Recht

Das Standard-Datenschutzmodell

Die Datenschutzkonferenz hat durch ihren Arbeitskreis Technik Maßnahmenkataloge zu ihrem Standard-Datenschutzmodell veröffentlicht. IT-Administrator erläutert, welche Funktionen diese Maßnahmenkataloge haben und welche Konsequenzen sich für Administratoren daraus ergeben.
Das Standard-Datenschutzmodell ist ein sehr gutes Werkzeug, um die eigenen Maßnahmen zu bewerten.
Seit Ende Mai 2018 ist die Datenschutz-Grundverordnung in Kraft. An vielen Stellen sorgt sie für Unsicherheit bei der Umsetzung. Die Gründe für diese Unsicherheit sind vielfältig:
  • Es handelt sich um eine neue Rechtsquelle, zu der keine Rechtsprechung vorliegt.
  • Die Datenschutz-Grundverordnung enthält eine Vielzahl von sogenannten unbestimmten Rechtsbegriffen, deren Einhaltung im Einzelfall schwer zu beurteilen ist.
  • Nicht zuletzt wird der exorbitante Bußgeldrahmen von bis zu 20.000.000 Euro bzw. bis zu vier Prozent des weltweiten Konzernjahresumsatzes als Damoklesschwert wahrgenommen, das über den Köpfen datenverarbeitender Unternehmen schwebt.

Selbstredend lassen sich Gründe für die Unsicherheit im Umgang mit Daten nicht abschließend darstellen. Ob der Bußgeldrahmen von den Aufsichtsbehörden tatsächlich in der drastischen Art angewendet werden wird, lässt sich gegenwärtig nicht prognostizieren. Realistischerweise ist jedoch davon auszugehen, dass bei schwerwiegenden Datenschutzverstößen auch tatsächlich erhebliche Bußgelder verhängt werden. Demgegenüber ist jedoch genauso davon auszugehen, dass gegenüber Unternehmen, die im Einzelfall und in Detailfragen gegen die Datenschutz-Grundverordnung verstoßen, Bußgelder nicht oder nur in sehr moderatem Rahmen verhängt werden. Die nächste Zeit wird Aufschluss darüber geben.

Unbestimmte Rechtsbegriffe sind ein Instrument des Gesetzgebers, alle denkbaren Fälle abbilden zu können. Die negative Konsequenz für die Beteiligten ist, dass diese unbestimmten Rechtsbegriffe mit Leben gefüllt werden müssen. Ein Beispiel für unbestimmte Rechtsbegriffe in der Datenschutz-Grundverordnung ist der Ausdruck angemessenes "Schutzniveau" in Art. 32 DSGVO. Der Verantwortliche der Datenverarbeitung hat Sorge zu tragen dafür, dass bei der Datenverarbeitung Datensicherheitsmaßnahmen ergriffen werden, die eben jenes angemessene Schutzniveau gewährleisten. Art. 32 DSGVO ist dabei eine Schnittmenge zwischen Datenschutz und Datensicherheit.

Datenschutz ist im Kern der Schutz der Betroffenen vor allen Datenverarbeitungsvorgängen, die der Verantwortliche bewusst und willentlich durchführt. Datensicherheit hingegen ist der Schutz der Daten vor allen Vorgängen, die gegen den Willen des Verantwortlichen passieren; dies können zum Beispiel das Ausspähen von Daten durch Cyberattacken oder der Verlust von Daten durch Blitzschlag sein. Gewährleistet wird das angemessene Schutzniveau durch die sogenannten "technischen und organisatorischen Maßnahmen", von den meisten Beteiligten liebevoll TOMs abgekürzt.

Die Datenschutz-Grundverordnung selbst sieht in Art. 32 bereits Argumente zur Abwägung vor, die zur Bestimmung der Angemessenheit des Schutzniveaus herangezogen werden:
  • Stand der Technik
  • Implementierungskosten
  • Art, Umfang, Umstände und Zwecke der Datenverarbeitung
  • Eintrittswahrscheinlichkeit von Datenschutzvorfällen
  • Schwere des Risikos von Datenschutzvorfällen (also der Umfang der Rechtsverletzung)

Diese Faktoren müssen gegeneinander abgewogen werden, um zu beurteilen, ob die ergriffenen TOMs ein angemessenes Schutzniveau darstellen. Das Erreichen eines angemessenen Schutzniveaus ist deshalb so wichtig, weil es eine Zulässigkeitsvoraussetzung für den gesamten Datenverarbeitungsvorgang ist. Grundsätzlich wird für die Zulässigkeit von Datenverarbeitung ein Erlaubnistatbestand nach Art. 6 DSGVO benötigt. Ohne Erlaubnistatbestand ist jedwede Datenverarbeitung unzulässig.

