Der Datenschutz gewinnt durch technologische und gesellschaftliche Entwicklungen kontinuierlich an Bedeutung. Kaum ein Betrieb kommt noch an diesem Thema vorbei. Innerhalb der EU und im außereuropäischen Ausland gibt es mittlerweile zahlreiche Gesetze, Verordnungen und Richtlinien zur Reglementierung der Verarbeitung personenbezogener Daten. Sie machen Vorgaben zu organisatorischen und technischen Maßnahmen, um personenbezogene Daten während der Verarbeitung zu schützen.
Seit Mai 2018 müssen Unternehmen und andere Stellen, die personenbezogene Daten verarbeiten, in Deutschland und der EU die Vorgaben der Datenschutzgrundverordnung (DSGVO) einhalten. Dies betrifft nicht nur Unternehmen, die ihren Sitz innerhalb der Europäischen Union (EU) haben, sondern auch Gesellschaften außerhalb Europas, die zum Beispiel Waren und Dienstleistungen innerhalb der EU anbieten.
Die DSGVO und ihre Anforderungen
Die DSGVO schützt die Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere deren Recht auf Schutz personenbezogener Daten. Diskriminierung und gesellschaftliche Nachteile sollen so verhindert werden. Im digitalen Zeitalter ist dieser Schutz besonders wichtig, da Cyberattacken und Angriffe auf Unternehmen sowie Einzelpersonen zunehmen. Ein unzureichender Schutz kann zu erheblichen finanziellen Verlusten und wirtschaftlichen Nachteilen führen. Zudem sollen Betroffene vor Manipulation, Identitätsdiebstahl und unzulässiger Überwachung geschützt werden.
Gegenstand des Schutzes sind personenbezogene Daten. Was als personenbezogenes Datum angesehen wird, ist in der DSGVO sehr weit gefasst. Neben Namen und Adresse zählen dazu auch Verhaltensdaten, persönliche Kennziffern wie Personal- oder Sozialversicherungsnummern. In Europa gelten zudem IP-Adressen und andere Identifier wie Cookies als personenbezogene Daten, sofern sie grundsätzlich auf eine einzelne Person beziehbar sind.
Besonders zu schützen sind die sogenannten besonderen Kategorien personenbezogener Daten. Im Unternehmenskontext sind hier insbesondere Gesundheitsdaten, Gewerkschaftszugehörigkeit sowie biometrische Daten zur eindeutigen Identifizierung natürlicher Personen relevant.
Die meisten Unternehmen verarbeiten eine Vielzahl personenbezogener Daten unterschiedlicher Betroffener – zunächst die der eigenen Beschäftigten, die darauf vertrauen müssen, dass das Unternehmen die richtigen Schutzmaßnahmen umsetzt. Daneben werden meist auch personenbezogene Daten von Kunden, Partnern und Lieferanten verarbeitet. Das können Ansprechpartner aus dem B2B-Bereich sein, aber auch personenbezogene Daten im Endkundengeschäft. Die Zwecke der Datenverarbeitung sind je nach Geschäftsmodell sehr unterschiedlich.
Strategien zur Einhaltung und Umsetzung von Datenschutzrichtlinien
Zur Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten sollten Unternehmen je nach Größe ein wirksames Datenschutzmanagementsystem (DSMS) etablieren. Dabei bietet es sich an, auf bereits bestehende Strukturen wie Qualitätsmanagement- oder Informationssicherheitsmanagementsysteme zurückzugreifen.
Verfügt ein Unternehmen über solche Systeme, fällt die DSMS-Etablierung deutlich leichter. Im besten Fall müssen nicht sämtliche Vorgaben und Prozesse neu erarbeitet werden, sondern können um den Datenschutzteil ergänzt werden.
Die zentralen Grundsätze der Verarbeitung personenbezogener Daten müssen in einer Leitlinie und dazugehörigen Richtlinien dokumentiert sein. Darin sollten auch die Zuständigkeiten für einzelne Themen festgelegt werden. In größeren Unternehmen gibt es oft nicht nur einen offiziell benannten Datenschutzbeauftragten, sondern auch weitere Datenschutzkoordinatoren oder Datenschutzabteilungen, die dieses Thema umfassend betreuen. Bei der Umsetzung von Maßnahmen zum Schutz personenbezogener Daten kommt es häufig zu großen Überschneidungen mit der IT-Abteilung oder den Informationssicherheitsbeauftragten. Auch mit internen Audit-Teams, Compliance-Abteilungen und dem Riskmanagement gibt es zahlreiche Berührungspunkte. Es ist wichtig sicherzustellen, dass diese Abteilungen und Verantwortlichen nicht gegeneinander arbeiten, auch wenn sie unterschiedliche Ziele verfolgen.
