DSMS - Datenschutz-Managementsystem (Teil III/III)

orangefarbenes Hexagon mit einem weißen Textzettel in der Mitte und einem Häkchen COMPLIANCE,

Christian Werbik

VACE Business Consultant Compliance

E-Mail schreiben

Beim DSMS handelt es sich um den auf DSGVO-Compliance spezialisierten Teil Ihres betrieblichen IKS (Internes Kontrollsystem). 

 

Teil I und II gingen zunächst auf den Umstand ein, dass eine (sofortige) 100%-ige Compliance die falsche Erwartungshaltung wäre. Vielmehr ist ein gewisser Pragmatismus bei der Einführung solcher Programme an den Tag zu legen. „Zügig 80%“ beim Aufbau des DSMS zu erreichen entspricht einem Good-enough-Prinzip. Dieses Vorgehen schützt Ihr Unternehmen schon vor vielen Beschwerden Betroffener, Schadenersatzforderungen und Behördenstrafen. Ebenso können Wettbewerbs-Klagen der Konkurrenz, welche sich auf mangelnde DSGVO-Einhaltung stützen, vermieden werden. 

 

Im ersten und zweiten Teil dieser Newsletter-Serie hatten wir Ihnen folgende Bestandteile eines DSMS – Datenschutz-Managementsystem – aufgezeigt: 

  • Verzeichnis von Verarbeitungstätigkeiten, 
  • Aufbauorganisation, 
  • Besprechungs- und Berichtswesen, 
  • Audits und Experten-Workshops, 
  • Arbeitsrichtlinien, 
  • Schulungswesen. 

In den vorigen Artikeln wurde die „Angemessenheit und Wirksamkeit“ des DSMS/IKS wiederholt besprochen. Maßnahmen zum Schutz von Personendaten sind schließlich nur auf Basis eines Betroffenenrisikos gesetzlich geboten. Die Schutzziele sind bekanntlich Vertraulichkeit, Verfügbarkeit und Integrität – aus der Perspektive Betroffener. 

Beispielsweise verschärft eine große Mitarbeiterzahl oder B2C-Vertrieb (Konsumenten) die grundlegende Notwendigkeit, das gebotene Ausmaß und die erforderliche Güte zu treffender organisatorisch-technischer Schutzmaßnahmen. Dies liegt an der Vielzahl Betroffener sowie an der Schutzbedürftigkeit dieser Personengruppen (vgl. Arbeitsrecht; Konsumentenschutz). 

Dies muss in Erinnerung gerufen werden, da viele Verantwortliche (bereits) beachtliche Anstrengungen zum Datenschutz unternehmen – dabei aber nicht risikobasiert vorgehen. Dies führt dazu, dass nicht bei den dringlichen und wichtigen Agenden gestartet wird. Während man unkritische Sachverhalte mit großer Mühe begutachtet, bleiben potenziell riskante Personendatenverarbeitungen unerkannt. 

DSGVO-Unternehmensberatung, in Gestalt eines externen Datenschutzbeauftragten, kann den nötigen Fremdvergleich beisteuern. Risiken werden aufgrund des Überblickes über viele Unternehmen besser erkannt und bewertet. Ein weiterer Vorteil ist die äußerste Spezialisierung des externen DSBa. Demgegenüber erfüllen inhouse-DSBa die komplexe Aufgabe oft als Nebentätigkeit. 

Ein Health-Check Ihrer Ausgangslage (Aufbau- und Prozessorganisation im Datenschutz) bietet sich für den Anfang an. Die VACE Digital Solutions berät regelmäßig DSGVO-Professionisten, welche selbst zertifizierte (inhouse) Datenschutzbeauftragte sind. Bei einer solchen Profi-Zusammenarbeit wird besonders geschätzt, dass auf die „üblichen Fehler“ sofort hingewiesen wird. Das Vermeiden typischer Compliance-Fallen spart Zeit und Kosten. 

Heute, im dritten Teil der DSMS-Newsletter-Serie, soll der Umgang mit Incidents thematisiert werden. Bei datenschutzrechtlicher Relevanz kann es sich beim Zwischenfall um einen Data-Breach handeln. 

Zwischenfälle 

Behandeln Sie Incidents bereits mit einem sogenannten Ticket-System? Diesfalls beeindruckt die infrastrukturelle / prozessuale Seite der Umsetzung. Ein standardisiertes Verfahren ermöglicht das Melden, die Bearbeitung durch einen Zuständigen sowie die Einhaltung zeitlicher Vorgaben. 

Von wesentlicher Bedeutung ist auch der Inhalt von Meldungen und wie man damit umgeht. Kaum Jemand versteht, dass Incidents eine datenschutzrechtliche Dimension aufweisen können – dies aber nicht immer der Fall ist. 

Verliert ein im Anlagenbau tätiges Unternehmen bspw. Baupläne, Handbücher oder Rezepte durch einen Hacking-Angriff, so handelt es sich zweifelsohne um einen Incident. Es kam zum Verlust von Daten und Information (interpretierte Daten mit Kontext). Auch ist der Zwischenfall von gravierender Bedeutung – aus Sicht des Unternehmers. Es handelt sich hier um ein Problem der Informationssicherheit. 