Jedoch ist Datenverarbeitung auf Basis eines Erlaubnistatbestandes ebenfalls unzulässig, wenn das angemessene Schutzniveau gemäß Art. 32 DSGVO verfehlt wird. Das Ergreifen und die Umsetzung von TOMs ist keine selbständige Datenschutzpflicht, sondern Erlaubnisvoraussetzung. Wegen der enormen Wichtigkeit des angemessenen Schutzniveaus ist die Unsicherheit im Umgang mit der Abwägung entsprechend groß. Mitunter führt dies dazu, dass einige Verantwortliche übers Ziel hinausschießen und den Workflow durch TOMs nahezu torpedieren.

Standard-Datenschutzmodell
Das Standard-Datenschutzmodell (SDM) dient dazu, diese Unsicherheiten zu vermindern. Es definiert durch Veröffentlichung von Maßnahmenkatalogen standardisierte Schutzmaßnahmen. Ferner definiert das Standard-Datenschutzmodell sogenannte Gewährleistungsziele. Das sind diejenigen Ziele, deren Verwirklichung der Datenschutz durch Datenschutz-Grundverordnung und nationale Datenschutzregelungen erreichen soll. Die definierten Gewährleistungsziele sind:
  • Zweckbindung
  • Datenminimierung
  • Berücksichtigung der Betroffenenrechte durch Nichtverkettung, Transparenz und Intervenierbarkeit
  • Datensicherheit mit den weiteren Zielen Verfügbarkeit, Vertraulichkeit und Integrität. Diese Gewährleistungsziele sind der Rahmen für die veröffentlichten Maßnahmenkataloge zur Umsetzung von TOMs.

Folgende Maßnahmenkataloge stehen zum Download [1] auf der Seite des Landesdatenschutzbeauftragten Mecklenburg-Vorpommern:
  • Aufbewahrung
  • Planung und Spezifikation
  • Dokumentation
  • Protokollierung
  • Trennung
  • Löschen und Vernichten
  • Datenschutzmanagement

Jeder der Kataloge definiert, zur Umsetzung welcher Gewährleistungsziele er errichtet wurde. Im Maßnahmenkatalog "Löschen und Vernichten" ist zum Beispiel als Bezug zu Gewährleistungszielen genannt: Datensparsamkeit, Vertraulichkeit, Intervenierbarkeit und Nichtverkettung. Inhaltlich enthält der Maßnahmenkatalog eben jene TOMs, die abgestuft nach Wichtigkeit der Daten und anderen Faktoren für notwendig gehalten werden, um das angemessene Schutzniveau zu erreichen. Die Maßnahmenkataloge enthalten damit gerade keine Anleitung im Sinne eines Kochrezepts, mit welchen TOMs der Verantwortliche auf der sicheren Seite ist. Die Abwägung nach Art. 32 DSGVO muss der Verantwortliche noch immer selbst vornehmen. Der Maßnahmenkatalog bietet jedoch reichhaltige Anhaltspunkte, an denen sich die Verantwortlichen orientieren können. Gleichzeitig lässt sich der Maßnahmenkatalog verwenden wie eine Checkliste, mittels derer an alles gedacht werden kann.

Eine starke Vereinfachung für den Leser und Anwender stellt dabei die Zusammenfassung am Ende eines jeden Katalogs dar. Geordnet nach den Bereichen "Ebene Daten", "Ebene Systeme" und "Ebene Prozesse" sind, strukturell durchnummeriert, Schlagworte aufgeführt, unter denen sich die im Volltext beschriebenen TOMs kategorisieren lassen. Ebenfalls eine starke Vereinfachung stellt eine in jedem Maßnahmenkatalog enthaltene Referenzliste dar, die thematisch einschlägige Inhalte benennt, wie Kurzpapiere der Datenschutzkonferenz, Veröffentlichungen des Bundesamts für Sicherheit in der Informationstechnik oder DIN-Normen.

Herausgeber und Verbindlichkeit
Wie nach altem Recht sind auch in der DSGVO Aufsichtsbehörden vorgesehen. In Deutschland sind dies die Landes - datenschutzbeauftragten der jeweiligen Bundesländer sowie der Bundesdatenschutzbeauftragte. Um eine einheitliche Rechtsanwendung zu gewährleisten, bilden diese Aufsichtsbehörden die sogenannte Datenschutzkonferenz. Auf regelmäßigen Terminen werden dort Beschlüsse gefasst und sonstige Maßnahmen getroffen, die dem Ziel der einheitlichen Rechtsanwendung dienen. Innerhalb der Datenschutzkonferenz werden Arbeitskreise gebildet, die im Rahmen ihres Aufgabenbereichs tätig sind, indem sie, wie zum Beispiel vorliegend geschehen, durch den Arbeitskreis Technik ein Standard-Datenschutzmodell inklusive Maßnahmenkatalog veröffentlichen. Der Arbeitskreis Technik wird verantwortet durch den Landesdatenschutzbeauftragten Mecklenburg-Vorpommern.