Aus Gründen der IT-Sicherheit oder im Rahmen von Compliance-Maßnahmen kann es erwünscht sein, möglichst viele Daten über einen langen Zeitraum zu verarbeiten. Allerdings fordert der Datenschutz, die Verarbeitung personenbezogener Daten auf das notwendige Minimum zu beschränken. Daher sind frühzeitige Abstimmungsrunden zwischen den Abteilungen erforderlich, um zu gewährleisten, dass die Verarbeitung rechtskonform erfolgt.
Ein weiteres wesentliches Element des Datenschutzmanagementsystems (DSMS) sind zielgruppenspezifische Mitarbeiterschulungen, die sich an konkreten Beispielen orientieren. Da die Verarbeitungstätigkeiten je nach Unternehmen stark variieren, müssen die Schulungsinhalte speziell auf das jeweilige Unternehmen zugeschnitten werden. Zum Schutz personenbezogener Daten müssen entsprechende technische und organisatorische Maßnahmen implementiert werden.
Die Zugriffsmöglichkeiten auf personenbezogene Daten müssen beschränkt werden, besonders da immer mehr Daten außerhalb von unternehmenseigenen Rechenzentren gespeichert werden. Der Zugang zu Verarbeitungssystemen muss wirksam eingeschränkt sein. Dies umfasst neben der Verwendung sicherer Passwörter auch die Implementierung von Mehrfaktorauthentifizierungen. Abhängig von der Kritikalität der Daten müssen Änderungen, Löschungen und Einsichtnahmen protokolliert werden. Diese Protokolle sind sicher zu speichern und nach Ablauf der festgelegten Speicherfrist regelmäßig zu löschen.
Eine weitere Sicherheitsmaßnahme ist die Verschlüsselung der Daten. Vorab muss geprüft werden, welche Verschlüsselungsverfahren dem aktuellen Stand der Technik entsprechen und welche Schlüssellängen noch als sicher gelten. Je nach Anwendungsfall sind entweder die Datenbanken oder die Datensätze selbst zu verschlüsseln. Auch bei der Übertragung von Daten zwischen Systemen, per E-Mail oder über andere Übertragungswege ist eine wirksame Verschlüsselung erforderlich. Das Bundesamt für Sicherheit in der Informationstechnik bietet regelmäßig technische Richtlinien zum Einsatz kryptografischer Verfahren an, die Empfehlungen zu Verschlüsselungsverfahren und angemessenen Schlüssellängen enthalten.
Die DSGVO integriert die Prinzipien „Privacy by Design“ und „Privacy by Default“. Unternehmen sind angehalten, bereits in der Planungsphase neuer Produkte Datenschutzmaßnahmen zu integrieren, die sowohl die Anforderungen der DSGVO als auch anderer relevanter Datenschutzgesetze berücksichtigen. Bei der Auslieferung von Produkten an Kunden sollten diese so voreingestellt sein, dass sie möglichst wenig personenbezogene Daten verarbeiten.
Die Wirksamkeit der umgesetzten Maßnahmen ist durch regelmäßige Audits zu überprüfen, die sowohl intern als auch extern durchgeführt werden können. In diesem Zusammenhang ist auch ein enger Austausch mit den Abteilungen für IT und Informationssicherheit wichtig, um regelmäßige technische Überprüfungen, wie beispielsweise Schwachstellentests, sicherzustellen.
Internationale Datenübertragung und rechtliche Rahmenbedingungen
Die Übermittlung personenbezogener Daten in sogenannte unsichere Drittländer, wie zum Beispiel die USA, stellt eine besondere Herausforderung dar. Diese Länder verfügen nicht über einen Angemessenheitsbeschluss der EU-Kommission, was nach der Schrems-II-Entscheidung des Europäischen Gerichtshofs (EuGH, Rechtssache C-311/18, Schrems II) bedeutet, dass Unternehmen zusätzliche Sicherheitsmaßnahmen ergreifen müssen.
