Die wesentliche Regel deutscher Datenschutzgesetze ist einfach: Niemand - auch kein IT-System - darf personenbezogene Daten verarbeiten. Alle Ausnahmen müssen durch Gesetze und Einwilligungen gut begründet geregelt sein. Komplex wird Datenschutz dann, wenn Verbotsnormen gegen Erlaubnisnormen abzuwägen sind und das Ergebnis auf die konkrete Datenverarbeitungspraxis anzuwenden ist.

Die Datenschutzaufsicht sieht sich häufig der Kritik ausgesetzt, dass die Kriterien für Prüfungen unklar sind. Was folgt beispielsweise aus der Forderung, dass Daten vertraulich zu bearbeiten sind und daraus abgeleitet wird, dass eine Datenverarbeitung getrennt von der Datenverarbeitung eines anderen Verfahrens zu erfolgen hat? Reicht zur Sicherstellung der "Trennung" eine Betriebsvereinbarung, die Mitarbeitern den unbefugten Zugriff auf zugreifbare Daten verbietet? Der Kaufmann nickt, denn das wäre die billigste Lösung. Oder ist eine physische Trennung angemessener als eine Mandantentrennung? Ist eine Virtualisierung eine "physische Trennung"? Oder bedeutet "physische Trennung" den Betrieb unterschiedlicher Hardware, am besten in einem anderen Serverraum, der von einem anderen Administratorenteam betreut wird, der vielleicht sogar in einem anderen Rechenzentrum eines anderen Bundeslands betrieben wird?

Beide Seiten - sowohl betroffene Personen als auch die Organisationen - haben einen Anspruch darauf, dass Datenschutzanforderungen und deren Überprüfungen ihrerseits den Anforderungen beispielsweise an Transparenz und Integrität genügen, die sie unter anderem an Verwaltungen und Unternehmen stellen. Nur reaktiv-rechtliche Prüfungen oder selbstgebastelte Checklisten von Datenschützern, die aus der Verwaltung stammen und deren Know-how in Bezug auf moderne Datenverarbeitung nicht einschätzbar ist, erfüllen diese Anforderungen jedenfalls nicht (mehr).

Operativer Datenschutz ist nicht nur Informationssicherheit

Datenschutzprüfungen lehnen sich zunehmend an den BSI-Grundschutz an - flankiert von einem Sicherheitsmanagement. Das ist deshalb zu begrüßen, weil es Datenschutz ohne Maßnahmen und Mechanismen der Datensicherheit nicht geben kann und ein standardisiertes Prüfmodell für alle Beteiligten Erwartbarkeit erzeugt. Um jedoch den spezifischen Anforderungen des Datenschutzes zu genügen, sind bestimmte Veränderungen an dem Grundschutzmodell vonnöten:

1. Der Schutzziele-Kanon der Sicherung der "Verfügbarkeit, Integrität und Vertraulichkeit" ist mit weiteren, spezifischen Schutzzielen des Datenschutzes zu ergänzen.

2. Die Schutzbedarfsdefinitionen sind aus der Betroffenenperspektive zu formulieren.

3. Der Personenbezug ist auf Verfahren zu beziehen und umfasst Daten, Systeme und Prozesse.

Diese Veränderungen gegenüber konventionellem Grundschutz führen zu einer inhaltlich und systematisch gebotenen Distanzierung von Grundschutz und Datenschutz, so dass sich auch die Maßnahmen, die der Informationssicherheit dienen und deren Controlling beim IT-Sicherheitsbeauftragten liegt, aus Datenschutzsicht beurteilen lassen.

Datenschutz-Kontrolle

Ob eine Organisation ihre personenbezogenen Verfahren korrekt und sicher anwendet, muss jederzeit in fachlicher Unabhängigkeit prüffähig sein. Drei Parteien haben spezifische Prüfinteressen:

1. die Organisation selber,

2. die betroffenen Personen,

3. die Datenschutzaufsicht, die die Betroffenenrechte in generalisierter Form sowie das gesamtgesellschaftliche Interesse vertritt (Erhalt von Gewaltenteilung, Erhalt des Marktes, Diskursfreiheit).

