Diskussionsrunde zu den Kernpunkten der DSGVO DSGVO fordert Datenschutz durch Technikgestaltung
23. Mai 2018„Privacy by Default“, „Privacy by Design“, Einwilligungsrecht, etc. – die Liste der Neuerungen durch die DSGVO (Datenschutzgrundverordnung) ist lang. Zu den Kernpunkten der EU-weit gültigen Richtlinie beziehen acht Experten Stellung und klären dabei Fragen wie: Wie sehen die wesentlichen Änderungen für Unternehmen aus? Was bringen die Forderungen nach Privacy by Default und Privacy by Design mit sich?
Änderungen durch DSGVO
Bereits vor dem Inkrafttreten der DSGVO gab es in vielen europäischen Ländern lokale Datenschutzregeln, etwa in Deutschland und den Niederlanden. So gesehen, gibt es viele Stimmen, die sagen, dass sich theoretisch nicht allzu viel ändert. Doch Eward Driehuis, Chief Research Officer von SecureLink, sieht eine große Veränderung darin, dass sich Forderungen europaweit durchsetzen lassen. „Aber auch das deutlich erhöhte, maximal mögliche Strafmaß, das sich anhand des weltweiten Unternehmensumsatzes bemisst, verschafft der Angelegenheit einen höheren Stellenwert“, so Driehuis weiter. „Somit ergeben sich selbst für große Unternehmen empfindliche Strafen. Wir bemerken bereits heute, dass Kontrollen und Akzeptanz in ganz Europa zugenommen haben.
Das Konzept „Datenschutz durch Technikgestaltung“ – also „Privacy by Design“ – schreibt vor, dass neue Software und Infrastruktur von Grund auf so gestaltet sind, dass personenbezogene Daten geschützt werden. „Standardmäßig die datenschutzfreundlichste Voreinstellung zu wählen, also Privacy by Default, lässt sich als Feature von Privacy by Design verstehen“, erklärt Driehuis. „Folglich sollte jede Software, die personenbezogene Daten verarbeiten kann, in der Standardeinstellung die Verarbeitung von personenbezogenen Daten unterbinden. Die Benutzeroberfläche wiederum sollte es ermöglichen, diese Einstellungen zu ändern.“
Eine solche Standardeinstellung, die das Sammeln von personenbezogenen Daten unmöglich macht, schütze all die Nutzer, die nicht tiefer ins Detail gehen. „Theoretischer Weise können Systeme so von vornherein weniger Daten von weniger Menschen sammeln und folglich bei einem Data Leak auch weniger personenbezogene Daten verloren gehen“, stellt Driehuis heraus.
„Technische Lösungen unterliegen zukünftig anderen Anforderungen“, so fasst Marc Schieder, CIO von DRACOON, die Neuerungen durch die DSGVO zusammen. „Privacy by Default steht für einen Datenschutz durch datenschutzfreundliche Voreinstellungen. Dadurch sollen Nutzer geschützt werden, die technisch nicht sonderlich ‚firm‘ sind. In der Praxis sieht das so aus, dass bei einer Software oder Anwendung bereits die Werkseinstellungen so getroffen werden, dass sie nicht gegen den Datenschutz verstoßen und so bereits Vergehen abwenden.“ Privacy by Design berücksichtige nach seiner Einschätzung den Datenschutz beispielsweise schon von Beginn des Datenverarbeitungsprozesses: „Nach unserer Auffassung lässt sich Sicherheit später nicht einfach ‚dazu entwickeln‘. Deshalb galt bei der Entwicklung unserer Enterprise Filesharing Lösung dieser Grundsatz schon ab der Planungsphase.“
Informationspflichten
Für Eva-Maria Scheiter, Executive Consultant GRC bei NTT Security, gehören in erster Linie die erweiterten Informationspflichten zu den Neuerungen: „Ein Unternehmen oder Institut muss im Rahmen der Datenschutzerklärung über die Rechtsgrundlage zur Datenverarbeitung informieren. Zudem sind strengere Vorgaben für Einwilligungen zu beachten: Unternehmen müssen sowohl über die Möglichkeit zum Widerruf angemessen informieren als auch die dafür notwendigen Prozesse einrichten. Auch Kinder benötigen die Einwilligung ihrer Eltern.“
Auch bei den Meldepflichten von Datenpannen sieht die Expertin Handlungsbedarf: „Bestehen Risiken für den Betroffenen, so ist unter anderem die Aufsicht innerhalb von 72 Stunden über die erkannte Datenschutzpanne zu informieren. Des Weiteren sind Auftragsverarbeiter verpflichtet, die vorgenommenen Verarbeitungstätigkeiten zu dokumentieren.“
Dazu komme noch die Portabilitätsverpflichtung: „Sie sieht das Recht des Betroffenen vor, dass er seine Daten aus einem automatisierten Datenverarbeitungssystem auf ein anderes System übertragen kann, ohne dass der für die Verarbeitung Verantwortliche ihn daran hindern kann. Der Verantwortliche muss die Daten in einem gängigen Format zur Verfügung stellen“, gibt Scheiter zu Protokoll. Und auch die engere Auslegung der Zweckänderung sei zu beachten: „Die Weiterverarbeitung ist nur dann zulässig, wenn sie mit dem ursprünglichen Zweck vereinbar ist“, so Scheiter weiter.
