magele-picture - Fotolia
DSGVO: Datenschutz-Folgenabschätzung bei Storage-Lösungen
Werden neue Verfahren eingeführt, kann eine Datenschutz-Folgenabschätzung anstehen, so will es die Datenschutz-Grundverordnung (DSGVO). Auch Storage spielt hierbei eine Rolle.
Es wird langsam Ernst. Ab Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO/GDPR) scharf geschaltet.
Sind besonders hohe Risiken für personenbezogene Daten zu erwarten, fordert die DSGVO eine sogenannte Datenschutzfolgenabschätzung (DSFA).
Wörtlich sagt die DSGVO: „Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“
Abgesehen davon, dass Unternehmen zuerst einmal nicht genau wissen, wann „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ vorliegt, besteht teilweise auch Unklarheit darüber, was alles zu einer Datenschutzfolgenabschätzung gehört. Die DSGVO nennt hierzu insbesondere
- eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
- eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
- eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und
- die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass die Datenschutz-Grundverordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
Storage-Technologien und Speicherverfahren müssen untersucht werden
Es stellt sich die Frage, ob und wann ja wo die eingesetzten Storage-Lösungen hierbei eine Rolle spielen. Dies ist zum einen der Fall, wenn neue Technologien im Storage-Bereich eingesetzt werden, zu denen das Unternehmen noch nicht genug Erfahrung gesammelt hat.
Hier sollte also eine Risikoanalyse erfolgen, damit mögliche Datenschutzrisiken nicht mangels Erfahrung und Wissen übersehen werden.
Eine weitere Frage, die es zu klären gilt, um die möglichen Risiken besser abschätzen zu können, gilt der Notwendigkeit und Verhältnismäßigkeit bei der Speicherung von personenbezogenen Daten.
Gemeint ist damit, ob die personenbezogenen Daten womöglich zu lange beziehungsweise nicht dem Zweck entsprechend gespeichert werden. Dies wäre ein Verstoß gegen den Grundsatz der Speicherbegrenzung.
Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
Personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von der DSGVO zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke verarbeitet werden.
Storage-Lösungen müssen auch deshalb bei einer Datenschutzfolgenabschätzung (Artikel 35 DSGVO) auf Risiken hin untersucht werden, weil die dort befindlichen Daten in einer Weise gespeichert werden müssen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.
Hinweise der Aufsichtsbehörden zur Datenschutzfolgenabschätzung
Die Frage nach dem „Schwellwert“ für Risiken, ab wann eine Datenschutzfolgenabschätzung erforderlich ist, wird sich in Zukunft leichter beantworten lassen, denn hierzu wird es Leitlinien des Europäischen Datenschutzausschusses (EDSA) geben, einem neuen Gremium bestehend aus Vertretern der nationalen Aufsichtsbehörden. Die Vorläufer-Organisation (Artikel 29 Datenschutzgruppe) hat zu entsprechenden Fragen der Datenschutzfolgenabschätzung bereits ein Arbeitspapier (Guidelines on Data Protection Impact Assessment (DPIA)) veröffentlicht.
In diesen Leitlinien finden sich auch Beispielverfahren, bei denen ein hohes Risiko für die Betroffenen zu erwarten und deshalb der Bedarf für eine Datenschutzfolgenschätzung genau zu prüfen ist. Dazu gehört die Speicherung pseudonymisierter, vertraulicher Daten zum Beispiel aus einer klinischen Studie.
Hier ist nicht nur zu prüfen, ob die Vertraulichkeit der Daten in Gefahr und die betroffenen Personen indirekt identifiziert werden können. Auch die Frage muss geklärt werden, ob die betroffenen Personen an der Durchführung eines Vertrags oder die Nutzung einer Dienstleistung gehindert werden, wohlgemerkt durch die pseudonymisierte Speicherung.
Dies zeigt, dass es nicht ausreicht, dass die gespeicherten Daten in ihrer Vertraulichkeit und Integrität geschützt sind. Auch die Betroffenen müssen noch in der Lage sein, von ihren Rechten Gebrauch zu machen.
Es zeigt sich: Storage-Systeme werden grundsätzlich bei einer Datenschutzfolgenabschätzung zu untersuchen sein, zum einen, um die Maßnahmen der IT-Sicherheit und die Speicherdauer zu hinterfragen, zum anderen, weil von dem Speicherverfahren selbst Risiken für die Betroffenen ausgehen können.
Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!