Um jedoch in den Anwendungsbereich der DSGVO zu gelangen, müssten die verlorenen/entwendeten Daten einen Personenbezug aufweisen. Letzterer ist bei Identifizierbarkeit einer natürlichen Person gegeben. Bei strengster Betrachtungsweise sind fast alle Daten als personenbezogen anzusehen. In aller Regel kommt es zu einem „menschlichen Zutun“. (So gibt es beispielsweise beim Anlagenbau Anlagenbediener.) 

Bei Datenschutzverletzungen zieht die DSGVO folgende Grenze: Eine Meldepflicht bei der Datenschutzbehörde besteht nicht, wenn (voraussichtlich) kein Risiko für die Rechte und Freiheiten natürlicher Personen herrscht. 

Um auf unser Beispiel „Anlagenbau“ zurückzukommen: Es kann durchaus sein, dass in den entwendeten oder gelöschten Bauplänen / Bedienungsanleitungen / Rezepturen auch die Maschinenbediener oder Entwickler namentlich genannt wurden. Dies führt aus Sicht dieser Betroffenen aber noch lange nicht zu Risiken. Durch Auswerten der gestohlenen Daten könnte allenfalls abgeleitet werden, dass die Herrschaften beim Anlagenbauer beschäftigt sind. 

Eine strafrechtliche Dimension dieser Geschichte soll an dieser Stelle nicht vertieft werden. 

  • „Datenbeschädigung“, 

  • „Störung der Funktionsfähigkeit eines Computersystems“, 

  • „Missbrauch von Computerprogrammen oder Zugangsdaten“ und 

  • „betrügerischer Datenverarbeitungsmissbrauch“ 

sind bekanntlich Tatbestände des Strafgesetzbuches. 

Wie gehen Sie beim IKS-Aufbau weiter vor? Der Sachbearbeiter für Incidents bekommt die Arbeitsrichtlinien „Erkennen von DSGVO-Relevanz bei Vorfällen“ sowie „Welche Zwischenfälle sind bei der Polizei anzuzeigen?“ und wird dementsprechend eingeschult. 

Kernbotschaft ist, dass zur Entscheidung der Vorgangsweise beim Auftreten gewisser Faktoren der DSBa beigezogen werden muss. Personenbezug mittels Identifizierbarkeit natürlicher Personen wird ein erstes Entscheidungskriterium sein. In der Folge wird ein Vorfall nicht nur aufgenommen und (dem Grunde nach) behandelt, sondern mit Hilfe Ihres DSBa auch inhaltlich richtig bewertet. 

Um die Brücke zu unserem DSMS zu schlagen: Bei dem vom Datenverlust betroffenen Anlagenbauer wird umgehend der DSBa informiert. Ein zeitlicher Verzug wäre aufgrund der 72-stündigen Meldefrist ab Kenntnis kritisch. Der DSBa lehnt zwar eine Meldepflicht bei der Datenschutzbehörde ab, wird dem Geschäftsführer aber eine Anzeige dieses „Kriminalfalles“ bei der Staatsanwaltschaft nahelegen. 

Das interne Kontrollsystem und DSMS hat zum richtigen Ergebnis geführt, dass keine unnötige Data-Breach-Meldung bei der Datenschutzbehörde eingebracht wurde. Die Risikoanalyse wurde mittels Aktenvermerk dokumentiert. 

Immer wiederkehrende Fehler: 

  • Voreilige Data Breach Meldungen ohne Risikobewertung 

  • Falsche Risikobewertung (etwa nicht aus Betroffenensicht) 

  • Extreme Übervorsichtigkeit mangels Fremdvergleich (hier hilft Ihnen ein externer Unternehmensberater) 

  • Verkennen eines Personenbezugs 

  • Man versteht nicht, dass sich ein Data Breach als Verlust, Beschädigung, Stehlen oder Änderung von Daten präsentieren kann. 

Ein unerfahrener Unternehmer meldet möglicherweise jeden Data Breach bedingungslos bei der Datenschutzbehörde. Dies mag zwar ein wirksames IKS/DSMS sein – aber die Angemessenheit ist zu hinterfragen. 

Sehr häufig wird von Unternehmen auch verkannt, dass die 72-Stunden-Frist erst durch Kenntnis einer Datenschutz-Verletzung ausgelöst wird. Es müsste ein angemessener Grad an Sicherheit über ein Datenleck herrschen – und nicht bloß vage Hinweise und Vermutungen. 

Steht also eine Datenschutzverletzung im Raum sind unverzüglich Sachverhaltsermittlungen anzustellen, aus denen sich die wahren Umstände herauskristallisieren sollten. Weiß man um das Datenleck, hat aber noch nicht alle Sachverhaltselemente erheben können, so wäre eine mehrstufige Meldung bei der Behörde einzubringen. Dies bedeutet, die späteren Ermittlungsergebnisse sind nachzureichen. Zuvor wird nur das Bekannte gemeldet. 

Bekommt man etwa ein Phishing-E-Mail weitergeleitet, welches Kundendaten enthält, so liegt noch nicht zwangsläufig Data-Breach-Kenntnis vor. Zunächst müsste die Kundendatenbank auf unautorisierte Zugriffe geprüft werden. 

Die VACE Group hilft Ihnen, ein dem Gesetz und neuester Literatur entsprechendes Data-Breach-Meldewesen einzurichten. Gegenüber der Datenschutzbehörde werden - bei Notwendigkeit -professionell aufbereitete Meldungen eingebracht. 

Ihr DSMS kann selbstverständlich über die vorgeschlagenen Punkte hinausgehen und freuen wir uns auf einen Erfahrungsaustausch mit Ihnen.