Rawpixel.com - stock.adobe.com
DSGVO: Was bei der Nutzung von Storage zu beachten ist
Die Datenschutz-Grundverordnung (DSGVO) fordert die Schulung der Personen, die personenbezogene Daten verarbeiten. Datenschutzhinweise zur Nutzung von Storage dürfen nicht fehlen.
Storage-Systeme stehen im Fokus jedes Datenschutzkonzeptes, jedenfalls sollten sie es. Immerhin gilt die Datenschutz-Grundverordnung (DSGVO) „für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“.
Obwohl also die Speicherung personenbezogener Daten wesentlicher Gegenstand der DSGVO ist, erscheinen Storage-Systeme manchmal als Randthema, wenn es um die Umsetzung des Datenschutzes geht. Stattdessen wird viel über Webserver, Mail-Systeme oder CRM-Lösungen gesprochen, die jedoch alle nicht ohne Storage auskommen.
Entsprechend sollte Storage auch ein zentrales Thema bei der Sensibilisierung und Schulung der Beschäftigten sein und bei der Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters, wie es von der DSGVO gefordert wird.
Storage als Thema der Datenschutzschulung
Wenn eine Unterweisung zum Datenschutz geplant wird, sollten nicht nur die Themen vorgesehen werden, die regelmäßig in den Schlagzeilen der Tagespresse vorkommen. Wenn es aber zum Beispiel um Ransomware gehen soll, sollte nicht unerwähnt bleiben, dass es bei der Abwehr der Bedrohung durch Ransomware insbesondere um die Sicherheit der Storage-Systeme geht.
Damit ist Storage in der Datenschutzschulung nicht nur Grundlagenthema, sondern gleichzeitig auch Gegenstand der ganz aktuellen Datenschutzfragen, wie der Erkennung und Abwehr von Cyberattacken, die auf personenbezogene Daten abzielen.
Doch was sollte man alles über Storage berichten, wenn es um die Sensibilisierung im Datenschutz geht? Zuerst einmal sind mehrere Datenschutzprinzipien der DSGVO direkt mit dem Thema Storage verbunden.
Dazu gehören zum Beispiel diese Grundsätze:
- Speicherbegrenzung: Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
- Integrität und Vertraulichkeit: Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.
Anwendung der DSGVO auf die Nutzung von Storage
Wendet man sich in der Sensibilisierung und Schulung zum Datenschutz an die Nutzenden selbst, gibt es eine Vielzahl von allgemeinen Hinweisen zum richtigen, datenschutzgerechten Vorgehen. Diese Hinweise gelten natürlich auch für die Verwendung von Storage-Lösungen. Es ist jedoch hilfreich, immer die allgemeinen Datenschutzhinweise auf die konkrete Situation und Anwendung herunterzubrechen.
Je konkreter die Datenschutzhinweise sind, desto genauer wissen die Beschäftigten, was sie bei der Nutzung von Storage-Systemen beachten sollen.
Deshalb folgen nun Beispiele für Datenschutzmaßnahmen, wie sie aus Sicht von Aufsichtsbehörden für (mobile) Storage-Lösungen ergriffen werden sollten, gerade im Home-Office, wo es besonders auf das Verhalten der Beschäftigten ankommt:
- Der weit verbreitete Einsatz von Speichermedien macht Regelungen zur Nutzung und auch für den Verlustfall erforderlich. Ungeschützte Speichermedien ermöglichen ansonsten Unbefugten ohne großen Aufwand Zugriff auf sensible Daten.
- Notwendig ist der Einsatz starker Verschlüsselung der mobilen Speicher (zum Beispiel Festplattenverschlüsselung).
- Die Speichermedien müssen berücksichtigt werden bei Backup- und Synchronisierungsmechanismen zur Verhinderung eines größeren Datenverlusts bei Verlust und Diebstahl.
- Der Zugang zu Speichermedien mit entsprechendem Schutzbedarf für die Daten sollte ausschließlich nach Authentifizierung (zum Beispiel PIN, Passwort) möglich sein.
- Ein Cloud-Speicher für das Daten-Backup sollte erst nach sorgfältiger Prüfung der datenschutzrechtlichen Anforderungen eingesetzt werden.