Wie jede Kontrolle besteht auch eine Datenschutzprüfung aus dem Abgleich von Ist- mit Soll-Werten. Die Aufgabe eines standardisierten Datenschutzprüfmodells liegt deshalb darin, ein Schema und eine Methode zu vermitteln, mit dem sowohl die Soll- als auch die Ist-Werte erzeugt bzw. ermittelt werden können. Im besten Falle fügen sich Datenschutzprüfungen dabei, als Bestandteil eines Datenschutzmanagements, in die modernen Steuerungs- und Controlling-Architekturen von Organisationen ein. Sie befinden sich damit strukturell auf Augenhöhe mit "Industriestandards" wie dem BSI-Grundschutz, ITIL und CoBIT oder auch dem Risiko- und Sicherheitsmanagement gemäß NIST und ISO27001.

Schutzziele

Aus Datenschutzperspektive muss eine Organisation dem Betroffenen gegenüber nachweisen, dass die Organisation vertrauenswürdig ist. Diese Anforderung an eine Operationalisierung von Vertrauenswürdigkeit wird in der aktuellen Datenschutzdiskussion unter dem Schlagwort der "Neuen Schutzziele" diskutiert. Die folgenden Schutzziele und deren wesentlichen Maßnahmen zur Umsetzung sind identifiziert:

1. Die Sicherung der Verfügbarkeit zielt darauf ab, dass ein Verfahren bzw. eine Dienstleistung zeitgerecht zur Verfügung steht und ordnungsgemäß angewendet werden kann. Eine wesentliche Schutzmaßnahme ist die redundante Auslegung von Datenbeständen, Systemen und Prozessen.

2. Die Sicherung von Vertraulichkeit zielt darauf ab, dass nur befugt auf Verfahren zugegriffen werden kann. Die Umsetzung geschieht durch die Abschottung von Systemen und Prozessen und Rollentrennungen sowie der Verschlüsselung von Daten und Kommunikationen.

3. Die Sicherung der Integrität zielt darauf ab, dass Verfahren unversehrt, zurechenbar und vollständig bleiben. Das bedeutet: Bei Daten werden Hash-Werte und bei Prozessen Soll-/Ist-Zustände verglichen.

4. Die Sicherung der Transparenz zielt darauf ab, dass ein Verfahren mit Personenbezug mit zumutbarem Aufwand nachvollzogen, überprüft und bewertet werden kann. Deshalb sind die Komponenten eines Verfahrens vollständig zu dokumentieren und Abläufe zu protokollieren sowie zu auditieren.

5. Die Sicherung der Intervenierbarkeit zielt darauf ab, dass Betroffene die ihnen zustehenden Rechte in Verfahren wirksam durchsetzen können. Dazu muss Betroffenen unmittelbar Zugriff auf deren Daten und Prozesse gewährt werden. Darüber hinaus müssen Organisationen generell über ein gesteuertes Changemanagement verfügen. Sie haben die Datenschutzprozesse in ihre Prozess-Frameworks wie beispielsweise ITIL oder CoBIT sowie ihr IT-Sicherheitsmanagement zu integrieren.

6. Die Sicherung der Nichtverkettbarkeit zielt darauf ab, dass personenbezogene Verfahren nicht oder nur mit unverhältnismäßig hohem Aufwand für einen anderen als den ausgewiesenen Zweck erhoben, verarbeitet und genutzt werden können. Die Umsetzung gelingt durch Anonymisierungs- und Pseudonymisierungsverfahren.

Diese Ziele vermitteln gesetzliche und technische Normen mit konkreten Regelungsgrößen für Prozesse und technische Schutzmaßnahmen. Die Schutzziele des Datenschutzes machen den wechselseitigen Bezug von Sein und Sollen für Juristen, Techniker, Organisatoren und Betriebswirte anhand konkreter Maßnahmen zur Umsetzung der Ziele kalkulierbar. Dies geschieht, ohne dass eine der vier Professionen die anderen dominiert.