von Redaktion IT-A…
Lesezeit
4 Minuten
Das Standard-Datenschutzmodell
Die Datenschutzkonferenz hat durch ihren Arbeitskreis Technik Maßnahmenkataloge zu ihrem Standard-Datenschutzmodell veröffentlicht. IT-Administrator erläutert, welche Funktionen diese Maßnahmenkataloge haben und welche Konsequenzen sich für Administratoren daraus ergeben.
Seit Ende Mai 2018 ist die Datenschutz-Grundverordnung in Kraft. An vielen Stellen sorgt sie für Unsicherheit bei der Umsetzung. Die Gründe für diese Unsicherheit sind vielfältig:
Selbstredend lassen sich Gründe für die Unsicherheit im Umgang mit Daten nicht abschließend darstellen. Ob der Bußgeldrahmen von den Aufsichtsbehörden tatsächlich in der drastischen Art angewendet werden wird, lässt sich gegenwärtig nicht prognostizieren. Realistischerweise ist jedoch davon auszugehen, dass bei schwerwiegenden Datenschutzverstößen auch tatsächlich erhebliche Bußgelder verhängt werden. Demgegenüber ist jedoch genauso davon auszugehen, dass gegenüber Unternehmen, die im Einzelfall und in Detailfragen gegen die Datenschutz-Grundverordnung verstoßen, Bußgelder nicht oder nur in sehr moderatem Rahmen verhängt werden. Die nächste Zeit wird Aufschluss darüber geben.
Unbestimmte Rechtsbegriffe sind ein Instrument des Gesetzgebers, alle denkbaren Fälle abbilden zu können. Die negative Konsequenz für die Beteiligten ist, dass diese unbestimmten Rechtsbegriffe mit Leben gefüllt werden müssen. Ein Beispiel für unbestimmte Rechtsbegriffe in der Datenschutz-Grundverordnung ist der Ausdruck angemessenes "Schutzniveau" in Art. 32 DSGVO. Der Verantwortliche der Datenverarbeitung hat Sorge zu tragen dafür, dass bei der Datenverarbeitung Datensicherheitsmaßnahmen ergriffen werden, die eben jenes angemessene Schutzniveau gewährleisten. Art. 32 DSGVO ist dabei eine Schnittmenge zwischen Datenschutz und Datensicherheit.
Datenschutz ist im Kern der Schutz der Betroffenen vor allen Datenverarbeitungsvorgängen, die der Verantwortliche bewusst und willentlich durchführt. Datensicherheit hingegen ist der Schutz der Daten vor allen Vorgängen, die gegen den Willen des Verantwortlichen passieren; dies können zum Beispiel das Ausspähen von Daten durch Cyberattacken oder der Verlust von Daten durch Blitzschlag sein. Gewährleistet wird das angemessene Schutzniveau durch die sogenannten "technischen und organisatorischen Maßnahmen", von den meisten Beteiligten liebevoll TOMs abgekürzt.
Die Datenschutz-Grundverordnung selbst sieht in Art. 32 bereits Argumente zur Abwägung vor, die zur Bestimmung der Angemessenheit des Schutzniveaus herangezogen werden:
Diese Faktoren müssen gegeneinander abgewogen werden, um zu beurteilen, ob die ergriffenen TOMs ein angemessenes Schutzniveau darstellen. Das Erreichen eines angemessenen Schutzniveaus ist deshalb so wichtig, weil es eine Zulässigkeitsvoraussetzung für den gesamten Datenverarbeitungsvorgang ist. Grundsätzlich wird für die Zulässigkeit von Datenverarbeitung ein Erlaubnistatbestand nach Art. 6 DSGVO benötigt. Ohne Erlaubnistatbestand ist jedwede Datenverarbeitung unzulässig.
Jedoch ist Datenverarbeitung auf Basis eines Erlaubnistatbestandes ebenfalls unzulässig, wenn das angemessene Schutzniveau gemäß Art. 32 DSGVO verfehlt wird. Das Ergreifen und die Umsetzung von TOMs ist keine selbständige Datenschutzpflicht, sondern Erlaubnisvoraussetzung. Wegen der enormen Wichtigkeit des angemessenen Schutzniveaus ist die Unsicherheit im Umgang mit der Abwägung entsprechend groß. Mitunter führt dies dazu, dass einige Verantwortliche übers Ziel hinausschießen und den Workflow durch TOMs nahezu torpedieren.
