Datenschutz ist ein technischer Schutz

Beitrag von Olaf Köppe, Partner im Bereich IT Compliance der KPMG AG Wirtschaftsprüfungsgesellschaft.

Neben einem rechtlichen Grundverständnis erfordert die DSGVO von Verantwortlichen fundierte Kenntnisse im technischen Schutz personenbezogener Daten. Dies bringt der Verordnungsgeber an mehreren Stellen klar zum Ausdruck und fordert von Unternehmen, dass die eingesetzten technischen Maßnahmen dem Stand der Technik zu entsprechen haben. Für Unternehmen bedeutet es technische Maßnahmen, wie Verschlüsselungsmethoden, Pseudonymisierungen und Anonymisierungen, mit dem Stand der Wissenschaft und Technik zu vergleichen und entsprechende Sicherheitslücken durch den Einsatz geeigneter technischer und organisatorischer Maßnahmen zu schließen. Eine Legaldefinition bietet der Verordnungsgeber nicht an. Vielmehr sollen sich die Verantwortlichen regelmäßig mit ihren eingesetzten technischen Maßnahmen befassen und Entwicklung in der Wissenschaft und Forschung berücksichtigen.

Erfahrungsgemäß ist beispielsweise die technische Umsetzung von Löschanfragen aufgrund der Vielzahl eingesetzter IT Anwendungen und Speichermedien sehr komplex und erfordert eine gründliche Analyse der jeweiligen IT Anwendungen, der Verarbeitungszwecke sowie Identifikation einschlägiger gesetzlicher Aufbewahrungsfristen. Unternehmen sollten hierzu Prozesse implementieren, die bestenfalls automatisch erkennen, wann die datenschutzrechtlichen Aufbewahrungsfristen der erhobenen personenbezogenen Daten erreicht sind und welche Daten aufgrund spezialgesetzlicher Regelungen über die angesetzten Fristen hinaus aufzubewahren und somit vor Veränderungen durch Sperrungen zu schützen sind. Zu Beweiszwecken sind erforderliche Nachweise in einem Datenschutz-Management-System zu hinterlegen. Diese Nachweise müssen geeignet sein, sowohl getroffene datenschutzrechtliche Strategien als auch implementierte technische und organisatorische Maßnahmen zu dokumentieren sowie die Wirkung dieser Maßnahmen nachzuweisen. Entscheidend ist hierbei, dass für jede Entscheidung eine Abwägung zwischen den Interessen der Betroffenen für den Schutz ihrer personenbezogenen Daten und eigenen berechtigten Interessen durchgeführt wurde. Ist der Verantwortliche zu dem Entschluss gekommen, dass die Verarbeitung personenbezogener Daten grundsätzlich Risiken für Betroffene bergen könnte, jedoch aufgrund geeigneter technischer und organisatorischer Maßnahmen auf ein vertretbares Niveau reduziert werden, sind diese Überlegungen zu dokumentieren.

Darüber hinaus werden personenbezogene Daten nicht nur in einem einzigen IT System verarbeitet. Die Praxis zeigt, dass zum einen durch Schnittstellen aber auch aufgrund fehlender Berechtigungskonzepte eine Vielzahl von Personen die Möglichkeit zum Export von Inhalten haben und auch nutzen, sodass personenbezogene Daten sehr schnell den Herrschaftsbereich des Verantwortlichen und somit auch seine Einflusssphäre verlassen können. Eine Löschung der personenbezogenen Daten nur auf den eigenen Speichermedien würde den Anforderungen der DSGVO indes nicht genügen.

Um den Zeitpunkt der gesetzlichen Einbeziehung der Verantwortlichen zu Gunsten der betroffenen Personen vor der ersten Datenerhebung umsetzen zu können, hat die DSGVO mit Art. 25 DSGVO eine weitere Anforderung für datenverarbeitende Unternehmen geschaffen. Entsprechend dem Erwägungsgrund 78 „sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun.“ Daher hat der Verantwortliche bereits bei der Auswahl der einzusetzenden IT Anwendungen nachweislich zu beachten, dass die Entscheidung auch unter Berücksichtigung datenschutzrechtlicher Überlegungen getroffen wurde. Die Normadressaten sind hingegen nicht Hersteller von IT Anwendungen, sondern weiterhin die Verantwortlichen. Der Verordnungsgeber geht davon aus, dass die Nachfrage das Angebot steuern wird, sodass Hersteller aus Eigeninteresse bereits bei der Entwicklung von ihren Produkten und Anwendung insbesondere die technische und organisatorische Umsetzbarkeit der Datenschutzgrundsätze gebührend berücksichtigen werden. Hersteller sind grundsätzlich nicht verpflichtet, ihre Produkte und Anwendung einer besonderen Prüfung zu unterziehen. Die Praxis zeigt jedoch, dass immer mehr Hersteller aufgrund der großen Nachfrage und kundenseitigen Kaufbedingungen eine Prüfung ihrer Produkte und Anwendungen durch fachkundige Dritte durchführen lassen. Eine solche Prüfung kann beispielsweise auf der Grundlage des Prüfungsstandards IDW PS 880 erfolgen.

Dieser Trend verdeutlicht, dass bei vielen Verantwortlichen die Kernaussage der DSGVO angekommen ist. Der Markt schließt geplante Regelungslücken der DSGVO durch spezifische Anforderungen der Verantwortlichen an IT Anwendungen.

Kontakt unter: OKoeppe@kpmg.com

Bildlizenz: KPMG Deutschland