Datenschutz

Geschichte und Intention

Fingerabdruck Ausgangspunkt für die ersten Debatten um den Datenschutz waren Pläne der US-Regierung Anfang der 1960er Jahre zur Verbesserung des staatlichen Informationswesens. In der Folge gelangte diese Diskussion auch nach Deutschland/Europa. So verabschiedete Hessen als erstes Bundesland 1970 ein eigenes Datenschutzgesetz dem 1977 das Bundesdatenschutzgesetz folgte.

Im Jahre 1980 verabschiedete die OECD die "Guidelines on the Protection of Privacy and Transborder Data Flows of Personal Data" und 1981 folgte die Verabschiedung der "Europäischen Datenschutzkonvention" durch die EU. Diese ist bis heute in Kraft und steht auch nicht EU-Mitgliedsländern offen.

Die europäische Datenschutzrichtlinie 1995/46/EG stellte dann die erste einheitliche Richtlinie für die EU-Mitgliedsländer dar, auch wenn es in den Mitgliedsstaaten danach immer noch große Regelungsunterschiede gab. Die Datenschutzrichtlinie wurde durch die am 4. Mai 2016 veröffentlichte Datenschutz Grundverordnung (DSGVO) am 25. Mai 2018 abgelöst. Zu diesem Zeitpunkt trat auch die neue Version des Bundesdatenschutzgsetzes (BDSG) in Kraft. Darüber hinaus gelten eine Reihe von anderen Gesetzen, in denen auch Datenschutzrelevante Aspekte geregelt sind (SGB, TMG, TKG, etc.), die denen der DSGVO und des BDSG vorstehen.

Die europäische Diskussion um den Datenschutz ist mittlerweile stark durch die Menschenrechtsgedanken geprägt. Es ist allgemeiner Konsens, dass der Schutz der Privatsphäre ein Grundrecht ist.

Während in Europa die Datenschutzdiskussion unter dem Vorzeichen "opt-in", also der vorherigen ausdrücklichen Zustimmung, bevor Daten verarbeitet werden, geführt wird, gehen andere Länder wie z. B. die USA den "opt-out" Weg. In diesem Fall muss aktiv widersprochen werden, um einer Datenverarbeitung zu widersprechen.

Spannungsfelder und Herausforderungen

ups... hier sollte ein Bild angezeigt werden Aus den unterschiedlichen Auffassungen, die durchaus kulturell geprägt sind, ergeben sich hinsichtlich "opt-in" und "opt-out" eine Vielzahl von Herausforderungen in der Umsetzung von Datenschutz, da heute immer mehr davon ausgegangen werden muss, das personenbezogene Daten Gegenstand von grenzübergreifenden Transfers in Nicht-EU-Länder sind.

Hierfür die richtigen Regelungen und Verträge zu entwickeln und vereinbaren ist die Aufgabe von Datenschützern und Juristen aber auch der Politik. Gerade letztere ist gefordert, um den Betroffenen auch zukünftig ausreichende Rechte zum Schutz ihrer Persönlichkeitsrechte zu garantieren. Themen sind u. a.:

die großen Social-Media-Dienste mit ihrem Datenhunger
Big-Data, KI und selbstlernende Algorithmen
IoT, Smart-Home, RFID, NFC

Im Zusammenhang mit den neuen Technologien, die immer stärker in unser Leben Einzug halten, fallen immer mehr Daten an, die teilweise notwendig sind, um die IoT zu betreiben, die aber auch eine Profilbildung ermöglichen. Durch die Zusammenführung dieser Daten mit anderen aus Social-Media, Online-Shopping, Mikro-Payment etc entsteht eine neue Version der Orwell´schen Vision "1984", nur dass aus der Satire von einst heute sehr schnell Realität werden kann. Insofern muss jeder für sich entscheiden, welche und wieviele Details er aus seinem Privatleben und seinem Verhalten preisgeben will und bewusst entscheiden, ob ein häufig gehörter Satz von Betroffenen

Ich habe nichts zu verbergen!

nicht ersetzt werden sollte durch:

Ich habe nichts zu verbergen, aber eine Menge zu befürchten!

Außerdem gibt es eine große Diskrepanz zwischen den Aufwendungen, die Unternehmen im B2B zu tätigen haben gegenüber denen im B2C. Hier ist leider festzustellen, dass die Social-Media-Dienste es sich recht einfach machen konnten, indem sie ihre Marktdominanz dazu nutzen, um den Benutzern ihre Nutzungsbedingungen und damit auch Datenschutzregelungen aufzudrängen. Im B2B haben sich die Aufwände für datenschutzkonforme Verträge und Regelungen massiv erhöht und der Nutzen darf durchaus manchmal in Frage gestellt werden.

