante Regelungen, die allerdings keine Standardantwort erlauben und ermöglichen. Insbesondere „Privacy by Design“ ist sehr früh zu berücksichtigen und entsprechende Auswirkungen auf das gesamte Datenverarbeitungssystem sind zu berücksichtigen. Der Verantwortliche hat sich also früh- und rechtzeitig mit den Anforderungen zu befassen.
Ein Nachweis über die Einhaltung der oben aufgeführten Anforderungen gemäß Art. 25 DSGVO können auch durch Zertifizierungen im Sinne des Art. 42 DSGVO nachgewiesen werden.
[1] Baustein BSI B1.7 (Übergreifende Aspekte): Dieser Baustein beschreibt eine Vorgehensweise, wie in einer heterogenen Umgebung sowohl die lokal gespeicherten Daten als auch die zu übertragenen Daten wirkungsvoll durch kryptographische Verfahren und Techniken geschützt werden können. Dazu wird beschrieben, wie und wo in einer heterogenen Umgebung kryptographische Verfahren und die entsprechenden Komponenten eingesetzt werden können. Da beim Einsatz kryptographischer Verfahren sehr viele komplexe Einflussfaktoren zu betrachten sind, sollte hierfür ein Kryptokonzept erstellt werden.
(Autorin: Regina Mühlich berät als Datenschutzberaterin und Compliance Officer national und international tätige mittelständische Unternehmen; Vorstandsmitglied Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.; https://www.adorgasolutions.de/regina-muehlich/)
Wenn Sie Fragen haben, kontaktieren Sie uns:
per E-Mail consulting@AdOrgaSolutions.de oder
Büro München +49 89 411 726 – 35 / Büro Wien +43 1 253 017- 8177.
23. April 2019