Standard-Datenschutzmodell
Das Standard-Datenschutzmodell (SDM) dient dazu, diese Unsicherheiten zu vermindern. Es definiert durch Veröffentlichung von Maßnahmenkatalogen standardisierte Schutzmaßnahmen. Ferner definiert das Standard-Datenschutzmodell sogenannte Gewährleistungsziele. Das sind diejenigen Ziele, deren Verwirklichung der Datenschutz durch Datenschutz-Grundverordnung und nationale Datenschutzregelungen erreichen soll. Die definierten Gewährleistungsziele sind:
Folgende Maßnahmenkataloge stehen zum Download [1] auf der Seite des Landesdatenschutzbeauftragten Mecklenburg-Vorpommern:
Jeder der Kataloge definiert, zur Umsetzung welcher Gewährleistungsziele er errichtet wurde. Im Maßnahmenkatalog "Löschen und Vernichten" ist zum Beispiel als Bezug zu Gewährleistungszielen genannt: Datensparsamkeit, Vertraulichkeit, Intervenierbarkeit und Nichtverkettung. Inhaltlich enthält der Maßnahmenkatalog eben jene TOMs, die abgestuft nach Wichtigkeit der Daten und anderen Faktoren für notwendig gehalten werden, um das angemessene Schutzniveau zu erreichen. Die Maßnahmenkataloge enthalten damit gerade keine Anleitung im Sinne eines Kochrezepts, mit welchen TOMs der Verantwortliche auf der sicheren Seite ist. Die Abwägung nach Art. 32 DSGVO muss der Verantwortliche noch immer selbst vornehmen. Der Maßnahmenkatalog bietet jedoch reichhaltige Anhaltspunkte, an denen sich die Verantwortlichen orientieren können. Gleichzeitig lässt sich der Maßnahmenkatalog verwenden wie eine Checkliste, mittels derer an alles gedacht werden kann.
Eine starke Vereinfachung für den Leser und Anwender stellt dabei die Zusammenfassung am Ende eines jeden Katalogs dar. Geordnet nach den Bereichen "Ebene Daten", "Ebene Systeme" und "Ebene Prozesse" sind, strukturell durchnummeriert, Schlagworte aufgeführt, unter denen sich die im Volltext beschriebenen TOMs kategorisieren lassen. Ebenfalls eine starke Vereinfachung stellt eine in jedem Maßnahmenkatalog enthaltene Referenzliste dar, die thematisch einschlägige Inhalte benennt, wie Kurzpapiere der Datenschutzkonferenz, Veröffentlichungen des Bundesamts für Sicherheit in der Informationstechnik oder DIN-Normen.
Herausgeber und Verbindlichkeit
Wie nach altem Recht sind auch in der DSGVO Aufsichtsbehörden vorgesehen. In Deutschland sind dies die Landes - datenschutzbeauftragten der jeweiligen Bundesländer sowie der Bundesdatenschutzbeauftragte. Um eine einheitliche Rechtsanwendung zu gewährleisten, bilden diese Aufsichtsbehörden die sogenannte Datenschutzkonferenz. Auf regelmäßigen Terminen werden dort Beschlüsse gefasst und sonstige Maßnahmen getroffen, die dem Ziel der einheitlichen Rechtsanwendung dienen. Innerhalb der Datenschutzkonferenz werden Arbeitskreise gebildet, die im Rahmen ihres Aufgabenbereichs tätig sind, indem sie, wie zum Beispiel vorliegend geschehen, durch den Arbeitskreis Technik ein Standard-Datenschutzmodell inklusive Maßnahmenkatalog veröffentlichen. Der Arbeitskreis Technik wird verantwortet durch den Landesdatenschutzbeauftragten Mecklenburg-Vorpommern.
Zwingendes Recht ist das SDM nicht. Vielmehr stellen im Datenschutz die Datenschutz- Grundverordnung, das Bundesdatenschutzgesetz und andere Gesetze und Verordnungen mit datenschutzrechtlichen Regelungen die rechtliche Grundlage dar. Jedem Verantwortlichen steht es frei, das Standard-Datenschutzmodell zu ignorieren. Gemessen werden alle Datenverarbeitungsvorgänge allein an der Datenschutz-Grundverordnung. Werden deren Vorgaben erfüllt, ohne Maßnahmen des Standard-Datenschutzmodells umzusetzen, ist die Datenverarbeitung nicht zu beanstanden.
