Konzept zur Umsetzung der EU-Datenschutz-Grundverordnung

Datenschutzansatz "Privacy by Design"

Rüdiger Giebichenstein ist Partner der Beratungsgesellschaft WTS in Köln. Der Diplom-Wirtschaftsinformatiker berät DAX-Konzerne und mittelständische Unternehmen in den Bereichen Risk & Compliance sowie IT Advisory. Zu seinen Themenschwerpunkten gehören u.a. IT-Compliance, Datenschutz, Information Security, IT-Risikomanagement, Cloud Computing und Qualitätsmanagement.
Eine Möglichkeit die technischen Anforderungen der kommenden EU-Datenschutz-Grundverordnung zu erfüllen ist die Implementierung des Konzepts „Privacy by Design“.

Das Thema Datenschutz und Informationssicherheit ist nicht zuletzt durch die zahlreichen Medienberichte von Datenschutzvorfällen und Cyber-Attacken auf der Agenda der Unternehmensführungen hoch priorisiert. Anfang 2015 hat im Kontext von Schutz und Sicherheit von Daten und Informationen die Europäische Agentur für Netz- und Informationssicherheit (ENISA) ihren Bericht mit Empfehlungen für die Umsetzung der kommenden EU-Datenschutz-Grundverordnung vorgelegt, wie unter anderem Unternehmen ihre Schutzmaßnahmen verbessern können.

Privacy by Design verfolgt einen auch aus anderen Standards und rechtlich-regulatorischen Regelwerken bekannten ganzheitlichen Ansatz des risikoorientierten Wirkzusammenhangs.
Privacy by Design verfolgt einen auch aus anderen Standards und rechtlich-regulatorischen Regelwerken bekannten ganzheitlichen Ansatz des risikoorientierten Wirkzusammenhangs.
Foto: Marco2811 - Fotolia.com

Gemäß Artikel 23 sollen angemessene technische und organisatorische Maßnahmen, datenschutzfördernde Technologien und datenschutzfreundliche Voreinstellungen in Zukunft von Anfang an integraler Bestandteil im Designprozess zur Entwicklung datenschutzfreundlicher Systeme und Dienstleistungen zur Verarbeitung personenbezogener Daten werden. Im Bericht "Privacy and Data Protection by Design - from policy to engineering" stellt die ENISA grundsätzlich dar, was als Stand der Technik gelten sollte, und erläutert, dass datenschutz- und sicherheitsunterstützende Vorgehensweisen und Techniken in der Entwicklung von der Praxis bislang vernachlässigt wurden.

Die ENISA hat auf Basis ihrer Analyse unterstützende Handlungsbedarfe und Hinweise herausgearbeitet, die helfen sollen, künftig besser mit den aus Sicht der ENISA vorliegenden Herausforderungen bei der Umsetzung von Datenschutz- und Sicherheitstechniken umgehen zu können. Hierzu zählen zumBeispiel:

  • Die Durchführung von Audits und Förderung der Einführung von Gütesiegeln durch politische Entscheidungsträger in Form von Anreizprogrammen.

  • Good beziehungsweise best practices für Unternehmen könnten in öffentlich geförderten Projekten in Form von konkreten Leitfäden mit Fall- und Umsetzungsbeispielen entwickelt und bereitgestellt werden.

  • Die europäischen Datenschutzbehörden könnten, wie der Parlamentsentwurf der Grundverordnung es vorsieht, anhand dessen auch den notwendigen Konsens bezüglich konkreter Anforderungen und good practices finden.

  • Implementierte Schutzmechanismen sollten sich dabei strafmildernd auswirken.

  • Weiterhin wurde bemängelt, dass viele technische Neuerungen zur Umsetzung von Datenschutztechniken zum Beispiel aus Forschungsergebnissen nicht den Weg in markttaugliche Werkzeuge finden oder gegenüber potenziellen Interessenten nicht ausreichend publiziert oder kommuniziert werden.

