Datenschutz integer und transparent prüfen

Die wesentliche Regel deutscher Datenschutzgesetze ist einfach: Niemand - auch kein IT-System - darf personenbezogene Daten verarbeiten. Alle Ausnahmen müssen durch Gesetze und Einwilligungen gut begründet geregelt sein. Komplex wird Datenschutz dann, wenn Verbotsnormen gegen Erlaubnisnormen abzuwägen sind und das Ergebnis auf die konkrete Datenverarbeitungspraxis anzuwenden ist.

Die Datenschutzaufsicht sieht sich häufig der Kritik ausgesetzt, dass die Kriterien für Prüfungen unklar sind. Was folgt beispielsweise aus der Forderung, dass Daten vertraulich zu bearbeiten sind und daraus abgeleitet wird, dass eine Datenverarbeitung getrennt von der Datenverarbeitung eines anderen Verfahrens zu erfolgen hat? Reicht zur Sicherstellung der "Trennung" eine Betriebsvereinbarung, die Mitarbeitern den unbefugten Zugriff auf zugreifbare Daten verbietet? Der Kaufmann nickt, denn das wäre die billigste Lösung. Oder ist eine physische Trennung angemessener als eine Mandantentrennung? Ist eine Virtualisierung eine "physische Trennung"? Oder bedeutet "physische Trennung" den Betrieb unterschiedlicher Hardware, am besten in einem anderen Serverraum, der von einem anderen Administratorenteam betreut wird, der vielleicht sogar in einem anderen Rechenzentrum eines anderen Bundeslands betrieben wird?

Beide Seiten - sowohl betroffene Personen als auch die Organisationen - haben einen Anspruch darauf, dass Datenschutzanforderungen und deren Überprüfungen ihrerseits den Anforderungen beispielsweise an Transparenz und Integrität genügen, die sie unter anderem an Verwaltungen und Unternehmen stellen. Nur reaktiv-rechtliche Prüfungen oder selbstgebastelte Checklisten von Datenschützern, die aus der Verwaltung stammen und deren Know-how in Bezug auf moderne Datenverarbeitung nicht einschätzbar ist, erfüllen diese Anforderungen jedenfalls nicht (mehr).

Operativer Datenschutz ist nicht nur Informationssicherheit

Datenschutzprüfungen lehnen sich zunehmend an den BSI-Grundschutz an - flankiert von einem Sicherheitsmanagement. Das ist deshalb zu begrüßen, weil es Datenschutz ohne Maßnahmen und Mechanismen der Datensicherheit nicht geben kann und ein standardisiertes Prüfmodell für alle Beteiligten Erwartbarkeit erzeugt. Um jedoch den spezifischen Anforderungen des Datenschutzes zu genügen, sind bestimmte Veränderungen an dem Grundschutzmodell vonnöten:

1. Der Schutzziele-Kanon der Sicherung der "Verfügbarkeit, Integrität und Vertraulichkeit" ist mit weiteren, spezifischen Schutzzielen des Datenschutzes zu ergänzen.

2. Die Schutzbedarfsdefinitionen sind aus der Betroffenenperspektive zu formulieren.

3. Der Personenbezug ist auf Verfahren zu beziehen und umfasst Daten, Systeme und Prozesse.

Diese Veränderungen gegenüber konventionellem Grundschutz führen zu einer inhaltlich und systematisch gebotenen Distanzierung von Grundschutz und Datenschutz, so dass sich auch die Maßnahmen, die der Informationssicherheit dienen und deren Controlling beim IT-Sicherheitsbeauftragten liegt, aus Datenschutzsicht beurteilen lassen.

Datenschutz-Kontrolle

Ob eine Organisation ihre personenbezogenen Verfahren korrekt und sicher anwendet, muss jederzeit in fachlicher Unabhängigkeit prüffähig sein. Drei Parteien haben spezifische Prüfinteressen:

1. die Organisation selber,

2. die betroffenen Personen,

3. die Datenschutzaufsicht, die die Betroffenenrechte in generalisierter Form sowie das gesamtgesellschaftliche Interesse vertritt (Erhalt von Gewaltenteilung, Erhalt des Marktes, Diskursfreiheit).

Wie jede Kontrolle besteht auch eine Datenschutzprüfung aus dem Abgleich von Ist- mit Soll-Werten. Die Aufgabe eines standardisierten Datenschutzprüfmodells liegt deshalb darin, ein Schema und eine Methode zu vermitteln, mit dem sowohl die Soll- als auch die Ist-Werte erzeugt bzw. ermittelt werden können. Im besten Falle fügen sich Datenschutzprüfungen dabei, als Bestandteil eines Datenschutzmanagements, in die modernen Steuerungs- und Controlling-Architekturen von Organisationen ein. Sie befinden sich damit strukturell auf Augenhöhe mit "Industriestandards" wie dem BSI-Grundschutz, ITIL und CoBIT oder auch dem Risiko- und Sicherheitsmanagement gemäß NIST und ISO27001.