„Besteht für den oder die Betroffenen ein hohes Risiko, ist eine Datenschutzfolgenabschätzung vorzunehmen. In diesem Rahmen wird systematisch bewertet, welche Risiken für den Betroffenen bestehen sowie welche technisch organisatorischen Maßnahmen umgesetzt und zu initiieren sind“, erklärt Scheiter. „Verbleibt nach Umsetzung der Maßnahmen weiterhin ein hohes Risiko für den Betroffenen, muss an die zuständige Aufsicht eine Meldung erfolgen.“
Spezielle Auswirkungen auf den Umgang mit Informationsrisiken sind für Joe Garber die größte Änderung durch die DSGVO. Für den Global Head of Product Marketing, Information Management & Governance bei Micro Focus ist die Datenmenge ein zentraler Punkt. „Angesichts des Datenvolumens, über das die meisten Unternehmen bislang verfügen und weiterhin verfügen werden, wird die wichtigste Änderung die Bedeutung der Analytik sein, um ehemals abgegrenzte Datensilos zu überbrücken. Die Informationen müssen verstanden und proaktiv klassifiziert werden, um zu erkennen, welche Infos ein Risiko darstellen. Genauer gesagt braucht es eine Übersicht darüber, welche Teilmenge der Daten unter die DSGVO fällt und daher angemessen verwaltet werden muss.“ Ohne diesen notwendigen Schritt könnte ein Unternehmen übermäßig integrativ sein und die Kosten für die Verwaltung damit in die Höhe treiben. Oder das Gegenteil tritt ein: Es setzt auf zu wenig Integrität und erhöhen damit das Risiko.
Neben dem Einverständnis der Anwender und ihrem Auskunftsrecht steht bei Pascal Cronauer, Regional Director DACH bei LogPoint, das Thema Dokumentation weit oben auf der Agenda, wenn es um Änderungen durch die DSGVO geht: „Unternehmen werden dazu aufgefordert, tiefgreifende Informationen herauszugeben, beispielsweise wie die Daten verarbeitet werden. Dazu zählen die Kontaktinformationen des Verantwortlichen, eine Begründung für die Verarbeitung der Daten, ein Beleg über die Rechtmäßigkeit der Verarbeitung, der Zeitraum der Datenverarbeitung, die Möglichkeit, vom Widerspruchsrecht Gebrauch zu machen, das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde sowie eine Auskunft darüber, ob die Verarbeitung der Daten zu einer Art Profiling genutzt wird.“
Des Weiteren haben betroffene Personen das Recht darauf, dass Informationen nach Ablauf der entsprechend gültigen Aufbewahrungsfristen – z. B. steuerrechtliche Aufbewahrungsfristen – gelöscht oder, wenn dies aus finanzrechtlicher Sicht nicht möglich ist, gesperrt werden. „Wenn dies angefragt wird, müssen Unternehmen die personenbezogenen Daten löschen bzw. sperren und außerdem sicherstellen, dass Dritte, die die Daten verarbeitet haben, diese ebenfalls löschen oder sperren“, erläutert Cronauer. Beim Recht auf Datenübertragbarkeit geht es um das Recht des Dateninhabers, dass seine Informationen von einem Unternehmen zum nächsten Unternehmen übertragen werden, so Cronauer: „Die Daten sollten in einem strukturierten und von einem Standard-PC zu verarbeitenden Format bereitgestellt werden. Das erlaubt betroffenen Personen einen einfachen Überblick über die Informationen und eröffnet ihnen einen direkten Weg, diese an einen anderen Anbieter zu übertragen, sollte dies gewünscht sein.“
