Die neue europäische Datenschutzgrundverordnung DSGVO

Die EU-Datenschutzbestimmungen treten im Mai 2018 in Kraft, in vielen Organisationen stellt sich jedoch weiterhin die Frage: Was ist konkret zu tun? Was hat es mit den neuen Dokumentationspflichten auf sich? Noch mehr gedruckte Dokumentation, die niemanden interessiert? Eine IT-Dokumentation ist eine gute Basis aus der sich der Rest aufbauen lässt. IT-Abteilungen stellen ihren Fachabteilungen gerne die Möglichkeit zur Verfügung, das notwendige Verfahrensverzeichnis mit der IT-Dokumentation zu koppeln, auf diese Weise Redundanzen zu verhindern und den nötigen Aufwand überschaubar zu halten.

Bei der DSGVO geht es um den verstärkten Schutz personenbezogener Daten - und zwar EU-weit. Denn die Hand des Landesgesetzgebers reicht gerade mal bis zur Landesgrenze. Denken wir an e-Mail, das Internet und unsere täglich verwendeten “sozialen” Medien, lässt uns das schmunzeln. Selbst die nun verabschiedete Verordnung wirkt dort nicht, wo viele unserer persönlichen Daten liegen: International verstreut. Doch dafür können wir den Gesetzgeber nicht verantwortlich machen - seine Hand reicht weder weit nach Westen noch nach Osten.

Der Konsument soll Vertrauen in die europäische Datenverarbeitung haben können. Derzeit herrscht viel Verunsicherung wenn es um den Schutz persönlicher Daten geht. Damit soll nun bald Schluss sein.

Wie wird der Umgang mit Daten nachvollziehbar?

Die Kette der Datenverarbeitung, so lange diese auf europäischem Boden stattfindet, soll nachvollziehbar und qualitätsgesichert gestaltet werden. Da dies nicht mit einem “Amt für Datenhygiene” durchführbar ist, das für “saubere IT” sorgt, müssen die datenverarbeitenden Unternehmen, und das sind alle, eigenverantwortlich ihre Verfahren dokumentieren. Mit dieser Maßnahme verspricht man sich jene Transparenz und Aufmerksamkeit, die personenbezogene Daten auch verdienen.

Das Prinzip ist recht einfach: Jedes Unternehmen zeichnet für sich auf, welche Daten wie erhoben werden, wo und wie lange diese gespeichert und an wen sie weitergegeben werden. Diese Verfahrensverzeichnisse sind der Kernpunkt der Dokumentationsanforderungen. Sie werden nicht öffentlich gemacht, wie das in früheren Landesgesetzen gefordert, aber gerne ignoriert wurde. Nun werden sie jedoch überprüft und Mängel sind meldepflichtig.

Da auch hier nichts passieren wird, wenn nichts passiert, wird sowohl das Vorhandensein als auch die Korrektheit der angegebenen Informationen mit drakonischen Strafandrohungen eingemahnt. Das ist wohl das stärkste Argument für alle Firmen, sich nun mit der Thematik zu beschäftigen. Erste Abmahnungen werden bereits für Mai 2018 erwartet.

Haben wir keine anderen Sorgen?

Nahezu alle Verfahren, egal welcher Branche, sind IT-gestützt. Daten von Mitarbeitern, Interessenten und Kunden werden in mehreren IT-Systemen gespeichert, oftmals automatisiert abgeglichen und angereichert. Die Verordnung kommt zur rechten Zeit, immer mehr “Microservices” - spezialisierte IT-Services mit jeweils kleinem Funktionsumfang, im eigenen Rechenzentrum oder aus der Cloud, werden mit Daten beschickt und produzieren dabei eine Menge Artefakte und Folgedaten - die möglicherweise ohne Ablaufdatum und schlecht geschützt gelagert sind.

Denken Sie an ein Angebot, das Sie nach Eingabe Ihrer Daten auf einer Homepage automatisch in Ihrer Mailbox vorfinden - da finden sich ein gutes Dutzend IT-Services, durch die Ihre Daten geschickt wurden - und die Daten bleiben vielleicht in jedem der beteiligten Systeme gespeichert. Wer hat darauf Zugriff? Wie sind diese Daten gegen unbefugten Zugriff oder Veränderung geschützt? Wann werden sie wieder gelöscht? Derzeit: Unbekannt!

