irissca - stock.adobe.com
Was man von Kassensystemen für die DSGVO lernen kann
Kassensysteme müssen laut Kassensicherungsverordnung manipulationssichere Umsatzdaten gewährleisten. Die Umsetzung bereitet einige Probleme. Davon kann man für die DSGVO lernen.
Seit Beginn des Jahres 2020 Aktuell wird in der Öffentlichkeit viel über Kassensysteme und Bonpflicht gesprochen. Weniger Aufmerksamkeit erhält die zugehörige TSE, also die Technischen Sicherheitseinrichtungen bei den Kassen gegen Manipulationen. Sowohl die Anwender als auch die Anbieter von Kassensystemen arbeiten immer noch an der Umsetzung. Die bisherige Frist 01.01.2020 konnte nicht eingehalten werden.
Das Bundesministerium der Finanzen (BMF) hatte deshalb im November 2019 eine Nichtbeanstandungsregelung veröffentlicht, nach der nun eine Frist für die Nachrüstung der im Einsatz befindlichen Kassensysteme bis 30.09.2020 besteht.
Da nicht nur für Kassendaten Manipulationssicherheit benötigt wird, zeigt das Beispiel Kassensicherungsverordnung, wo der Schuh drückt bei der Gewährleistung der Integrität von Daten.
Wie Integrität der Daten umgesetzt werden kann
Blickt man in die Datenschutz-Grundverordnung (DSGVO/GDPR), findet man in Artikel 32 (Sicherheit der Verarbeitung) die Forderung, dass Unternehmen die Fähigkeit haben müssen, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.
Die Integrität der personenbezogenen Daten wird auch explizit in den Grundsätzen für die Verarbeitung personenbezogener Daten (Artikel 5 DSGVO) genannt: Personenbezogene Daten müssen demnach in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).
Konkrete Maßnahmen für den Schutz der Integrität findet man in einer Verordnung wie der DSGVO natürlich nicht, wohl aber in dem Standard Datenschutzmodell (SDM 2.0a) der Aufsichtsbehörden für den Datenschutz (Datenschutzkonferenz, DSK).
Dort werden als typische Maßnahmen zur Gewährleistung der Integrität oder zur Feststellung von Integritätsverletzungen unter anderem genannt: Einschränkung von Schreib- und Änderungsrechten, Einsatz von Prüfsummen, elektronischen Siegeln und Signaturen in Datenverarbeitungsprozessen gemäß eines Kryptokonzepts, die dokumentierte Zuweisung von Berechtigungen und Rollen, Löschen oder Berichtigen falscher Daten, Prozesse zur Aufrechterhaltung der Aktualität von Daten, Prozesse zur Identifizierung und Authentifizierung von Personen und Gerätschaften und den Schutz vor äußeren Einflüssen (Spionage, Hacking).
Jenseits der DSGVO, in der Kassensicherungsverordnung (KassenSichV) findet man die Vorgabe einer TSE, einer Technischen Sicherheitseinrichtung bei den Kassen zur Sicherstellung der Integrität der Kassendaten.
Das Beispiel Kassensysteme und TSE
Die Technische Sicherheitseinrichtung (TSE) besteht aus einen Sicherheitsmodul, einem Speichermedium und einer einheitlichen digitalen Schnittstelle, wie das BSI (Bundesamt für Sicherheit in der Informationstechnik) erklärt.
Die Technische Sicherheitseinrichtung wird vom elektronischen Aufzeichnungssystem (beispielsweise eine Kasse) angesprochen, übernimmt die Absicherung der aufzuzeichnenden Daten gegen nachträgliche Veränderung und Löschen und speichert die gesicherten Aufzeichnungen in einem einheitlichen Format. Finanzbehörden können die geschützten Daten dann einfordern und auf Vollständigkeit und Korrektheit prüfen.
Wenn man personenbezogene Daten mit entsprechendem Schutzbedarf ähnlich gegen Manipulationen schützen wollte, könnte man einen vergleichbaren Weg wählen.
Dabei gibt es für TSE einen technologieoffenen Ansatz, um eine möglichst pragmatische Integration in existierende Kassensysteme zu erlauben. Hierunter fällt insbesondere der Fall einer Anbindung mehrerer Kassensysteme an eine zentralisierte Sicherheitseinrichtung, so das BSI.
Die technische Umsetzung kann grundsätzlich auf unterschiedliche Arten erfolgen, beispielsweise lokal (via Smartcard) oder fernverbunden (als „Cloud“-Lösung), solange die notwendigen Sicherheits- und Interoperabilitätsanforderungen des BSI erfüllt sind und im Rahmen der Zertifizierung nachgewiesen werden.
Spricht man mit Anwendern und Herstellern von Kassensystemen über die Umsetzung der Vorgaben, bestehen verschiedene Unsicherheiten und Schwierigkeiten, die auch bei Integritätslösungen im Bereich Datenschutz denkbar sind.
Zum einen wartet man auf weitere Zertifizierungen von TSE-Lösungen. Würde man im Datenschutz den Integritätsschutz einem Dienstleister übertragen, wären auch hier Nachweise erforderlich, wie zum Beispiel eine Datenschutzzertifizierung nach DSGVO, wenn eine Auftragsverarbeitung (Artikel 28 DSGVO) vorliegt. Eine zu geringe Anzahl von Zertifizierungen auf dem Markt (oder die noch immer fehlende DSGVO-Zertifizierung) kann also die Ausbreitung von erforderlichen Sicherheitsmaßnahmen verzögern.
Zum anderen müssen verschiedene Fragestellungen geklärt beziehungsweise den Anwendern und Anbietern erläutert werden, damit Lösungen im Bereich Integritätsschutz wie TSE sich schneller verbreiten. Fragen, die in Gesprächen auftauchten, waren: Wann muss ein Signaturstick aktualisiert werden, sprich wann läuft ein Zertifikat ab? Was macht man, wenn man eine Cloud-Lösung nutzt, aber keine Internetverbindung besteht, wenn Daten signiert werden sollen? Wie lange darf man nachträglich signieren?
Solche oder ähnliche Fragen könnten auch im Bereich Datenschutz aufkommen, wenn es um die Integrität der Daten geht. Will man also die Maßnahmen gegen Manipulationen von Daten weiter voranbringen, müssen Themen wie Zertifizierungen, Update-Prozesse und Fristen genau kommuniziert sein. Sonst verzögern sich wichtige Sicherheitsmaßnahmen, wie das Beispiel TSE im Bereich der Kassensysteme zeigt.