Auch das Thema Privacy by Design sollte nicht unterschätzt werden, so Cronauer: „Dieses Konzept werden sich alle Unternehmen genauer anschauen müssen, um zukünftig Compliance zu erreichen. Die Idee von ‚Datenschutz zuerst und dann alles andere‘ ist in deutschen Unternehmen überwiegend tief verankert, deshalb gilt es, auch die IT-Systeme und Datenverarbeitungsprozesse daraufhin zu überprüfen. Die Vorgabe ‚Privacy by Default‘ sollte auf die Bemühungen um ‚Privacy by Design‘ stützen. Ein wichtiger Schritt ist die Pseudonymisierung der personenbezogenen Daten bereits in den IT-Systemen selbst.“
Recht auf Vergessenwerden
Für Dirk Arendt gibt es zahlreiche Änderungen, die durchaus Zündstoff in sich bergen. Der IT-Sicherheitsexperte und Leiter Public Sector & Government Relations bei Check Point Software Technologies verweist dabei vor allem auf das „Recht auf Vergessenwerden“, das „Recht auf Datenübertragbarkeit“, auf „Privacy by Default“ und auf „Privacy by Design“: „Diese Themen sind sowohl aus technischer als auch aus rechtlicher und prozesstechnischer Sicht unglaublich komplex. Waren die bisherigen Sanktionen im Datenschutz eher zahnlose Tiger, dann sind die jetzt festgehaltenen Androhungen doch schon Größenordnungen, die Unternehmen dazu zwingen, zu reagieren.“
Allerdings sei es schwer vorauszusehen, was die Forderungen nach Privacy by Default und Privacy by Design mit sich bringen. „Hier steht man vor der Frage, wie sich Datenschutz und Datensicherheit durch technische Vorgaben und organisatorische Maßnahmen besser umsetzen lassen. Konzepte wie Privacy by Default und Privacy by Design sind sicherlich lobenswert, aber sie müssen auch konsequent umgesetzt werden. Beispiele, bei denen wir schon heute eine Reaktion sehen, sind Facebook und Google Chrome. Hier gab es bereits Änderungen in den Voreinstellungen bezüglich Privatsphäre und Datenverarbeitung als Reaktion auf die DSGVO.“
„Die Verarbeitung von personenbezogenen Daten spielt durch die EU-DSGVO aufgrund der hohen möglichen Strafen nun eine bedeutende Rolle in der Risikoanalyse von Unternehmen“, führt Fabio Marti aus. Der Director Business Development bei der Brabbler AG leitet daraus eine eindeutige Entwicklung ab. „Damit nimmt die Privatsphäre von Verbrauchern, Geschäftskontakten und Mitarbeitern indirekt einen Platz in der strategischen Planung ein. Die Führungsriege von Unternehmen, ob es sich jetzt um den kleinen Ein-Mann-Betrieb oder einen Dax-Konzern handelt, kommt nicht mehr darum herum, sich ganz konkret mit dem Schutz personenbezogener Daten zu befassen. Das kostet natürlich Ressourcen und Kraft, beendet aber den aus privater Sicht bedenklichen und mittlerweile vielerorts unkontrollierten Wildwuchs in der Datensammlung und -verarbeitung.“
Speziell die Forderungen nach Privacy by Default und Privacy by Design machen ein Umdenken in der Entwicklung von digitalen Produkten und Kunden-Touchpoints erforderlich, so Marti weiter. „Bisher wurden diese meist mit vollem Fokus auf Effizienz konzipiert und realisiert. Datenschutz wurde nachgelagert in kleingedruckten Rechtstexten abgehandelt. Privacy by Design verlangt, sich schon in der Konzeption bei jedem Datum, das gespeichert werden soll, zu fragen, ob und wofür dies notwendig ist. Privacy by Default sieht vor, dass in den Einstellungen eines technischen Systems immer die datensparsamste Variante voreingestellt sein soll.“