Umgekehrt verhält es sich so, dass die Ergreifung aller Maßnahmen des Standard- Datenschutzmodells nicht zwingend zur Folge hat, dass die Datenverarbeitung legal ist im Sinne der Datenschutz-Grundverordnung. Die Veröffentlichung von Maßnahmenkatalogen durch Behörden ändert schließlich nicht die Rechtslage einer EUVerordnung. Dies ist allerdings Rechtstheorie. In der Praxis kann mit gutem Gewissen davon ausgegangen werden, dass die Umsetzung der Maßnahmenkataloge zu einer Legalität der Datenverarbeitung führt.
Fazit
Das Standard-Datenschutzmodell gibt Verantwortlichen ein sehr gutes Werkzeug an die Hand, um die eigenen TOMs zu bewerten. Zu beachten ist, dass die Datenschutzkonferenz ausdrücklich betont, nicht der Weisheit letzter Schluss zu sein. Im Gegenteil sind Verantwortliche dazu aufgerufen, ihre Erfahrungen per E-Mail an sdm@datenschutz-mv.de mit dem Baustein mitzuteilen. Es handelt sich um eine Erprobung der Maßnahmenkataloge im Feld.
Kjell Vogelsang ist Fachanwalt für IT-Recht und seit 2003 Rechtsanwalt in der Kanzlei Vogelsang Rechtsanwälte.
- Es handelt sich um eine neue Rechtsquelle, zu der keine Rechtsprechung vorliegt.
- Die Datenschutz-Grundverordnung enthält eine Vielzahl von sogenannten unbestimmten Rechtsbegriffen, deren Einhaltung im Einzelfall schwer zu beurteilen ist.
- Nicht zuletzt wird der exorbitante Bußgeldrahmen von bis zu 20.000.000 Euro bzw. bis zu vier Prozent des weltweiten Konzernjahresumsatzes als Damoklesschwert wahrgenommen, das über den Köpfen datenverarbeitender Unternehmen schwebt.
Selbstredend lassen sich Gründe für die Unsicherheit im Umgang mit Daten nicht abschließend darstellen. Ob der Bußgeldrahmen von den Aufsichtsbehörden tatsächlich in der drastischen Art angewendet werden wird, lässt sich gegenwärtig nicht prognostizieren. Realistischerweise ist jedoch davon auszugehen, dass bei schwerwiegenden Datenschutzverstößen auch tatsächlich erhebliche Bußgelder verhängt werden. Demgegenüber ist jedoch genauso davon auszugehen, dass gegenüber Unternehmen, die im Einzelfall und in Detailfragen gegen die Datenschutz-Grundverordnung verstoßen, Bußgelder nicht oder nur in sehr moderatem Rahmen verhängt werden. Die nächste Zeit wird Aufschluss darüber geben.
Unbestimmte Rechtsbegriffe sind ein Instrument des Gesetzgebers, alle denkbaren Fälle abbilden zu können. Die negative Konsequenz für die Beteiligten ist, dass diese unbestimmten Rechtsbegriffe mit Leben gefüllt werden müssen. Ein Beispiel für unbestimmte Rechtsbegriffe in der Datenschutz-Grundverordnung ist der Ausdruck angemessenes "Schutzniveau" in Art. 32 DSGVO. Der Verantwortliche der Datenverarbeitung hat Sorge zu tragen dafür, dass bei der Datenverarbeitung Datensicherheitsmaßnahmen ergriffen werden, die eben jenes angemessene Schutzniveau gewährleisten. Art. 32 DSGVO ist dabei eine Schnittmenge zwischen Datenschutz und Datensicherheit.
Datenschutz ist im Kern der Schutz der Betroffenen vor allen Datenverarbeitungsvorgängen, die der Verantwortliche bewusst und willentlich durchführt. Datensicherheit hingegen ist der Schutz der Daten vor allen Vorgängen, die gegen den Willen des Verantwortlichen passieren; dies können zum Beispiel das Ausspähen von Daten durch Cyberattacken oder der Verlust von Daten durch Blitzschlag sein. Gewährleistet wird das angemessene Schutzniveau durch die sogenannten "technischen und organisatorischen Maßnahmen", von den meisten Beteiligten liebevoll TOMs abgekürzt.