Die Verfahren mit den Datenverarbeitungssystemen und Services lückenlos zu dokumentieren ist das Ziel eines Verfahrensverzeichnisses. Und damit dieses auch mit der Realität übereinstimmt, gibt es die Rolle des Datenschutzbeauftragten, der vor allem in Klein- und Mittelbetrieben gerne durch eine externe Person besetzt wird - um Rollenkonflikte zu vermeiden.

Was hat ein Verfahrensverzeichnis mit IT-Dokumentation zu tun?

Das Führen des Verfahrensverzeichnisses ist eine klassische Datenbankanwendung. Denn für die Pflege ist nicht etwa die IT-Abteilung oder der Datenschutzbeauftragte im Unternehmen verantwortlich, sondern eben: Die Verantwortlichen für das jeweilige Verfahren. Der Vertrieb, der Einkauf, die Personalabteilung, nicht die IT! Reflexartig legt man eine neue Excel-Datei an, doch Vorsicht: Hier tut man sich mit einer dateibasierten Erhebung, Vereinheitlichung der Schreibweise und zentraler Auswertung unnötig schwer. Der Aufwand, eine eigene Datenbank zu erstellen, ist groß.

Die Rolle der IT-Abteilung beim Datenschutz

Was die IT zu den Verfahren beisteuern kann und muss, ist das Wissen über die technischen Zusammenhänge: Wie ist der Datenfluss? Welche Systeme sind an einem Verfahren beteiligt? Welche Schnittstellen gibt es? Wie sind diese abgesichert? Wie erfolgen Backups? Wie lange werden Daten vorgehalten, wann und wie gelöscht? Wer ist für welchen Teilbereich zuständig? Da es jedoch nur mehr selten “eine IT” im Unternehmen gibt, sondern deren mehrere - denken wir nur an Cloud Services - müssen auch diese dokumentiert werden. Sogenannte TOMs - technisch organisatorische Maßnahmen - müssen gegebenenfalls mit dem Hinweis auf externe Erbringer ausgestattet sein - ein zusätzliches Argument dafür, dies mit der IT-Dokumentation zu koppeln. Denn eben diese Dienstleister bzw. Service-Erbringer sind zumeist bereits in der IT-Dokumentation als Ansprechpartner mit ihren Kontaktdaten zu finden. Logisch, diese Dienstleister nun für die Aufgabe ins Boot zu holen und auch die notwendige Vereinbarung zur Auftragsdatenverarbeitung (kurz: “ADV”) abzuschließen. Denn nur so schließt sich der Kreis - wem nützt das beste Verfahren im Haus, wenn die Daten beim Dienstleister angreifbar sind?

Datenschutz ist Teamsport

Gut, wenn die IT-Abteilung bereits eine Basisdokumentation der im Unternehmen verwendeten Systeme und IT-Services hat, auf die aufgebaut werden kann. Besser noch, wenn es eine Darstellung der Zusammenhänge gibt, also Services zu Systemen, diese zu den verwendeten Datenbanken und Servern, Netzwerken bis zu den Standorten. Diese Art der Dokumentation, das Aufbauen einer CMDB, ist klassisch die Domäne der IT. Doch allein geht es nicht: An der Schnittstelle zwischen Verfahren und Systemen kann meist nur der Fachbereich wesentliches Wissen beisteuern, das sich für die IT nicht so einfach erschließt.

Die Verantwortlichen sind nun verpflichtet sich mit den Verfahren, Systemen und Daten zu beschäftigen. Und hier erklärt sich auch die Notwendigkeit der Rollentrennung: Die IT ist für Lösungen zuständig, der Fachbereich für das Verfahren.

Aufgaben des Fachbereichs

Datenexporte werden vielleicht schnell mal als Datei auf Dropbox abgelegt und im Heimbüro nachbearbeitet, Kundenumfragen werden unter Zuhilfenahme eines spezialisierten Cloud-Services durchgeführt: Der Verfahrensverantwortliche muss es herausfinden, dokumentieren und in unerwünschten Fällen ändern! Wie tatsächlich gearbeitet wird, weiß die IT in den seltensten Fällen. Im Verfahrensverzeichnis muss nachvollziehbar dokumentiert sein, wohin personenbezogene Daten gelangen. Denn bei Datenmissbrauch, egal welcher Art, haftet das Unternehmen bzw. der Verfahrensverantwortliche. Das kann eventuell auch strafrechtlich relevant werden.