Schutzziele

Aus Datenschutzperspektive muss eine Organisation dem Betroffenen gegenüber nachweisen, dass die Organisation vertrauenswürdig ist. Diese Anforderung an eine Operationalisierung von Vertrauenswürdigkeit wird in der aktuellen Datenschutzdiskussion unter dem Schlagwort der "Neuen Schutzziele" diskutiert. Die folgenden Schutzziele und deren wesentlichen Maßnahmen zur Umsetzung sind identifiziert:

1. Die Sicherung der Verfügbarkeit zielt darauf ab, dass ein Verfahren bzw. eine Dienstleistung zeitgerecht zur Verfügung steht und ordnungsgemäß angewendet werden kann. Eine wesentliche Schutzmaßnahme ist die redundante Auslegung von Datenbeständen, Systemen und Prozessen.

2. Die Sicherung von Vertraulichkeit zielt darauf ab, dass nur befugt auf Verfahren zugegriffen werden kann. Die Umsetzung geschieht durch die Abschottung von Systemen und Prozessen und Rollentrennungen sowie der Verschlüsselung von Daten und Kommunikationen.

3. Die Sicherung der Integrität zielt darauf ab, dass Verfahren unversehrt, zurechenbar und vollständig bleiben. Das bedeutet: Bei Daten werden Hash-Werte und bei Prozessen Soll-/Ist-Zustände verglichen.

4. Die Sicherung der Transparenz zielt darauf ab, dass ein Verfahren mit Personenbezug mit zumutbarem Aufwand nachvollzogen, überprüft und bewertet werden kann. Deshalb sind die Komponenten eines Verfahrens vollständig zu dokumentieren und Abläufe zu protokollieren sowie zu auditieren.

5. Die Sicherung der Intervenierbarkeit zielt darauf ab, dass Betroffene die ihnen zustehenden Rechte in Verfahren wirksam durchsetzen können. Dazu muss Betroffenen unmittelbar Zugriff auf deren Daten und Prozesse gewährt werden. Darüber hinaus müssen Organisationen generell über ein gesteuertes Changemanagement verfügen. Sie haben die Datenschutzprozesse in ihre Prozess-Frameworks wie beispielsweise ITIL oder CoBIT sowie ihr IT-Sicherheitsmanagement zu integrieren.

6. Die Sicherung der Nichtverkettbarkeit zielt darauf ab, dass personenbezogene Verfahren nicht oder nur mit unverhältnismäßig hohem Aufwand für einen anderen als den ausgewiesenen Zweck erhoben, verarbeitet und genutzt werden können. Die Umsetzung gelingt durch Anonymisierungs- und Pseudonymisierungsverfahren.

Diese Ziele vermitteln gesetzliche und technische Normen mit konkreten Regelungsgrößen für Prozesse und technische Schutzmaßnahmen. Die Schutzziele des Datenschutzes machen den wechselseitigen Bezug von Sein und Sollen für Juristen, Techniker, Organisatoren und Betriebswirte anhand konkreter Maßnahmen zur Umsetzung der Ziele kalkulierbar. Dies geschieht, ohne dass eine der vier Professionen die anderen dominiert.

Schutzbedarf

Die Definitionen des Schutzbedarfs, mit der Abstufung in "normal, hoch, sehr hoch", müssen der spezifischen Betroffenen-Perspektive des Datenschutzes gerecht werden:

1. Die Schutzbedarfskategorie normal bedeutet, dass Schadensauswirkungen für den Betroffenen begrenzt und überschaubar sind. Etwaig eingetretene Schäden - wie finanzielle Verluste, Reputationseinbußen, Freiheitseinbußen, Ausschluss von Funktionsleistungen - sind für den Betroffenen relativ leicht zu heilen.

2. Die Schutzbedarfskategorie hoch ist dann angemessen gewählt, wenn die Schadensauswirkungen von einem Betroffenen als beträchtlich eingeschätzt werden. Das trifft beispielsweise zu, wenn eine von einer Organisation zugesagte Leistung wegfällt und die Gestaltung des Alltags der Betroffenen damit nachhaltig verändert wird. Sollten Energie- oder Kommunikationsunternehmen die von ihnen erbrachten Leistungen wie Strom oder Kommunikationsdienste beispielsweise nicht weiter erbringen können, wären Betroffene auf zusätzliche Hilfe angewiesen.

3. Die Schutzbedarfskategorie sehr hoch bleibt solchen Fällen vorbehalten, in denen Schadensauswirkungen ein existentiell bedrohliches, verheerend-katastrophales Ausmaß für einen Betroffenen erreichen können.