In der Folge müssten Abteilungen, die sich bisher vornehmlich mit der technischen Realisierung auseinandersetzten, nun konkret über Datenschutz nachdenken. Daher empfiehlt der Brabbler-Experte: „Die Rechtsabteilung muss näher an das Produktmanagement und die Entwicklung heranrücken und Informationen zum Datenschutz müssen stetig in diese Abteilungen einfließen. Man kann den Datenschutzbeauftragten mit diesem internen Wissenstransfer beauftragen. Doch es ist auch zu erwarten, dass sich in den kommenden Jahren neue Kompetenzprofile bilden, die Know-how zu Technik und Datenschutz bündeln.“
Für Michael Kretschmer, Vice President EMEA von Clearswift RUAG Cyber Security gibt es nennenswerte Änderungen durch die DSGVO: „Die erste und offensichtlichste ist die Höhe der Geldbuße, die bei Nichteinhaltung erhoben werden kann. Während Bußgelder früher eher ein kleiner Teil eines Datenverlusts waren, handelt es sich nun um einen bedeutenden Betrag.“ Als einen weiteren Punkt macht er den Gültigkeitsbereich der Verordnung aus: „Nicht nur die EU ist betroffen, sondern jedes Unternehmen auf der ganzen Welt, das mit Daten von EU-Bürgern arbeitet. Nach der alten Gesetzgebung musste das Unternehmen seinen Sitz in der EU haben oder dort präsent sein, damit das Gesetz Anwendung findet.“
Auch beim Thema „gemeinsame Verantwortung“ ergibt sich nach seiner Einschätzung eine Neuerung: „Wenn Sie Daten mit Partnern teilen und diese verlieren, dann sind Sie genauso verantwortlich – und umgekehrt. Unternehmen müssen also dafür sorgen, dass es in der gesamten Informationskette Rechenschaft und Verantwortung gibt.“
Die Forderungen „Privacy by Default“ und „Privacy by Design“ bringen nach seiner Einschätzung Komplexitäten für bestehende Unternehmenssoftware mit sich. „Allzu oft werden die Punkte Sicherheit und Privatsphäre in letzter Minute noch in Lösungen eingebaut. Für die meisten Unternehmen erfordert dies zwar ein zusätzliches Design im Vorfeld, doch das ist nicht allzu schwierig“, so Kretschmer weiter. „Weitaus anspruchsvoller sind die Lösungen, die bereits vorhanden sind und bei denen der Schutz der Privatsphäre entweder nicht eingebaut ist oder am Ende noch hinzugefügt wurde. Es ist nicht praktikabel, alle diese Legacy-Anwendungen neu zu erstellen, daher können hier Technologien wie Adaptive Data Loss Prevention – die A-DLP— eingesetzt werden, um die kritischen Informationen zu schützen.“
A-DLP könne auch zum Schutz anderer Informationsflüsse wie bei E-Mails eingesetzt werden. „Während die meisten Menschen das Risiko des Datenverlustes sehen, besteht auch ein geschäftliches Risiko, wenn Nutzern unautorisierte Informationen gesendet werden oder sie auf diese zugreifen“, gibt Kretschmer zu bedenken. A-DLP eignet sich, um sich vor unautorisierten Daten zu schützen, die in das Unternehmen gelangen oder es verlassen – entweder aus Versehen oder durch einen böswilligen Insider oder einen Hacker.
Rainer Huttenloher
Teilnehmer an dem "virtuellen Roundtable" zum Thema DSGVO waren:
Dirk Arendt, IT-Sicherheitsexperte und Leiter Public Sector & Government Relations bei Check Point Software Technologies GmbH
Pascal Cronauer, Regional Director DACH bei LogPoint
Eward Driehuis, Chief Research Officer von SecureLink
Joe Garber, Global Head of Product Marketing, Information Management & Governance bei Micro Focus
Michael Kretschmer, VP EMEA von Clearswift RUAG Cyber Security
Fabio Marti, Director Business Development bei der Brabbler AG
Eva-Maria Scheiter, Executive Consultant GRC, NTT Security
Marc Schieder, CIO von DRACOON