- Eine Diebstahlsicherung für externe Festplatten sollte nach Möglichkeit vorgesehen werden.
- Es sollte eine Regelung zur Privatnutzung von betrieblichen Speichermedien geben (Empfehlung: Keine Privatnutzung).
- Die Nutzenden sollten die Regelungen bei Verlust eines mobilen Datenspeichers kennen.
- Es sollte eine Richtlinie zum sicheren Umgang mit mobilen Datenträgern geben (zum Beispiel nicht unbeobachtet liegen lassen).
- Das sichere Löschen der Datenträger vor und nach der Verwendung muss sichergestellt werden.
Datenschutzmängel bei Storage als Beispiele nehmen
Bei der Sensibilisierung der Beschäftigten zum richtigen Umgang mit Storage-Lösungen können Beispiele helfen, die zeigen, welche Datenschutzmängel den Aufsichtsbehörden für den Datenschutz aufgefallen sind.
So berichtet Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, dass viele Datenpannen mit dem Arbeiten im Home-Office zusammenhängen, beispielsweise Fälle, in denen Akten oder Datenträger auf dem Transport zwischen Dienstort und dem Zuhause abhandenkamen. Verlorene, unverschlüsselte USB-Sticks gehören zu den Dauerthemen bei den Datenpannen-Meldungen.
Der Bayerische Landesbeauftragte für den Datenschutz berichtete davon, dass beim Kauf einer gebrauchten Festplatte auf ebay der Käufer feststellen musste, dass darauf in großem Umfang personenbezogene Daten eines Landratsamts gespeichert und ohne technische Hindernisse auslesbar waren. Unter den Daten fanden sich unter anderem eine Vielzahl von Unterlagen der Zulassungsstelle, aber auch E-Mails des Jugendamts sowie erstmalige Zugangsdaten für neue Benutzer zu verschiedenen Online-Diensten.
Das betroffene Landratsamt war bis zu diesem Vorfall davon ausgegangen, dass auf den Festplatten der Arbeitsplatz-PCs keine personenbezogenen Daten gespeichert würden, sondern diese nur in den jeweiligen Fachverfahren, im Dokument-Management-System oder auf zentralen Fileservern abgelegt seien. Daher wurde aufgrund befürchteter praktischer Probleme bis zu diesem Vorfall auf eine Verschlüsselung der Festplatten verzichtet.
Somit wurden keine ausreichenden technischen und organisatorischen Maßnahmen gemäß DSGVO umgesetzt, da die ausgetauschten Festplatten weder verschlüsselt waren noch im Landratsamt vorab gelöscht wurden.
Eine weitere Datenpanne, diesmal aus Bremen: Eine Organisation meldete den Diebstahl einer Festplatte, auf der sich Namen, Adressen, Gehaltsdaten und Kontoverbindungsdaten befinden. Die Festplatte sei in einem Serverraum aufbewahrt worden, der ständig verschlossen sei und zu dem nur wenige Personen Zutritt hätten. Aufgrund von Bauarbeiten und einer Fensterreinigung sei der Serverraum kurzzeitig geöffnet gewesen.
Die Aufsicht hält es für möglich, dass in diesem Fall wie in der Vergangenheit in ähnlich gelagerten Fällen die Festplatte verkauft und die darauf gespeicherten personenbezogenen Daten an wirtschaftliche Akteure, die mit Daten handeln, gelangen könnten oder Kontodaten für unzulässige strafbare Abrufe von Geldern verwendet werden. Insoweit bestehen durch den Diebstahl der Festplatte erhebliche Gefahren für die Rechte der Betroffenen.
Es zeigt, dass bei Storage-Systemen insbesondere Datenschutzverletzungen eintreten können, wenn die Daten nicht fristgerecht gelöscht, keine zusätzlichen Schutzmaßnahmen wie Verschlüsselung ergriffen und dann die Speichermedien gestohlen werden oder verloren gehen. Entsprechend sollten die Beschäftigten wissen, wie sie wann richtig löschen sollen, wie die Verschlüsselung funktioniert und was gegen das Risiko durch Verlust oder Diebstahl getan werden kann. Storage ist deshalb ein wichtiges Thema in der Datenschutzschulung, das regelmäßig behandelt werden sollte.