Prüfen und Beraten mit dem SDM: Datenschutzmanagement
Prüfablauf im Datenschutz
Was bedeutet eigentlich "Datenschutz" zu prüfen?
Die Soll-Vorgaben einer Datenschutzprüfung ergeben sich aus dem Datenschutzrecht. Datenschutzanforderungen umzusetzen hat deshalb einen sehr viel höheren Verpflichtungsgrad als Anforderungen der IT-Sicherheit zu erfüllen, wie sie bspw. vom IT-Grundschutz des BSI oder von ISO-Standards formuliert werden. Ohne eine Rechtsgrundlage dürfen Organisationen keine Personendaten verarbeiten. Dieses grundlegende "Verbot mit Erlaubnisvorbehalt" (vgl. §4 BDSG) entspricht der wichtigsten Regel einer Firewall: Es sind zunächst alle Ports zu schließen ("deny-all"), um anschließend einige Ports für die notwendigen Kommunikationsverbindungen bzw. Datenverarbeitungen zu öffnen. Jede Portöffnung bedeutet die Hinnahme eines Risiko, weil darüber Angriffe erfolgen können. Ins rechtliche gewendet: Jede Aktivität einer Organisation bedeutet einen Grundrechtseingriff. Deshalb beginnt jede Datenschutzprüfung personenbezogener Verfahren mit der Prüfung der Rechtsgrundlagen. Trägt die Rechtsgrundlage, können die Soll-Vorgaben an eine datenschutzgerechte Datenverarbeitung mit technisch-organisatorischen Schutzmaßnahmen (vgl. § 9 Anhang BDSG) formuliert und mit den Ist-Feststellungen einer Bestandsaufnahme vor Ort verglichen bzw. beurteilt werden. Genau an diesem Punkt hilft das SDM weiter.
Es gibt an mehreren neuralgischen Stellen Ausstiegspunkte aus einer Datenschutzprüfung:
Wenn die Datenverarbeitung einer Organisation keinenPersonenbezug aufweist, bestehen keine datenschutzrechtlichen Anforderungen an diese Datenverarbeitung; eine Prüfung ist beendet (Phase 1).
Wenn die Datenverarbeitung einer Organisation einen Personenbezug aufweist, setzt die Verarbeitung die Existenz einer Rechtsgrundlage voraus. Wenn für die Datenverarbeitung keinerlei Rechtsgrundlagen bestehen, kann eine Prüfung mit negativem Ergebnis beendet werden. Das bedeutet, dass die für die Verarbeitung eingesetzte Technik gar nicht in den Blick genommen werden muss, weil sie gar nicht rechtskonform betrieben werden kann. Typisch besteht eine Datenschutzprüfung in dieser Phase jedoch darin zu ermitteln, ob die von der Organisation angegebenen Rechtsgrundlagen - Gesetz, Vertrag, Einwilligung - hinreichen. (Phase 2)
Wenn die Rechtsgrundlagen ausreichen, besteht die Prüfaufgabe darin, ob eine Prüffähigkeit der Datenverarbeitung gegeben ist. Das heisst konkret, ob die Daten, IT und Prozesse dokumentiert und protokolliert sind und diese Angaben mit Werten vor Ort verglichen und beurteilt werden können. Ist die Transparenz des Verfahrens nicht gegeben, sind außerdem Verantwortlichkeiten unklar oder ungeregelt oder können Verträge nicht beigebracht werden, kann eine Prüfung mit negativem Ergebnis beendet werden. Typisch besteht eine Datenschutzprüfung in dieser Phase jedoch drin, ob die beigebrachten Dokumente und Protokolle, die innerhalb bestimmter Fristen nachgefordert oder eingereicht werden, hinreichen. (Phase 3)
Wenn die Prüffähigkeit eines Verfahrens gegeben ist, wird ermittelt, ob die Spezifikation und der Betrieb von Funktionen und Regeln sowie von Schutzmaßnahmen in der Praxis korrekt dimensioniert und betrieben sind. Hier zu Entscheidungen bzgl. der Erforderlichkeit und Angemessenheit von Schutzmaßnahmenzu verhelfen, ist der wesentliche Vorzug des SDM. Wenn trotz mehrfacher Korrekturdurchläufe die Funktionen nicht ordnungsgemäß und die Schutzmaßnahmen nicht hinreichend sind, kann eine Prüfung mit negativem Ergebnis beendet werden. Die Sanktion einer Aufsichtbehörde kann im öffentlichen Bereich der Verwaltungen in einer Beanstandung bestehe oder im privaten Bereich in einer Ordnungswidrigkeit oder einer Anordnung bestehen, wonach der Betrieb untersagt werden kann. Auch hier wird oftmals eine Frist zur Nachbesserung von Funktionen, Regeln (Dienst- oder Betriebsvereinbarungen) und Schutzaßnahmen eingeräumt. Wie schon in der vorigen Phase werden bei kleineren Datenschutzverstößen Nachprüfungen anberaumt. (Phase 4)
Prüfen und Beraten mit dem SDM: Datenschutzmanagement
In den Phasen 3 und 4 kann das SDM genutzt werden, um die Auswahl und Dimensionierung von Funktionen, Regeln und Schutzmaßnahmen für Daten, Hardware und Software sowie für Prozesse, mit denen die Nutzdaten und Strukturen der Datenverarbeitung verändert werden, im Hinblick auf die Erfüllung von Datenschutzanforderungen überprüfbar zu machen. Das SDM erlaubt, auch die Datenschutzprüfung selber, im Hinblick auf Umsetzung der Anforderungen, wie sie die Schutzziele formulieren, zu prüfen.
Das SDM erlaubt eine Bilanzierung von Soll-Anforderungen und Ist-Zuständen, heruntergebrochen bis auf einzelne Eigenschaften von Schutzmaßnahmen, zu erstellen. Wenn Datenschutz-Beratung und Datenschutz-Prüfung als Zyklus angelegt sind - und gezielt als Demingkreis konzipiert ist ("Demingkreis", Wikipedia [extern]) -, wie dies typisch ist für Aktivitäten eines betrieblichen oder behördlichen Datenschutzbeauftragten ist, dann bietet das SDM auch eine materiell sichere Basis für ein methodisch-systematisches Datenschutzmanagement auf der operativen Ebene von personenbezogenen Verfahren einer Organisation.
