Erst kommt die Bestandsaufnahme

Die DSGVO als Stammgast: Ein Leitfaden für Unternehmen

Pierre Gronau

© Shutterstock/ HT-Pix

Die DSGVO ist ein Stammgast mit Launen, der gut versorgt werden will. Dieser Leitfaden zeigt, wie das gelingen kann. Wir behandeln unter anderem die Themen Design, Zugriffsrechte, Datensparsamkeit, Recht auf Vergessen und Pseudonymisierung bei personenbezogenen Daten.

Die Umsetzung von DSGVO-Anforderungen stellt sich als ganzheitliche betriebliche Aufgabe dar. Sie betrifft alle analogen und digitalen Unternehmensprozesse, in denen sensible, personenbezogene Daten verarbeitet werden. IT-Führungskräfte stehen jetzt vor zwei Fragen: Wo müssen sie ansetzen, um diese Aufgabe nachhaltig zu lösen? Wie lässt sich verhindern, dass der Berg an notwendigen Veränderungen noch größer und undurchsichtiger wird? Im Kern soll dieser Beitrag Licht ins Dunkel bringen. Er legt den Fokus auf „Security by Design“ für IT-Systeme, damit IT-Teams, die mit der Umsetzung von DSGVO-Projekten betraut sind, eine Orientierung erhalten (Abb. 1). Ich teile hiermit also gerne Erfahrungen – aus meinem Alltag als externer Sicherheitslotse.

Abb. 1: Kleeblatt “PPPP” (Processes, People, Products, and Privacy oder zu deutsch: Prozesse, Menschen, Produkte und Datenschutz)

Artikelserie
Teil 1: Warum brauchen wir jetzt Security-as-a-Service, Compliance-as-a-Service?
Teil 2: Die DSGVO wird als Stammgast in die Unternehmen einziehen
Teil 3: Security-by-Design-Projekte in Zeiten der Datendämmerung
Teil 4: Security und Compliance out of the Box

Security by Design: der Königsweg zur Umsetzung von DSGVO-Projekten

Schauen wir uns an, wie Personendaten bei strukturierten Daten (beispielsweise SQL-Datenbanken) zukünftig behandelt werden sollten, damit sich Unternehmen souverän und datenschutzkonform im Spannungsfeld von Businessaktivität, IT-Sicherheit und Datenschutz bewegen. Schon während des Designs einer Software- oder Datenbanklösung treten Faktoren auf, die auf das Datenschutzkonto einzahlen. Mit fünf Empfehlungen können Entwickler und Administratoren den Aufwand bei der Implementierung DSGVO-relevanter Punkte minimieren.

Informationsdaten, Einwilligungsdaten (Opt-in) und archivierungspflichtige Daten klar trennen

Datenschutzkonforme Systementwicklungen fordern, Daten redundant zu speichern und sie mindestens in die Kategorien Informationsdaten, widerrufliche Einwilligungsdaten und Archivierungsdaten einzuteilen. Alle drei Kategorien lassen sich wie in Abbildung 2 gezeigt in einen zeitlichen Kontext übertragen.

Abb. 2: Daten der verschiedenen Kategorien lassen sich in einen zeitlichen Kontext übertragen

Bei Informationsdaten handelt es sich um Informationen zu einer Person, die nicht der gesetzlichen Archivierungspflicht unterliegen. Sie müssen direkt nach Erfüllung des Erhebungszwecks gelöscht werden. Ein Beispiel sind Kreditkartendaten, die direkt nach dem Bezahlvorgang gelöscht werden müssen.