Vor jeder Datenübermittlung muss ein „Transfer Impact Assessment“ (TIA) durchgeführt werden. Dabei wird geprüft, ob das Drittland ein vergleichbares Datenschutzniveau bietet, ob Betroffene ihre Rechte geltend machen können und welche Zugriffsrechte lokale Behörden auf die Daten haben. Sollte kein gleichwertiges Schutzniveau vorliegen, sind zusätzliche Schutzmaßnahmen erforderlich, wie etwa Pseudonymisierung oder Verschlüsselung der Daten. Zusätzlich sind Standardvertragsklauseln zwischen Datenexporteur und -importeur notwendig, es sei denn, es wird ein anderes Übermittlungsinstrument gewählt, wie die Einführung verbindlicher unternehmensinterner Vorschriften („Binding Corporate Rules“), oder es besteht eine spezifische Ausnahme der DSGVO (zum Beispiel Einwilligung des Betroffenen). Die Verwendung der Einwilligung als alleinige Rechtsgrundlage ist jedoch stark eingeschränkt und in der Regel nicht ausreichend zur Legitimierung einer Datenübermittlung.
Die Situation bezüglich der Datenübermittlung von der EU in die USA hat sich durch die Einführung des neuen EU-U.S. Data Privacy Framework entspannt. Nun können personenbezogene Daten ohne zusätzliche Übermittlungsinstrumente oder Sicherheitsmaßnahmen übertragen werden, sofern die empfangende Organisation beim U.S. Department of Commerce unter diesem Rahmenwerk zertifiziert ist. Dieses Framework bringt verbindliche neue Garantien, die den Bedenken des Europäischen Gerichtshofs gerecht werden sollen. Dazu gehört die Einschränkung des Zugangs von US-Nachrichtendiensten zu EU-Daten auf das notwendige und verhältnismäßige Maß. Ferner wird ein Datenschutzüberprüfungsgericht (Data Protection Review Court, DPRC) etabliert, zu dem EU-Bürger Zugang haben werden.
Die im Bereich der nationalen Sicherheit von der US-Regierung eingeführten Garantien, einschließlich des Rechtsbehelfsverfahrens, gelten für alle Datenübermittlungen an US-Unternehmen im Rahmen der DSGVO, unabhängig von den verwendeten Übermittlungsmechanismen. Diese Garantien sollen auch die Anwendung anderer Übermittlungsinstrumente wie Standardvertragsklauseln und Binding Corporate Rules erleichtern.
Trotz dieser Verbesserungen gibt es bereits Kritik am Framework. Kritiker bemängeln vor allem die mangelnde Unabhängigkeit des neu geschaffenen Gerichts und argumentieren, dass US-Gesetze den Geheimdiensten immer noch zu viel Spielraum für umfassende Überwachungsmaßnahmen lassen. Es bleibt abzuwarten, ob das Framework einer Überprüfung durch den Europäischen Gerichtshof standhält.
Zertifikate und Nachweise
Viele Unternehmen sind nach ISO 27001 zertifiziert, einer international anerkannten Norm, die Anforderungen an das Informationssicherheitsmanagementsystem eines Unternehmens festlegt. Diese Zertifizierung dient als Nachweis für technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. Die ISO 27701 erweitert diesen Nachweis zusätzlich auf das Datenschutzmanagementsystem.
Zusätzlich existieren branchenspezifische Zertifizierungen. Ein Beispiel hierfür ist der EU Cloud Code of Conduct, der vom Europäischen Datenschutzausschuss verabschiedet und von der belgischen Datenschutzbehörde genehmigt wurde. Dieser Kodex ermöglicht es Cloud-Dienstleistern, die Einhaltung der Anforderungen des Artikels 28 der DSGVO und der zugehörigen Bestimmungen nachzuweisen.
Angesichts der ständig wachsenden digitalen Bedrohungen wird es immer wichtiger, dass Unternehmen ein robustes Datenschutzmanagementsystem implementieren. Der erfolgreiche Umgang mit Datenschutz ist nicht nur eine Frage der Compliance, sondern auch ein wesentlicher Bestandteil des Vertrauens, das Kunden und Partner in eine Organisation setzen. Durch die Einhaltung strenger Datenschutzstandards können Unternehmen nicht nur regulatorische Anforderungen erfüllen, sondern auch ihre Marktstellung stärken. Datenschutz ist daher keine statische Aufgabe, sondern ein dynamischer Prozess, der fortlaufende Anpassungen und Verbesserungen erfordert, um den Schutz personenbezogener Daten dauerhaft zu gewährleisten.
Dieser Beitrag erschien zuerst in der gedruckten Ausgabe Cybersecurity. Das Heft können Sie hier bestellen.