Zwingendes Recht ist das SDM nicht. Vielmehr stellen im Datenschutz die Datenschutz- Grundverordnung, das Bundesdatenschutzgesetz und andere Gesetze und Verordnungen mit datenschutzrechtlichen Regelungen die rechtliche Grundlage dar. Jedem Verantwortlichen steht es frei, das Standard-Datenschutzmodell zu ignorieren. Gemessen werden alle Datenverarbeitungsvorgänge allein an der Datenschutz-Grundverordnung. Werden deren Vorgaben erfüllt, ohne Maßnahmen des Standard-Datenschutzmodells umzusetzen, ist die Datenverarbeitung nicht zu beanstanden.

Umgekehrt verhält es sich so, dass die Ergreifung aller Maßnahmen des Standard- Datenschutzmodells nicht zwingend zur Folge hat, dass die Datenverarbeitung legal ist im Sinne der Datenschutz-Grundverordnung. Die Veröffentlichung von Maßnahmenkatalogen durch Behörden ändert schließlich nicht die Rechtslage einer EUVerordnung. Dies ist allerdings Rechtstheorie. In der Praxis kann mit gutem Gewissen davon ausgegangen werden, dass die Umsetzung der Maßnahmenkataloge zu einer Legalität der Datenverarbeitung führt.

Fazit
Das Standard-Datenschutzmodell gibt Verantwortlichen ein sehr gutes Werkzeug an die Hand, um die eigenen TOMs zu bewerten. Zu beachten ist, dass die Datenschutzkonferenz ausdrücklich betont, nicht der Weisheit letzter Schluss zu sein. Im Gegenteil sind Verantwortliche dazu aufgerufen, ihre Erfahrungen per E-Mail an sdm@datenschutz-mv.de mit dem Baustein mitzuteilen. Es handelt sich um eine Erprobung der Maßnahmenkataloge im Feld.

Kjell Vogelsang ist Fachanwalt für IT-Recht und seit 2003 Rechtsanwalt in der Kanzlei Vogelsang Rechtsanwälte.
1.01.2019/Kjell Vogelsang/dr

Nachrichten

Cloudumgebungen zunehmend im Visier [1.03.2021]

Der neue Threat Trends Report des Varonis Forensik-Teams zeigt die aktuellen Bedrohungen für Unternehmen und Organisationen auf. Die Ergebnisse basieren dabei auf durchgeführten Vorfallsreaktionen, forensischen Untersuchungen und Reverse Engineering von Malware und zeigen eine große Bandbreite an Techniken und Zielen auf: So verdreifachten sich im Vergleich zum Ende des Jahres 2020 Cloudangriffe von neun auf gegenwärtig 29 Prozent. [mehr]

Heimarbeit bietet Vorteile [26.02.2021]

Laut einer aktuellen Umfrage ist Home Office auf dem Vormarsch. 46 Prozent der Befragten gaben an, dass sie bei einem Jobwechsel nur eine Stelle annehmen würden, die Heimarbeit oder flexible Arbeitsoptionen bietet. Mehr als die Hälfte wünschten sich ein gesetzlich verankertes Recht auf Home Office und Remote-Arbeit. 71 Prozent waren überzeugt, dass flexible Arbeitsmodelle auch nach der Pandemie häufiger vorkommen würden. [mehr]

Tipps & Tools

Sicherheitslücken in VMware ESXi und vSphere Client [2.03.2021]

Kürzlich wurden drei Schwachstellen in VMware ESXi und vSphere Web-Client entdeckt. Ein böswilliger Akteur mit Netzwerkzugriff auf Port 427 beziehungsweise Port 443 könnte die Sicherheitslücken nutzen, um Code auf dem vCenter-Server-Betriebssystem auszuführen oder Informationen durch eine POST-Anfrage abzugreifen. Es seien bereits Updates verfügbar, um die Schwachstellen in den betroffenen VMware-Produkten zu beheben. [mehr]

Jetzt noch buchen: "Office 365 bereitstellen und absichern" [1.03.2021]

Die Clouddienste von Office 365 vereinfachen die Bereitstellung der Office-Applikationen für die Anwender und sparen Lizenzgebühren. Doch auf den Admin kommen ganz neue Aufgaben zu, die unser dreitägiges Intensiv-Seminar "Office 365 bereitstellen und absichern" praxisnah adressiert. So widmen wir uns neben der Auswahl der geeigneten Lizenzform der Vorbereitung der Infrastruktur und zeigen die Verwaltung und Absicherung von Exchange und SharePoint Online sowie MS Teams. Für die Online-Veranstaltung im März sind nur noch zwei Plätze frei, buchen Sie daher schnell. [mehr]