Die Datenschutz-Grundverordnung selbst sieht in Art. 32 bereits Argumente zur Abwägung vor, die zur Bestimmung der Angemessenheit des Schutzniveaus herangezogen werden:
- Stand der Technik
- Implementierungskosten
- Art, Umfang, Umstände und Zwecke der Datenverarbeitung
- Eintrittswahrscheinlichkeit von Datenschutzvorfällen
- Schwere des Risikos von Datenschutzvorfällen (also der Umfang der Rechtsverletzung)
Diese Faktoren müssen gegeneinander abgewogen werden, um zu beurteilen, ob die ergriffenen TOMs ein angemessenes Schutzniveau darstellen. Das Erreichen eines angemessenen Schutzniveaus ist deshalb so wichtig, weil es eine Zulässigkeitsvoraussetzung für den gesamten Datenverarbeitungsvorgang ist. Grundsätzlich wird für die Zulässigkeit von Datenverarbeitung ein Erlaubnistatbestand nach Art. 6 DSGVO benötigt. Ohne Erlaubnistatbestand ist jedwede Datenverarbeitung unzulässig.
Jedoch ist Datenverarbeitung auf Basis eines Erlaubnistatbestandes ebenfalls unzulässig, wenn das angemessene Schutzniveau gemäß Art. 32 DSGVO verfehlt wird. Das Ergreifen und die Umsetzung von TOMs ist keine selbständige Datenschutzpflicht, sondern Erlaubnisvoraussetzung. Wegen der enormen Wichtigkeit des angemessenen Schutzniveaus ist die Unsicherheit im Umgang mit der Abwägung entsprechend groß. Mitunter führt dies dazu, dass einige Verantwortliche übers Ziel hinausschießen und den Workflow durch TOMs nahezu torpedieren.
Standard-Datenschutzmodell
Das Standard-Datenschutzmodell (SDM) dient dazu, diese Unsicherheiten zu vermindern. Es definiert durch Veröffentlichung von Maßnahmenkatalogen standardisierte Schutzmaßnahmen. Ferner definiert das Standard-Datenschutzmodell sogenannte Gewährleistungsziele. Das sind diejenigen Ziele, deren Verwirklichung der Datenschutz durch Datenschutz-Grundverordnung und nationale Datenschutzregelungen erreichen soll. Die definierten Gewährleistungsziele sind:
- Zweckbindung
- Datenminimierung
- Berücksichtigung der Betroffenenrechte durch Nichtverkettung, Transparenz und Intervenierbarkeit
- Datensicherheit mit den weiteren Zielen Verfügbarkeit, Vertraulichkeit und Integrität. Diese Gewährleistungsziele sind der Rahmen für die veröffentlichten Maßnahmenkataloge zur Umsetzung von TOMs.
Folgende Maßnahmenkataloge stehen zum Download [1] auf der Seite des Landesdatenschutzbeauftragten Mecklenburg-Vorpommern:
- Aufbewahrung
- Planung und Spezifikation
- Dokumentation
- Protokollierung
- Trennung
- Löschen und Vernichten
- Datenschutzmanagement
Jeder der Kataloge definiert, zur Umsetzung welcher Gewährleistungsziele er errichtet wurde. Im Maßnahmenkatalog "Löschen und Vernichten" ist zum Beispiel als Bezug zu Gewährleistungszielen genannt: Datensparsamkeit, Vertraulichkeit, Intervenierbarkeit und Nichtverkettung. Inhaltlich enthält der Maßnahmenkatalog eben jene TOMs, die abgestuft nach Wichtigkeit der Daten und anderen Faktoren für notwendig gehalten werden, um das angemessene Schutzniveau zu erreichen. Die Maßnahmenkataloge enthalten damit gerade keine Anleitung im Sinne eines Kochrezepts, mit welchen TOMs der Verantwortliche auf der sicheren Seite ist. Die Abwägung nach Art. 32 DSGVO muss der Verantwortliche noch immer selbst vornehmen. Der Maßnahmenkatalog bietet jedoch reichhaltige Anhaltspunkte, an denen sich die Verantwortlichen orientieren können. Gleichzeitig lässt sich der Maßnahmenkatalog verwenden wie eine Checkliste, mittels derer an alles gedacht werden kann.