  • Auch die Standardisierungsgremien wie der ISO oder DIN sollten Datenschutz- und Sicherheitsaspekte künftig stärker berücksichtigen.

Geschichte des "Privacy by Design & Privacy by Default"

Die Idee des "Privacy by Design & Privacy by Default" (kurz PbD) existiert bereits seit den 1990er Jahren und wurde unter anderem von dem ehemaligen niederländischen Datenschutzbeauftragten John Borking entwickelt. Gegenständlich wurden diese Überlegungen durch die "sieben Prinzipien des PbD" der ehemaligen kanadischen Datenschutzbeauftragten Ann Cavoukian.

Was ist die Idee von PbD?

Privacy by Design verfolgt einen durchaus auch aus anderen Standards und rechtlich-regulatorischen Regelwerken (z. B. IDW PS 330, COBIT, ISO 27001) bekannten ganzheitlichen Ansatz des risikoorientierten Wirkzusammenhangs in Form eines Schichtenmodells aus:

  • Geschäftsprozessen,

  • unterstützenden IT-Systemen und Anwendungen sowie

  • physischem und technischem Design und vernetzten Infrastrukturen.

Die Grundsätze des Privacy by Design sind dabei auf alle Arten personenbezogener Informationen anwendbar. Die Umsetzungsgüte und -tiefe sowie Wirksamkeit der erforderlichen datenschutzrechtlichen Maßnahmen muss dabei dem Risikogedanken folgend der Sensibilität beziehungsweise dem Schutzbedarf der Daten über das gesamte Schichtenmodell hinweg gerecht werden.

Ziele und die sieben "Prinzipien" des PbD

Die PbD Ziele - laut Cavoukian die Gewährleistung des Datenschutzes -, die persönliche Kontrolle über die eigenen Daten sowie die Gewinnung eines nachhaltigen Wettbewerbsvorteils für Organisationen, können durch die Anwendung von 7 Grundprinzipien erreicht werden:

  • Prävention statt nachgelagerte Abhilfe

  • Datenschutz per "Default"

  • Einbettung von Datenschutz und -sicherheit im Design

  • Volle Funktionalität - eine Positivsumme, keine Nullsumme

  • Schutz über den gesamten Lebenszyklus

  • Sichtbarkeit und Transparenz

  • Respektieren der Privatsphäre der Benutzer

Das Europäische Parlament griff das Konzept des PbD 2007 erstmalig auf, mit dem Ergebnis, dass die EU-Kommission es 2012 in ihren Entwurf für die Datenschutz-Grundverordnung eingebracht hat. Bereits im aktuellen Bundesdatenschutzgesetz (BDSG) sind Anforderungen an die Datensicherheit verankert (vgl. TOMs - technisch organisatorische Maßnahmen als Anlage zu § 9) und damit rechtsverbindlich umzusetzen. Die Gebote der Datensicherheit in der Anlage zu § 9 BDSG formulieren streng genommen "nur" Anforderungen an die Datensicherheit, jedoch keine Prinzipien für PbD.

Fazit

Die kommende Datenschutz-Grundverordnung der EU verlangt "Datenschutz durch Technik". Datenschutz muss also künftig schon beim Design eines Systems berücksichtigt werden. Die neue Technik soll nicht nur mehr Sicherheit, sondern auch mehr Privatsphäre bringen.

Die betroffenen Unternehmen sind gut beraten, sich bereits jetzt mit den künftigen Datenschutz- und Sicherheitsanforderungen intensiv auseinanderzusetzen, insbesondere vor dem Hintergrund möglicher Sanktionsmaßnahmen. Hierbei empfiehlt es sich, die vielfältigen Möglichkeiten ganzheitlicher Ansätze zum Management von Datenschutz und Informationssicherheit, wie zum Beispiel ISO 27001, zu berücksichtigen, um einen strukturierten und nachhaltigen Ansatz zu etablieren. (bw)