Widerrufliche Einwilligungsdaten oder Opt-In-Daten sind Informationen, die bis zum Widerruf zu einem bestimmten Zweck vorgehalten werden, um die Umsetzung eines wiederkehrenden Wunsches zu ermöglichen. Das können E-Mail-Adressen für Newsletter oder für jährliche Geburtstagsglückwünsche sein. Bei Werbemaßnahmen wie einen Newsletter-Versand dürfen Anwender nur die Daten verwenden, denen die Eigentümer explizit zugestimmt haben. Diese Zustimmung ist jederzeit widerrufbar. Sobald Datenschutzbehörden nachweisen, dass Unternehmen Kontakt zu Personen aufgenommen haben, die nicht explizit über Opt-in zugestimmt haben, können diese Unternehmen mit erheblichen Geldstrafen belegt werden. Damit Audits gelingen, sollten werbetreibende Firmen sollten Antworten, Einwilligungstexte und Aktionen sorgfältig dokumentieren. Empfehlenswert ist zudem das Design eines Datenbankbereichs für Textbausteine. Als Beispiele hierfür dienen Einwilligungsvorlagen oder juristische Texte.

Unter Archivierungsdaten versteht man eine Sammlung von Informationen, die beispielsweise für die gesetzlichen Aufhebungsfristen im medizinischen Bereich oder in der Buchhaltung benötigt werden, um Vorgänge nachzuvollziehen. Das können zum Beispiel Rechnungsdaten zum Kauf von Produkten und Dienstleistungen sein. Erst nach Ablauf der gesetzlichen Aufbewahrungspflicht dürfen diese Archivierungsdaten gelöscht werden. Das bedeutet, ein Löschvorgang, der mit Inkrafttreten der EU-DSGVO bindend ist.

Einwilligungsvorlagen oder juristische Texte.

Unter Archivierungsdaten versteht man eine Sammlung von Informationen, die beispielsweise für die gesetzlichen Aufhebungsfristen im medizinischen Bereich oder in der Buchhaltung benötigt werden, um Vorgänge nachzuvollziehen. Das können zum Beispiel Rechnungsdaten zum Kauf von Produkten und Dienstleistungen sein. Erst nach Ablauf der gesetzlichen Aufbewahrungspflicht dürfen diese Archivierungsdaten gelöscht werden. Das bedeutet, ein Löschvorgang, der mit Inkrafttreten der EU-DSGVO bindend ist.

Berücksichtigung von Archivierungspflichten

Im Design neuer Software- und Datenbankentwicklungen sollte für jedes Datenfeld eine Tabelle mit den dazugehörenden gesetzlichen Archivierungspflichten hinterlegt sein. Zu Datenfeldern zählen beispielsweise Rechnungsnummer, Rechnungsdatum und der Netto-Betrag. Mitarbeiter müssen Belege entsprechend der Abgabenverordnung (AO), nach Steuerrecht zehn Jahre, Belege gemäß Handelsgesetzbuch (HGB) sechs Jahre archivieren.

Branchenbezogene Spezifika bei Archivierungsauflagen üben wesentlich mehr Einfluss auf Neuprojekte aus. So müssen Unternehmen bei der Datenverarbeitung – zum Beispiel bei einer Arztrechnung – nach Strahlenschutz- und Röntgenverordnung Patientendaten bis zu dreißig Jahre aufbewahren. Gleiches gilt auch für Aufzeichnungen nach dem Transfusionsgesetz.

Gelten für personenbezogene Daten mehrere divergierende Auflagen zur Archivierung, empfiehlt es sich, nicht nur die maximale Archivierungszeit, sondern alle Fristen, die für diese Daten relevant sind, anzulegen. Haben Entwickler lediglich die Maximalzeit berücksichtigt, müssen sie bei Veränderungen sonst erneut die Software anfassen.

Zusätzlich sollten IT-Verantwortliche rollenbasierend den Terminus „Ansichtsfristen“ pro Feld hinterlegen. Was bedeutet das konkret? Archivierungsdaten für Rechnungen sind nur fünf Jahre für die „Rolle A“ einsehbar, für die „Rolle B“ dagegen in der ganzen Laufzeit. Bei besonders schützenswerten Informationen vergleichsweise Gesundheitsdaten ist ein Einblick für Administratoren ohne Betriebsrat oder Datenschutzbeauftragte zu unterbinden. Das bedeutet: Beide stellen ihren „Schlüssel“ zur Einsichtnahme zur Verfügung. Hierfür eignet sich eine auf Datenfeld-basierte Verschlüsselung, die für bestimmte Informationen das Verfallsdatum bereits eingebaut hat.