Lösungsansätze

Penrose-Triangle Die DSGVO bietet vielfältige Lösungsansätze um den Datenschutz für die Betroffenen auf eine neue Qualitätsstufe zu bringen und gleichzeitig die Aufwände für das Datenschutz-Management zu optimieren:

Schulterschluss mit dem Informationssicherheit-Management
In vielen Unternehmen gibt es bereits etablierte Managementsysteme für Informationssicherheit (ISMS), vielfach nach ISO27001 zertifiziert. Diese bieten eine gute Grundlage, um das Datenschutz-Management zu institutionalisieren, ohne zusätzlich ein völlig neues Management aufbauen zu müssen.
Natürlich müssen die existierenden Methoden und Prozesse angepasst und ergänzt werden:
- Die ISMS-Risikoanalyse muss um Aspekte ergänzt werden, damit die Notwendigkeit einer DFSA erkannt werden kann.
- Kennzahlen zur Messung der Effizienz des ISMS müssen um Datenschutzkennzahlen ergänzt werden.
- In der Providersteuerung können Anforderungen beider Disziplinen gebündelt werden, um den Verantwortlichen mehr Transparenz vor allem über Subunternehmer-Ketten zu verschaffen.
- Asset-Listen (z. B.: die CMDB) könnten um Datenschutzaspekte ergänzt werden, um dem IT-Management mehr Transparenz und Effizienz im operativen Management zu ermöglichen.

Verbesserung der Transparenz von Subunternehmer-Ketten
Gerade das Management von Dienstleistern und Subunternehmern kann eine besondere Herausforderung darstellen, weil diese i. d. R. selbst über eigene Lieferanten und Subunternehmer verfügen. Wenn diese Lieferanten IT-Dienstleistungen erbringen, ergibt sich eine "flow-down" Kette von Datenschutz-Verpflichtungen.

Gemäß den Anforderungen der DSGVO muss ein Verantwortlicher in der Lage sein, alle Dienstleister, die mit den personenbezogenen Daten in Berührung kommen könnten, zu kontrollieren hinsichtlich der Einhaltung der Datenschutzanforderungen. Das wird aber bei der Nutzung von Cloud-Diensten oder der Beauftragung internationaler Konzerne immer schwieriger.

Konsequente Umsetzung von "Privacy by design and by default"
Die Umsetzung der Artikel 32 und 25 "Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen" geht meines Erachtens weit über das bisher unter dem Begriff "TOM" praktizierte Verfahrensmodell hinaus.

Technikgestaltung ist in der IT-Security auch unter den Begrifflichkeiten "Härtung", Vulnerability Management, Application-Security, etc. bekannt. Diese Themen sind zum Beispiel alle in den BSI Grundschutzkatalogen oder der ISO27001 Annex A abgedeckt. Datenschützer können also unter Anwendung des Artikel 25 eine Sanktionierung nach Artikel 83 von schlecht gewarteten Betriebssystemen anstoßen und ein solches Betriebssystem muss in aller Regel in einer DFSA zu einer negativen Beurteilung führen.

Datenschutzfreundliche Grundeinstellungen können ebenfalls auf die Konfigurationen von Servern und Betriebssystemen angewendet werden. Damit lassen sich viele Konfigurationen derartig verändern, sodass nur die sicheren Varianten genutzt werden können (z.B. https statt http bei Webservern). Aber auch deutlich weitergehende Themen wie zum Beispiel die Sicherheit von Web-Applikationen gehört zu diesem Themenkreis. Am Beispiel der OWASP Top10 lässt einfach aufzeigen, wie risikobehaftet eine Anwendung sein kann. Es wird die Frage zu beantworten sein, welchen Einfluss derartige Schwachstellen (z.B. eine Missbrauchsmöglichkeit durch "Injection" oder "Cross-site Scripting") in einer Web-Applikation auf die Ergebnisse einer DFSA oder eines Datenschutz-Audits haben werden.

Die hier aufgezählten "Datenschutz-Aspekte" sind nur ein kleiner Ausschnitt der kompletten Palette. Jedes Unternehmen muss für sich entscheiden, in welchem Spannungsfeld zwischen Schutzbedarf und Risiko es sich befindet und dann die richtigen und geeigneten Maßnahmen ergreifen.

Bei der Analyse von Anforderungen und der Umsetzung von Maßnahmen bin ich Ihnen gerne behilflich. Ich freue mich auf Ihren Anruf.