Die Cloud Services

Da der Anbieter von Cloud-Services keine Einzeldokumentation über seine IT-Infrastruktur liefert, dies ist natürlich ein streng gehütetes Unternehmensgeheimnis, muss eine andere Form der Vereinbarung her, wenn wir dort Daten verarbeiten lassen - eben die Vereinbarung zur Auftragsdatenverarbeitung (ADV). Teil dieser ADV sind eben die TOMs, in denen der Betreiber/Anbieter darlegt, welche Systeme er wie schützt. Das Ganze findet in verschiedenen Kategorien statt, wie etwa Zugangskontrolle, Zugriffskontrolle, etc. Diese Vereinbarung regelt im Außenverhältnis, wie man mit Daten umgeht und, stets politisch brisant: wo sie liegen dürfen.

Da wir als Servicekonsumenten die technischen Zusammenhänge weder kennen noch überprüfen können, werden auch beim Cloud-Provider Datenschutzbeauftragte und Audit-Verfahren eingesetzt, die - genau wie im eigenen Unternehmen - die Gesetzeskonformität gewährleisten. Doch das ist nicht etwa neu - gerade bei Cloud Services ist der Industriestandard bereits weit höher als die EU-Datenschutzbestimmungen vorsehen - beispielsweise setzt das ISO27001 Zertifikat ein sehr hohes Sicherheitsniveau voraus.

Der Trick mit der Aktualisierung

Ist ein Verzeichnis erstellt, ist einem großen Teil der Verordnung genüge getan. Doch was, wenn sich etwas ändert? Hier versteckt sich ein Klassiker: Weder Fachbereich noch IT gehen aufeinander zu, wenn etwas geändert wird. Zu lange scheint das Übersetzen in die jeweils andere Fachsprache zu dauern, die Änderung ist viel schneller in den eigenen Reihen durchgeführt. Vom externen Dienstleister erwarten wir zu Recht reife Prozesse und damit einen entsprechenden Hinweis - aber wie können wir das unter Kollegen durchsetzen?

Nun, das ist wohl der Paradigmenwechsel, der nun eingeläutet wird: Bewusstsein auf beiden Seiten. Eine gute Chance bietet die gemeinsame Dokumentation von Verfahren und Systemen im gleichen Dokumentationssystem - und einem Change Management Prozess, der nun sowohl Fachbereich als auch die Zuständigen in der IT-Abteilung zusammen bringt. Wenn jede Seite ihrer Dokumentationsverantwortung nachkommt - und dazu hat uns letztlich der Gesetzgeber verpflichtet - kann das klug konfigurierte IT-Dokumenationssystem auch selbstständig auf notwendige Änderungen hinweisen - bis hin zum selbstständigen Aktualisieren von Dokumenten.

Das automatische Erstellen eines Verfahrensverzeichnisses

Von einem externen Datenschutzbeauftragten oder Auditor kann nicht erwartet werden, dass er sich durch fremde Datenbanken wühlt und so Zusammenhänge erkennt. Zwar hat diese Rolle das Recht darauf, kann auditieren wie sie will. Trotzdem wird die Übergabe der Informationen über Verfahren und notwendige Zusatzinformationen klassisch auf Papier oder zumindest elektronischem Papier stattfinden. Gut, wenn regelmäßig, am besten nach jeder Änderung, die notwendigen Dokumente aktualisiert und zentral abgelegt werden.

Geschlossene “Kette des Vertrauens”

Betroffene sollen sich darauf verlassen können, dass Unternehmen seriös mit persönlichen Daten umgehen und dass dies auch “Ende zu Ende” bis zum letzten Dienstleister in der Kette der Datenverarbeiter gewährleistet wird. Da es als Einzelperson nahezu unmöglich ist, einen Überblick über die verwendeten Systeme zu bekommen, ja selbst im eigenen Unternehmen dies oft unklar ist, musste die Beschäftigung und Dokumentation erzwungen werden. Mittelfristig wird sich damit auch ein Bewusstsein in jedem datenverarbeitenden Betrieb der EU einstellen, wie mit solchen Daten umzugehen ist. Notfalls auch mit den drakonischen Strafen, die nun angedroht und zweifelsohne auch früher oder später exekutiert werden. Es ist noch bis Mai 2018 Zeit dieses System zu errichten.

Autor: Peter Resch-Edermayr, Evangelist für synetics