Datenschutz-Booster für bestehende Systeme

Was passiert mit Datenbanken, deren Speicherkapazität fast erschöpft ist, während niemand weiß, welche personenbezogenen Daten darin lagern? Viele Anwendungen bieten keine Transparenz, wo diese Daten liegen und wer im Unternehmen für die Speicherung verantwortlich zeichnet. Das ist natürlich eine missliche Situation, unter der aktuell eine Vielzahl an Firmen, Behörden und Institutionen leidet.

Berücksichtigen IT-Beauftragte Datenschutz und Entwicklungseffizienz, dann verbietet es sich, neue Daten unter DSGVO-Gesichtspunkten zu behandeln und gleichzeitig den bestehenden Datenpool zu ignorieren. Alle personenbezogenen Daten in einem großen Unternehmen zu identifizieren und zuzuordnen, scheint hingegen ein Wunschtraum zu bleiben.

Diese ausufernden, komplizierten Prozesse sind eine der größten Herausforderungen auf dem Weg zur Datenschutzkonformität. Nicht erkannte, frei flottierende und unsachgemäß gespeicherte Datenbestände bergen ein hohes Risiko für Sicherheitsverletzungen. Zusätzlich können sie eine empfindliche Haftung nach EU-DSGVO mit sich ziehen. Nachweisbare Anstrengungen, diese nicht verwendeten Daten zu finden und zu löschen, reduzieren die Strafen im Ernstfall erheblich.

Software für die Datenlöschung

Was müssen Entwickler und Leiter in Fachabteilungen über Lösungen für Datenlöschung wissen? Sie benötigen zunächst eine Beschreibung des Löschprozesses von personenbezogenen Daten in den operativen und dispositiven Systemen des Unternehmens. Schon während der Entwicklung und auch beim Einsatz von Software hat eine datenschutzkonforme Löschung dieser Daten oberste Priorität.

Derzeit steht keine brauchbare Standardsoftware zur Verfügung, mit der Nutzer konform Daten löschen können. Um den Anforderungen der EU-DSGVO gerecht zu werden, müssen nachträglich flächendeckend Softwareänderungen durchgeführt werden.

Um eine aufwändige, fehleranfällige manuelle Löschung zu vermeiden, bietet es sich an automatische Löschroutinen einzusetzen. Auch wenn sie Personendatenübersichten erstellen, sollten Entwickler Prozesse softwareseitig unterstützen, um die enormen Aufwände und Fehleranfälligkeit einer manuellen Auswertung zu vermeiden. Ob sich eine Anpassung lohnt und wann eine neue Softwarelösung sinnvoll ist, zeigt sich als klassische Güterabwägung. Tendenziell empfiehlt es sich, Refactoring vorzuziehen, anstatt alte, unzeitgemäße Systeme in die neue Welt hinüber zu retten.

Mindestprüfungen und Small Data

Bei bestehenden IT-Systemen müssen Entwickler etablierte Prozesse wie Audits und Penetrations-Tests adaptieren. Diese Projekte sind teilweise mit großen Herausforderungen verbunden. Es gibt hierbei jedoch Mindestanforderungen an die Überprüfung bestehender Systeme.

Unter der Voraussetzung, dass mindestens drei Umgebungen (Dev = Entwicklung, Test und Prod = Produktion) vorhanden sind, sollten Administratoren, Entwickler und IT-Sicherheitsmitarbeiter vier Seiten automatisch einrichten (Kasten: „Vier gewinnt“).