Eine starke Vereinfachung für den Leser und Anwender stellt dabei die Zusammenfassung am Ende eines jeden Katalogs dar. Geordnet nach den Bereichen "Ebene Daten", "Ebene Systeme" und "Ebene Prozesse" sind, strukturell durchnummeriert, Schlagworte aufgeführt, unter denen sich die im Volltext beschriebenen TOMs kategorisieren lassen. Ebenfalls eine starke Vereinfachung stellt eine in jedem Maßnahmenkatalog enthaltene Referenzliste dar, die thematisch einschlägige Inhalte benennt, wie Kurzpapiere der Datenschutzkonferenz, Veröffentlichungen des Bundesamts für Sicherheit in der Informationstechnik oder DIN-Normen.
Herausgeber und Verbindlichkeit
Wie nach altem Recht sind auch in der DSGVO Aufsichtsbehörden vorgesehen. In Deutschland sind dies die Landes - datenschutzbeauftragten der jeweiligen Bundesländer sowie der Bundesdatenschutzbeauftragte. Um eine einheitliche Rechtsanwendung zu gewährleisten, bilden diese Aufsichtsbehörden die sogenannte Datenschutzkonferenz. Auf regelmäßigen Terminen werden dort Beschlüsse gefasst und sonstige Maßnahmen getroffen, die dem Ziel der einheitlichen Rechtsanwendung dienen. Innerhalb der Datenschutzkonferenz werden Arbeitskreise gebildet, die im Rahmen ihres Aufgabenbereichs tätig sind, indem sie, wie zum Beispiel vorliegend geschehen, durch den Arbeitskreis Technik ein Standard-Datenschutzmodell inklusive Maßnahmenkatalog veröffentlichen. Der Arbeitskreis Technik wird verantwortet durch den Landesdatenschutzbeauftragten Mecklenburg-Vorpommern.
Zwingendes Recht ist das SDM nicht. Vielmehr stellen im Datenschutz die Datenschutz- Grundverordnung, das Bundesdatenschutzgesetz und andere Gesetze und Verordnungen mit datenschutzrechtlichen Regelungen die rechtliche Grundlage dar. Jedem Verantwortlichen steht es frei, das Standard-Datenschutzmodell zu ignorieren. Gemessen werden alle Datenverarbeitungsvorgänge allein an der Datenschutz-Grundverordnung. Werden deren Vorgaben erfüllt, ohne Maßnahmen des Standard-Datenschutzmodells umzusetzen, ist die Datenverarbeitung nicht zu beanstanden.
Umgekehrt verhält es sich so, dass die Ergreifung aller Maßnahmen des Standard- Datenschutzmodells nicht zwingend zur Folge hat, dass die Datenverarbeitung legal ist im Sinne der Datenschutz-Grundverordnung. Die Veröffentlichung von Maßnahmenkatalogen durch Behörden ändert schließlich nicht die Rechtslage einer EUVerordnung. Dies ist allerdings Rechtstheorie. In der Praxis kann mit gutem Gewissen davon ausgegangen werden, dass die Umsetzung der Maßnahmenkataloge zu einer Legalität der Datenverarbeitung führt.
Fazit
Das Standard-Datenschutzmodell gibt Verantwortlichen ein sehr gutes Werkzeug an die Hand, um die eigenen TOMs zu bewerten. Zu beachten ist, dass die Datenschutzkonferenz ausdrücklich betont, nicht der Weisheit letzter Schluss zu sein. Im Gegenteil sind Verantwortliche dazu aufgerufen, ihre Erfahrungen per E-Mail an sdm@datenschutz-mv.de mit dem Baustein mitzuteilen. Es handelt sich um eine Erprobung der Maßnahmenkataloge im Feld.
Kjell Vogelsang ist Fachanwalt für IT-Recht und seit 2003 Rechtsanwalt in der Kanzlei Vogelsang Rechtsanwälte.
Weitere Infos:
[1] https://www.datenschutz-mv.de/datenschutz/datenschutzmodell/
