sdecoret - stock.adobe.com
DSGVO/GDPR: Umsetzung in IT-Management und IT-Sicherheit
Der Europäische Datenschutzbeauftragte gibt Empfehlungen, wie sich der EU-Datenschutz bei IT-Management, IT-Operation und IT-Sicherheit einbringen lässt.
IT-Sicherheit, IT-Management und IT-Operation haben in erster Linie andere Ziele als der Datenschutz: Für die Sicherheit, die Verwaltung und den Betrieb der IT sind möglichst aussagekräftige Informationen über die Nutzer wichtig, damit mögliche Innentäter erkannt, aber auch die Bedürfnisse der legitimen IT-Nutzer ermittelt und umgesetzt werden können.
Der Datenschutz stellt hingegen den Schutz der personenbezogenen Daten in den Vordergrund. Diese Unterschiede sind wohlbekannt und wurden in der Vergangenheit mitunter nicht immer so berücksichtigt, dass auch der Datenschutz ausreichend zum Zuge kam: Die Protokolldaten der IT-Operation- und IT-Management-Lösungen enthalten oftmals mehr Nutzerinformationen als notwendig, die IT-Sicherheit sammelt ebenso viele Daten über die Nutzer, obwohl diese nicht unter Verdacht stehen.
Mit der Datenschutz-Grundverordnung (DSGVO/GDPR) muss sich jedoch vieles ändern. Man denke nur an „Privacy by Design“, „Privacy by Default“ und Datenminimierung, früher Datensparsamkeit genannt.
Der Europäische Datenschutzbeauftragte hat nun Empfehlungen veröffentlicht, wie sich IT-Operation, IT-Management und auch IT-Sicherheit leichter mit dem EU-Datenschutz in Einklang bringen lassen. Diese Aufsichtsbehörde ist die Kontrollstelle, die dafür sorgen soll, dass alle EU-Organe und -Einrichtungen bei der Verarbeitung personenbezogener Daten den Schutz der Privatsphäre gewährleisten. Der Europäische Datenschutzbeauftragte hat auch einen Sitz in dem Europäischen Datenschutzausschuss, der mit der Datenschutz-Grundverordnung nach Artikel 68 DSGVO etabliert wird.
Leitlinien für die Rechenschaftspflicht nach DSGVO
Die neuen Leitlinien des Europäischen Datenschutzbeauftragten adressieren insbesondere die Rechenschaftspflicht, also die Verantwortung für die Einhaltung der DSGVO sowie den Nachweis darüber. Auf den ersten Blick scheint dies weniger mit IT-Management, IT-Operation und IT-Sicherheit zu tun haben. In Wirklichkeit aber haben die meist umfangreichen Protokollierungen genau mit der Rechenschaftspflicht zu tun, nicht für den Datenschutz, aber für andere Compliance-Bereiche.
Gerade aus Sicht der IT-Sicherheit ist es spannend, wie sich die dort herrschende Rechenschaftspflicht mit dem Datenschutz am besten vereinbaren lässt. In Zeiten steigender Risiken durch Cyberattacken und Innentäter muss die Cyber-Defense, die Abwehr möglicher Angriffe von Innen und Außen, möglichst viel über die Zugriffe auf die Daten wissen, gleichzeitig aber den strengen Datenschutz nach Datenschutz-Grundverordnung beachten.
Erster Orientierungspunkt: Grundsätze des Datenschutzes
Aus der Vielzahl der Empfehlungen des Europäischen Datenschutzbeauftragten sollen an dieser Stelle einige herausgestellt werden, die den Weg hin zu mehr Datenschutz bei IT-Management, IT-Operation und IT-Sicherheit ebnen. Dazu gehört die Orientierung an den Grundsätzen des Datenschutzes, die in der DSGVO in Artikel 5 (Grundsätze für die Verarbeitung personenbezogener Daten) genannt werden.
Diese Grundsätze müssen auch zu Prinzipien im IT-Management, bei IT-Operation und IT-Sicherheit werden. Bezogen auf die oben genannte Protokollierung sind besonders diese Grundsätze wichtig: Personenbezogene Daten müssen
- auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“),
- für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden („Zweckbindung“),
- dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“),
- sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein („Richtigkeit“),
- in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“) sowie
- in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).
Doch wie lassen sich diese Grundsätze am besten verankern? Wie können zum Beispiel die Cyber-Defense und die Protokollierung der Aktivitäten entsprechend angepasst werden? Hierzu gibt der Europäische Datenschutzbeauftragte keine technischen Empfehlungen, doch er rät zu einem Vorgehensmodell.
Dazu gehört auch, dass man zu allererst einmal prüfen sollte, ob denn die Maßnahmen im IT-Management oder bei IT-Operation und IT-Sicherheit zu personenbezogenen Daten führen oder nicht. Das klingt wie eine Binsenweisheit, ist aber von großer Bedeutung, denn viele Maßnahmen, die scheinbar für den Datenschutz ergriffen werden, haben mit Datenschutz gar nichts zu tun, mangels personenbezogener Daten.
Zweiter Orientierungspunkt: Three Lines of Defense
Wenn personenbezogene Daten vorliegen, müssen die Grundsätze des Datenschutzes in die Vorgaben und Lösungen für IT-Management, IT-Operation und IT-Sicherheit getragen werden. Dazu empfiehlt der Europäische Datenschutzbeauftragte das bekannte Modell „Three Lines of Defense“. Tatsächlich kann dieses Modell auch dabei helfen, die Cyber-Defense besser mit dem Datenschutz zu vereinbaren.
Dazu gehören die „Verteidigungslinien“ Operational Management, Risk Management Compliance Functions und Internal Audit. Der Datenschutz muss in und über diese Verteidigungslinien einfließen:
- Das Senior Management muss die Bedeutung des Datenschutzes im Unternehmen deutlich machen, die Verantwortung für den Datenschutz übernehmen und Personen mit der Überwachung des Datenschutzes beauftragen. Das gilt für alle Stellen, die mit personenbezogenen Daten umgehen, also auch für die IT-Sicherheit.
- Alle Verfahren und Prozesse, die der Einhaltung der Compliance und dem Risiko-Management dienen, müssen um die Grundsätze des Datenschutzes ergänzt werden, damit auch diese durch das interne Kontrollsystem überwacht werden.
- Die internen Audits sollen neben Compliance-Vorgaben wie dem Qualitäts-Management auch die Grundsätze des Datenschutzes nach DSGVO überprüfen.
Wenn also die Datenschutz-Grundverordnung in Artikel 32 ein „Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ fordert, so sollte dies in die bestehenden, internen Kontrollmaßnahmen einbezogen werden.
Für das Beispiel Cyber-Defense und Protokollierung der Nutzeraktivitäten bedeutet das: Die interne Kontrolle sollte nicht nur prüfen, ob verdächtige Aktivitäten vorliegen, sondern auch, ob die Grundsätze des Datenschutzes bei der Protokollierung eingehalten werden. Leider sind solche umfassenden Kontrollen, die auch den Blick für den Datenschutz haben, noch keine Selbstverständlichkeit. Mit der Datenschutz-Grundverordnung müssen sie es aber werden.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!