Vier gewinnt
• Schwachstellenanalysen (Vulnerability Scans) (Abb. 3)
• Schadsoftwareüberprüfungen (Malware Scans) (Abb. 4)
• Compliancescans wie Härtungen bei der IT-Komponenten auf Sicherheitsaspekte hin verändern
• Historisierung der Codes innerhalb der Softwareentwicklung (idealerweise bei jedem Commit), Einführung eines Versionskontrollsystems (beispielweise mit Git)

Abb. 3: CIS Control 3/SEALKIT Vul

Diese Mindestprüfungen müssen Anwender ausführen. Weiterhin müssen sie die Ergebnisse in der Deployment-Pipeline lückenlos dokumentieren. Das hier beschriebene, praxisnahe Konzept zeigt, wie IT-Beauftragte anfallende Daten verarbeiten und worauf sie achten müssen:

Zu Beginn erfassen Projektverantwortliche alle anfallenden Daten und klassifizieren sie. Im Klassifizierungsprozess ist zu beachten, dass neben der DSGVO noch weitere Gesetze, Regularien und Behördenauflagen existieren. Dazu zählen die Abgabenordnung (AO) als elementares Gesetz des deutschen Steuerrechts, das IT-Sicherheitsgesetz (IT-SiG), weithin unter KRITIS bekannt, sowie diverse eHealth-Gesetze wie die EU-Verordnungen zu Medizinprodukten und In-vitro-Diagnostika.

Abb. 4: CIS Control 8

Verordnungen widersprechen sich teilweise

Bedauerlicherweise widersprechen sich diese Verordnungen teilweise und erfordern eine permanente und gründliche Prüfung aller Parameter, die für die eigenen Daten greifen. Wir halten fest, dass bei unterschiedlichen Zeiträumen zur Datenspeicherung und Archivierung immer der längste Zeitraum zählt.

Projektverantwortliche sollten prüfen, wie personenbezogene Daten, die sich auf Geschäftsaktivitäten beziehen, in datenschutzkonformem Umfang gesammelt werden können, und wie eine Pseudonymisierung der Daten gelingt. Unter Pseudonymisierung versteht man laut Kapitel 1 Art. 4 DSGVO:

die Verarbeitung personenbezogener Daten in einer Weise, dass diese ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.

Mit Verschlüsselung „in Transit“, „at Rest“ und „in Use“ vertraut machen

Nach dem neuen US-Gesetz „Clarifying Lawful Overseas Use of Data Act“ (CLOUD) sind amerikanische Internetunternehmen, also auch Cloud-Service-Provider aus den USA, dazu verpflichtet, amerikanischen Sicherheitsbehörden uneingeschränkten Zugriff auf Nutzerdaten, die außerhalb der USA gespeichert sind, ohne richterlichen Vorbehalt zu ermöglichen.

Daraus folgt der zwingende Rat an Entwickler und Administratoren, auch unter Berücksichtigung der DSGVO, sich mit der Verschlüsselung in Transit (Transportverschlüsselung), at Rest (Massenspeicherverschlüsselung) und in Use (Verschlüsselung im Speicher wie bei einer Datenbank in Laufzeit) vertraut zu machen. Daneben sollten sie so schnell wie möglich mit der Implementierung beginnen.

Wir brauchen eine Bestandsaufnahme

Zusammenfassend halten wir fest, dass eine exakte Bestandsaufnahme aller datenverarbeitenden Prozesse und ihrer IT-Systeme im Unternehmen die Basis für Entscheidungen für oder gegen eine Neuentwicklung bildet. Darauf bauen dann Überlegungen zu Security-by-Design-Projekten, ihrem Umfang, dem personellen Einsatz und den eingesetzten Methoden auf.

Verwandte Themen:

Geschrieben von
Pierre Gronau
Pierre Gronau
Pierre Gronau ist Gründer der Gronau IT Cloud Computing GmbH. Seit zwanzig Jahren arbeitet er als Senior-IT-Berater mit umfangreicher Projekterfahrung. Zu seinen Kompetenzfeldern gehören Servervirtualisierungen, Cloud Computing und Automationslösungen sowie Datensicherheit und IT-Datenschutz. Seine Analyse- und Lösungskompetenz dient Branchen von Gesundheitswesen bis Automotive, von Telekommunikation bis Finanzwesen als Orientierung für Unternehmensentwicklung in puncto Digitalisierungsstrategien und IT-Sicherheitskonzepte.
Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu: