Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

2. Anforderungen an die Produkte

Bei der Beurteilung des Produkts wird überprüft, ob das Produkt in einer Weise einsetzbar ist, die mit den Vorschriften über Datenschutz und Datensicherheit vereinbar ist. Maßstab der Produktprüfung sind somit diejenigen Vorschriften über Datenschutz und Datensicherheit, die für den Einsatz des Produkts einschlägig sind.

Rechtliches Anforderungsprofil:

Bei der Begutachtung des Produkts wird daher zunächst ein rechtliches Anforderungsprofil aus den einschlägigen Rechtsvorschriften erstellt. Welche Rechtsvorschriften zu beachten sind, ergibt sich aus dem Einsatzbereich des Produkts. Handelt es sich etwa um eine Software, die im Sozialamt zur Vorgangsbearbeitung eingesetzt werden soll, dann sind die Vorschriften des Sozialdatenschutzrechts (SGB X und ggf. Spezialvorschriften aus dem SGB) zu prüfen. Soll das Produkt in einem Einwohnermeldeamt zur Anwendung kommen, ergibt sich der Prüfmaßstab aus dem für die Verarbeitung von Meldedaten geltenden Landesmeldegesetz. Für ein Produkt zur Verarbeitung von medizinischen Daten im Gesundheitsbereich sind die Vorschriften über das Patientengeheimnis, die ärztliche Berufsordnung und ggf. weitere Spezialvorschriften heranzuziehen. Ist kein spezialgesetzlich geregelter Bereich betroffen, gilt das Landesdatenschutzgesetz Schleswig-Holstein.

Produkte mit universellem Einsatzbereich:

Die oben genannten Produkte sind nach ihrem Konzept sämtlich auf den Einsatz in einem definierten Bereich (Sozialamt, Krankenhaus, Einwohnermeldeamt, Polizei etc.) und die in diesem Bereich anfallende Verarbeitung personenbezogener Daten zugeschnitten. Der Einsatzbereich und somit der rechtliche Prüfmaßstab sind durch den Zuschnitt des Produkts definiert. Daneben gibt es aber auch Produkte, die in unterschiedlichen, nicht abschließend festgelegten Bereichen einsetzbar sind und mit denen ebenso unterschiedliche Arten von personenbezogenen Daten verarbeitet werden können. Beispiel ist etwa ein elektronisches Archiv, in dem sowohl medizinische Daten aus Krankenhäusern oder Artzpraxen, Daten der Polizei, Sozialdaten, aber auch Kundendaten eines Unternehmens oder Personaldaten eines Unternehmens oder einer öffentlichen Stelle gespeichert werden können. Für alle Datenarten gelten unterschiedliche Rechtsvorschriften, in denen die Speicherung geregelt ist.

Eine Zertifizierung solcher Produkte ist in zwei Varianten möglich. Es kann das Produkt entweder mit einem oder mehreren bestimmten Einsatzbereichen (z. B. für die Verarbeitung von Medizindaten im Krankenhaus) begutachtet werden. Mindestens ein Einsatzbereich muss dabei eine öffentliche Stelle einbeziehen, d.h. ein Einsatzbereich, der ausschließlich auf den privatwirtschaftlichen Bereich abzielt (z. B. Verarbeitung von Kundendaten eines Unternehmens) kann nicht allein begutachtet werden. Die Zertifizierung beschränkt sich in diesem Fall auf den oder die ausgewählten Einsatzbereiche, d. h. das Zertifikat gilt bei Auswahl des Einsatzszenarios Krankenhaus nur für den Einsatz des Produkts in Krankenhäusern, nicht aber etwa im Einwohnermeldeamt.

Das Produkt kann auch einsatzunabhängig begutachtet und zertifiziert werden. Es wird dann voraus gesetzt, dass der Anwender personenbezogene Daten in zulässiger Weise erhebt, verarbeitet oder nutzt. Eine Zulässigkeitsprüfung für die einzelnen Phasen der Datenverarbeitung wird nicht durchgeführt. Möglich ist es aber, im Gutachten allgemeine Aussagen über die Tauglichkeit des Produkts für die Verarbeitung bestimmter Arten von Daten zu treffen, z.B. solcher Daten, die einem Berufs- oder Amtsgeheimnis unterliegen. Hier können die Anforderungen an die Verarbeitung solcher Daten abstrakt dargestellt und deren Einhaltung durch das Produkt geprüft und bewertet werden.

Die Einhaltung der Vorschriften über Datensicherheit sowie über die Gewährleistung der Rechte der Betroffenen werden bei Produkten mit universellem Einsatzbereich wie bei anderen Produkten nach den Vorgaben des Anforderungskatalogs des ULD geprüft.

Rechtliche Anforderungen:

Die ermittelten einschlägigen Rechtsnormen ergeben das (rechtliche) Anforderungsprofil für das Produkt. Dazu gehören im Wesentlichen Fragen nach der Zulässigkeit der Datenverarbeitung, Datenvermeidung und Datensparsamkeit, Revisionsfähigkeit der Datenverarbeitung sowie die Gewährleistung der Rechte der Betroffenen.

Technische Anforderungen:

Auch die (sicherheits-)technischen Anforderungen leiten sich aus den Rechtsnormen ab und bilden ein technisches Anforderungsprofil: Je nach Anwendungsgebiet des Produktes sind die allgemeinen Vorschriften über die Datensicherheit des LDSG, BDSG, SGB X oder weiterer Gesetze anzuwenden. In erster Linie geht es um den Umfang der Datenspeicherung, den Schutz vor unberechtigten Zugriffen, Manipulation und zufälligem Verlust sowie um die Nachvollziehbarkeit und Protokollierung der Datenverarbeitung. Im Einzelfall treten spezielle Vorschriften zur Datensicherheit, Produktgestaltung oder zu technisch-organisatorischen Maßnahmen hinzu, die sich aufgrund des Produktes (z. B. Chipkarten) oder aufgrund spezialgesetzlicher Anwendungsfälle (z. B. im Bereich der Berufsausbildung) ergeben.

Anforderungskatalog:

Das ULD stellt einen Anforderungskatalog bereit, der sämtliche in Betracht kommenden Kriterien anhand ausgewählter Datenschutzgesetze benennt und um technische Fragen der Umsetzung ergänzt. Der Anforderungskatalog dient den Gutachtern als Arbeitsgrundlage zum Auffinden und Abarbeiten der einzelnen Prüfpunkte. Mit Hilfe von beispielhaften Fragestellungen kann der Gutachter die einzelnen Aspekte eines Prüfpunktes betrachten. Heißt beispielsweise ein Kriterium "Zugriffsschutz", so wird auf die Aspekte Passwortschutz, Passwortlänge, Änderbarkeit durch den Benutzer, Befristung der Gültigkeit, etc. hingewiesen. Im rechtlichen Prüfpunkt "Ermächtigung durch Einwilligung" werden Details zu Formalia und Inhalt von Einwilligungserklärungen behandelt.

• technische Anforderungen
• Was prüft der Gutachter genau? Produktdoku, Prüfung des Produkts in welchem Umfang und in welcher Tiefe?
• Produktdoku: Was muss diese mindestens enthalten?

Durchführung der Prüfung:

Die Prüfung des Produktes erfolgt in erster Linie anhand der Dokumentation des Produktes und beschreibender Unterlagen (siehe auch den Abschnitt "Produktdokumentation"). In Abhängigkeit vom Produkt sowie Güte und Umfang der Dokumentation kann es sinnvoll, aber auch erforderlich sein, dass das Produkt durch die Gutachter selbst in Augenschein genommen wird. Insbesondere bei der Begutachtung von Verfahren und Dienstleistungen im Rahmen der Auftragsdatenverarbeitung dürfte ein Vor-Ort-Besuch und eine stichprobenartige Überprüfung der technisch-organisatorischen Sicherheitsmaßnahmen angezeigt sein. Auch bei Hard- oder Softwareprodukten ist eine Inaugenscheinnahme durch die Sachverständigen meist sinnvoll, um die Produktfunktionalitäten nachzuvollziehen. Der Schwerpunkt liegt aber in der Prüfung der Dokumentation.

In welcher Tiefe und in welchem Detaillierungsgrad die Prüfung vorzunehmen ist, kann nicht abstrakt festgelegt werden: Dies ist in Einzelfall abhängig von der Sensibilität und dem Umfang der verarbeiteten Daten, den übrigen Sicherheitsmaßnahmen und der IT-Struktur der Anwender. An dieser Stelle sind Augenmaß und Erfahrung der Gutachter sowie ggf. eine Abstimmung mit dem ULD gefordert.

Produktdokumentation:

Mit dem Gütesiegel und der Empfehlung des ULDs ist die Aussage verbunden, dass ein Produkt datenschutzgerecht eingesetzt werden kann. Häufig muss der Anwender dafür bestimmte Konfigurationsparameter wählen oder organisatorische Maßnahmen treffen, die die Anwendung des Produktes regeln (z. B. Dienstanweisungen). Letzteres gilt insbesondere dann, wenn gewisse datenschutzrechtlich erforderlichen Funktionen nicht durch das Produkt implementiert werden bzw. werden können und daher durch den Betreiber sicherzustellen sind, beispielsweise die vertrauliche Übermittlung der Erstpasswörter von neu eingerichteten Nutzerkonten oder die selbstständige Löschung nicht mehr benötigter Daten. Solchen Anforderungen können die Betreiber aber nur dann gerecht werden, wenn sie ihnen bekannt sind. Daher sind Benutzer- und Administrationshandbücher notwendigerweise Bestandteile des Zertifizierungsgegenstandes und werden daraufhin geprüft, ob entsprechende Hinweise aufgenommen sind. Ist der Zertifzierungsgegenstand eine Auftragsdatenverarbeitung, so sind die vertraglichen Regelungen zwischen Auftragnehmern und Kunde Bestandteil der Produktdokumentation und somit Gegenstand der Begutachtung.

Weitere (interne) Dokumentationsunterlagen, etwa detaillierte Produktbeschreibungen, Lehrbücher zur Programmanwendung, Spezifikationen, Designbeschreibungen, Datenbankmodelle, interne Dienstanweisungen, Verträge mit Unterauftragenehmern bei Auftragsdatenverarbeitung, Testdokumentation etc. können für die Begutachtung wichtig sein. Sie erlauben den Gutachtern einen Einblick in das Produkt in der Tiefe und Breite, die sie für die Begutachtung benötigen, und können die Begutachtung beschleunigen. In einem Hinweispapier hat das ULD einzelne Elemente von Produktdokumentationen klassifiert und beschrieben, welche Teile notwendig zum Zertifizierungsgegenstand gehören und welche nicht.