Schutzbedarf

Die Definitionen des Schutzbedarfs, mit der Abstufung in "normal, hoch, sehr hoch", müssen der spezifischen Betroffenen-Perspektive des Datenschutzes gerecht werden:

1. Die Schutzbedarfskategorie normal bedeutet, dass Schadensauswirkungen für den Betroffenen begrenzt und überschaubar sind. Etwaig eingetretene Schäden - wie finanzielle Verluste, Reputationseinbußen, Freiheitseinbußen, Ausschluss von Funktionsleistungen - sind für den Betroffenen relativ leicht zu heilen.

2. Die Schutzbedarfskategorie hoch ist dann angemessen gewählt, wenn die Schadensauswirkungen von einem Betroffenen als beträchtlich eingeschätzt werden. Das trifft beispielsweise zu, wenn eine von einer Organisation zugesagte Leistung wegfällt und die Gestaltung des Alltags der Betroffenen damit nachhaltig verändert wird. Sollten Energie- oder Kommunikationsunternehmen die von ihnen erbrachten Leistungen wie Strom oder Kommunikationsdienste beispielsweise nicht weiter erbringen können, wären Betroffene auf zusätzliche Hilfe angewiesen.

3. Die Schutzbedarfskategorie sehr hoch bleibt solchen Fällen vorbehalten, in denen Schadensauswirkungen ein existentiell bedrohliches, verheerend-katastrophales Ausmaß für einen Betroffenen erreichen können.

Der IT-Grundschutz konzipiert Personen, insbesondere (ehemalige) Mitarbeiterinnen und Mitarbeiter, als latente Angreifer ("Hacker") auf die Integrität einer Organisation. Deshalb müssen sich diese vor Arbeitsbeginn durch Zutrittskontrollen und Logins an ihren Rechnern authentisieren. Dagegen konzipiert Datenschutz, in perfekter Umkehrung der Sicherheitsperspektive, Organisationen als einen latenten Angreifer auf die Souveränität von Personen. Organisationen müssen deshalb etwas dafür tun, dass Personen ihnen vertrauen - nämlich zwei Schutzbedarfsfeststellungen und Risikoanalysen zu einer Gesamtrisikobewertung zusammenführen. Das bezieht sich zum einen auf die Sicherheitsperspektive der Organisation und zum anderen danach auf die Perspektive der von den Verfahrensrisiken und den Sicherheitsmaßnahmen betroffenen Personen. Beide Bewertungen sind abzuwägen, bevor angemessene Schutzmaßnahmen getroffen werden können.

Verfahrenskomponenten

Personenbezogene Verfahren bestehen heutzutage normalerweise aus drei Komponenten:

1. Daten (und spezifizierten Datenformaten),

2. IT-Systemen (und spezifizierten Schnittstellen),

3. (teil-)automatisierten Prozessen (und Funktionsdefinitionen an spezifizierten Adressen).

Die Unterscheidung ist sinnvoll, weil die Umsetzung eines Schutzziels wie beispielsweise. eine Integritätssicherung, bei Daten mit anderen Maßnahmen als bei IT-Systemen und Prozessen geschehen muss.

Arbeiten mit dem Modell

Ordnet man den beschriebenen sechs Schutzzielen, drei Schutzbedarfskategorien und drei Verfahrenskomponenten spezifische Schutzmaßnahmen zu, gelangt man zu einem Datenschutzmodell mit insgesamt 54 Referenzmaßnahmen, gegen die Verfahren geprüft werden können. Ein erster Entwurf mit Vorschlägen für 54 Datenschutz-Referenzmaßnahmen liegt vor (von Thomas Probst in "Datenschutz und Datensicherheit", Nr. 36/2012).

Der Datenschutz-Jurist wägt die Schutzziele untereinander ab. Er muss Verfügbarkeit mit Vertraulichkeit, Integrität mit Intervenierbarkeit und Transparenz mit Zweckbindung ins Verhältnis setzen. Wie wirksam eine Maßnahme ist, lässt sich über die Festsetzung des Schutzbedarfs regulieren. Damit steht das Soll-Modell für die erwartbaren Datenschutz-Schutzmaßnahmen, gegen das geprüft werden kann. Darüber hinaus sind die gesetzlichen und vertraglichen Regelungen zu sichten und zu beurteilen. Sie liegen typischerweise in Form von Dienst- und Betriebsvereinbarungen, Vertragswerken zur Auftragdatenverarbeitung sowie Einwilligungserklärungen vor. Welche Instanzen nun noch etwaig festgestellte Mängel und Fehler beheben müssen, wird durch die vorherige Klärung der Rollen bestimmt.

Der Datenschutz-Techniker erfasst zunächst die Funktionen und technischen Eigenschaften eines Verfahrens, die in der Praxis durchaus mehrere Tausend Ausprägungen umfassen können. Nach der Inventarisierung reduziert er die Zahl der Eigenschaften der Verfahrenskomponenten auf diejenigen Dimensionen, Maßnahmen und Mechanismen, die das Soll-Modell vorgibt. Die Prüfung der Technik und Organisation besteht dann darin, die festgestellten Schutzmaßnahmen und deren Ausprägungen als Ist-Werte mit den Werten aus dem Soll-Modell abzugleichen. Etwaige Differenzen im erzielten Schutzniveau lassen sich so bewerten. Sollten andere als die Referenzmaßnahmen zum Einsatz kommen, muss die verantwortliche Stelle die funktionale Äquivalenz ihrer alternativen Lösung darlegen.

Fazit

Durch das Zusammenspiel von Datenschutz-Schutzzielen mit Schutzbedarfsfeststellungen aus der Betroffenenperspektive, die jeweils auf Daten, IT-Systeme und Prozesse bezogen werden, entsteht ein Prüfrahmen mit 54 möglichen Standardschutzmaßnahmen. Dieses Modell macht allen Stakeholdern klar, was aus Datenschutzsicht in welchem Ausmaß gefordert bzw. zu tun ist. Es steigert damit die Transparenz, Qualität und Vertrauenswürdigkeit von Datenschutzprüfungen. (sh)