Der IT-Grundschutz konzipiert Personen, insbesondere (ehemalige) Mitarbeiterinnen und Mitarbeiter, als latente Angreifer ("Hacker") auf die Integrität einer Organisation. Deshalb müssen sich diese vor Arbeitsbeginn durch Zutrittskontrollen und Logins an ihren Rechnern authentisieren. Dagegen konzipiert Datenschutz, in perfekter Umkehrung der Sicherheitsperspektive, Organisationen als einen latenten Angreifer auf die Souveränität von Personen. Organisationen müssen deshalb etwas dafür tun, dass Personen ihnen vertrauen - nämlich zwei Schutzbedarfsfeststellungen und Risikoanalysen zu einer Gesamtrisikobewertung zusammenführen. Das bezieht sich zum einen auf die Sicherheitsperspektive der Organisation und zum anderen danach auf die Perspektive der von den Verfahrensrisiken und den Sicherheitsmaßnahmen betroffenen Personen. Beide Bewertungen sind abzuwägen, bevor angemessene Schutzmaßnahmen getroffen werden können.

Verfahrenskomponenten

Personenbezogene Verfahren bestehen heutzutage normalerweise aus drei Komponenten:

1. Daten (und spezifizierten Datenformaten),

2. IT-Systemen (und spezifizierten Schnittstellen),

3. (teil-)automatisierten Prozessen (und Funktionsdefinitionen an spezifizierten Adressen).

Die Unterscheidung ist sinnvoll, weil die Umsetzung eines Schutzziels wie beispielsweise. eine Integritätssicherung, bei Daten mit anderen Maßnahmen als bei IT-Systemen und Prozessen geschehen muss.

Arbeiten mit dem Modell

Ordnet man den beschriebenen sechs Schutzzielen, drei Schutzbedarfskategorien und drei Verfahrenskomponenten spezifische Schutzmaßnahmen zu, gelangt man zu einem Datenschutzmodell mit insgesamt 54 Referenzmaßnahmen, gegen die Verfahren geprüft werden können. Ein erster Entwurf mit Vorschlägen für 54 Datenschutz-Referenzmaßnahmen liegt vor (von Thomas Probst in "Datenschutz und Datensicherheit", Nr. 36/2012).

Der Datenschutz-Jurist wägt die Schutzziele untereinander ab. Er muss Verfügbarkeit mit Vertraulichkeit, Integrität mit Intervenierbarkeit und Transparenz mit Zweckbindung ins Verhältnis setzen. Wie wirksam eine Maßnahme ist, lässt sich über die Festsetzung des Schutzbedarfs regulieren. Damit steht das Soll-Modell für die erwartbaren Datenschutz-Schutzmaßnahmen, gegen das geprüft werden kann. Darüber hinaus sind die gesetzlichen und vertraglichen Regelungen zu sichten und zu beurteilen. Sie liegen typischerweise in Form von Dienst- und Betriebsvereinbarungen, Vertragswerken zur Auftragdatenverarbeitung sowie Einwilligungserklärungen vor. Welche Instanzen nun noch etwaig festgestellte Mängel und Fehler beheben müssen, wird durch die vorherige Klärung der Rollen bestimmt.

Der Datenschutz-Techniker erfasst zunächst die Funktionen und technischen Eigenschaften eines Verfahrens, die in der Praxis durchaus mehrere Tausend Ausprägungen umfassen können. Nach der Inventarisierung reduziert er die Zahl der Eigenschaften der Verfahrenskomponenten auf diejenigen Dimensionen, Maßnahmen und Mechanismen, die das Soll-Modell vorgibt. Die Prüfung der Technik und Organisation besteht dann darin, die festgestellten Schutzmaßnahmen und deren Ausprägungen als Ist-Werte mit den Werten aus dem Soll-Modell abzugleichen. Etwaige Differenzen im erzielten Schutzniveau lassen sich so bewerten. Sollten andere als die Referenzmaßnahmen zum Einsatz kommen, muss die verantwortliche Stelle die funktionale Äquivalenz ihrer alternativen Lösung darlegen.

Fazit

Durch das Zusammenspiel von Datenschutz-Schutzzielen mit Schutzbedarfsfeststellungen aus der Betroffenenperspektive, die jeweils auf Daten, IT-Systeme und Prozesse bezogen werden, entsteht ein Prüfrahmen mit 54 möglichen Standardschutzmaßnahmen. Dieses Modell macht allen Stakeholdern klar, was aus Datenschutzsicht in welchem Ausmaß gefordert bzw. zu tun ist. Es steigert damit die Transparenz, Qualität und Vertrauenswürdigkeit von Datenschutzprüfungen. (sh)