Weißer Rabe

Statt Verbesserungen im Datenschutz bewirkte die Reform des Bundesdatenschutzgesetzes 2009, dass Betroffene die gesetzlichen Auflagen für eine Auftragsdatenverarbeitung nach wie vor bis an die Grenze strapazieren. So geben sie sich immer noch eher mit Berichten Dritter zufrieden, statt sich selbst ein Bild zu machen. Ein Plädoyer für Datenschutzaudits.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 9 Min.
Von
  • Ronny Frankenstein
Inhaltsverzeichnis

Es gehört in jedem Unternehmen zum organisatorischen Alltag, dass Gesetze zu beachten sind, auch wenn das den Erlös des Unternehmens oder den Etat der Behörde schmälert. Dem Datenschutz geht es dabei wie vielen Compliance-Themen, er wird in der Regel auf „unterster Kante“ gelebt.

Getrieben durch die Datenschutzskandale der letzten Jahre sah sich der Gesetzgeber unter anderem genötigt, weitere Aspekte zur Auftragsdatenverarbeitung in mehreren Novellen zu präzisieren, die bis zum 11. Juli 2010 inklusive einiger Übergangsregelungen (siehe Kasten „Novellen und Fristen“) in Kraft getreten sind. Doch die eigentlich angestrebten praktischen Änderungen und Verbesserungen beobachtet man nach wie vor so selten wie den sprichwörtlichen weißen Raben.

Das Datenschutzaudit hatte es wieder einmal nicht geschafft, gesetzlich verankert zu werden. Immerhin hatte der Gesetzgeber aber den Versuch unternommen, bei Auftraggebern ein Bewusstsein dafür zu schaffen, dass die Verantwortung für die Daten bei ihnen verbleibt und sie verpflichtet sind, sich der Qualität des Auftragnehmers zu versichern.

Mehr Infos

Novellen und Fristen

BDSG-Novelle I: Gesetz vom 29. 07. 2009, BGBl. I S. 2254; tritt am 01. 04. 2010 in Kraft

BDSG-Novelle II: Gesetz vom 14. 08. 2009, BGBl. I S. 2814; tritt weitestgehend am 01. 09. 2009 in Kraft mit Übergangsregelungen in § 47 (§ 34 Abs. 1a, Abs. 5 und § 43 Abs. 1 Nr. 8a BDSG neuer Fassung treten am 01. 04. 2010 in Kraft)

BDSG-Novelle III: Gesetz vom 29. 07. 2009, BGBl. I S. 2355; tritt am 11. 06. 2010 in Kraft

Nun gab es das alles im Grunde auch schon vorher im Gesetz, weshalb die Kommentare zur Novellierung von „zahnlos“ bis „na endlich“ reichten. Bis dahin bestand Umsetzung in mehr oder weniger detaillierten Verträgen, mit der Auflage, die in der Anlage zu § 9 BDSG beschriebenen technischen und organisatorischen Maßnahmen (TOMs) zum Schutz der Daten umzusetzen. Die Kontrolle beschränkte sich darauf, sich jedes Jahr einen hübschen „Kontrollbericht“ über die Umsetzung liefern zu lassen. Gesetzliche Konformität erfüllt!

Nach der Novelle waren mindestens formal die Verträge anzupassen, da der Gesetzgeber die zu regelnden Inhalte nun ganz konkret vorgab. Ferner war es nun nötig, „(…) sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.“ Was allerdings unter „überzeugen“ zu verstehen oder gar zu tun ist, konkretisierte der Gesetzestext nicht weiter und blieb somit wieder dem Auftraggeber überlassen.

Viele Organisationen sehen neben den formal nötigen Vertragsanpassungen kaum Handlungsbedarf und überzeugen sich wie bisher anhand der jährlichen Berichte der Dienstleister von der Einhaltung der Maßnahmen. Die wenigen Praktiker, die aktiver werden wollen, laufen gegen eine Wand, bei dem Versuch, den Gesetzestext als Rechtfertigung für ihren Handlungsbedarf heranzuziehen – denn in diesem fehlt ja die Konkretisierung, wie die Umsetzung der vorgegebenen Inhalte kontrolliert werden soll.

TOMs: Technische und organisatorische Maßnahmen

Einige Organisationen sind bekanntlich anders als andere. Über sie berichtet keine Skandalpresse, und sie verstehen Compliance-Themen nicht als reinen Kostenfaktor, sondern akzeptieren den nötigen Aufwand als Chance und nutzen die gewonnenen Erkenntnisse, um sich weiter zu verbessern.

Dabei erweisen sich Audits in Form von Vor-Ort-Kontrollen als äußerst wertvoll. Die praktische Erfahrung des Autors mit Datenschutzaudits seit mehreren Jahren zeigt, dass fast alle Umsetzungen der technischen und organisatorischen Maßnahmen mangelhaft und oft die vielen Kontrollberichte das Papier nicht wert sind. Wie jedoch kann man so ein Audit sinnvoll gestalten, welche Fragen stellen und wie viel Aufwand bedeutet es, Datenschutzaudits durchzuführen?

Inhaltlich sind die beim Auftragnehmer umgesetzten technischen und organisatorischen Kontrollmaßnahmen, die sogenannten TOMs (siehe Kasten „TOMs: Technische und organisatorische Maßnahmen“) zu prüfen. Im Laufe der Jahre hat die Datenschutz-Community eine Unmenge an Fragebögen erstellt. Ob online recherchiert oder als Bezieher in einem Datenschutz-Abonnement eines Verlages erhalten – es gibt zahlreiche Checklisten, die man benutzen kann.

Die typischen Checklisten bewegen sich in der Regel auf einem hohen Abstraktionsniveau und bieten dem kundigen Auditor die Möglichkeit, sich daran zu orientieren, um keinen wichtigen Aspekt zu vergessen. Dazu wurden sie vermutlich auch konzipiert. Was wirklich fehlt, sind die praktischen Erfahrungen der Durchführenden oder eine Tiefenprüfung, die erkennen lässt, ob eine angemessene Umsetzung erfolgt.

Maßnahmen und Datenschutzkontrollziele

Ferner lässt die schwache Ausarbeitung der meisten Fragebögen und Standardchecklisten einen großen Spielraum, der geprüften Unternehmen in der Regel dabei hilft, immer Argumente für das Bestehen zu finden.

Viele Datenschutzbeauftragte sind Juristen oder kommen aus einer Fachabteilung. Sie sind von den IT- und IT-Sicherheitsthemen schlicht überfordert, da häufig Spezialwissen nötig ist. Auch die Ausbildung der Datenschutzbeauftragten kann häufig nicht die erforderlichen umfassende Kenntnisse zu den verschiedenen Themengebieten vermitteln. Einige Datenschutzbeauftragte bringen ihr Know-how aus der IT mit und können rasch das Datenschutzwissen ergänzen. Diese Ergänzung können die meisten Weiterbildungen leisten. Die überwiegende Zahl der Verantwortlichen ist aber im Grunde dazu gezwungen, ein Thema zu forcieren, in dem sie nicht zu Hause sind. Welche Chancen es dennoch gibt, zeigt der nächste Abschnitt.

Hinsichtlich des zeitlichen Aufwands sind normalerweise zwischen drei und fünf Tage pro Jahr und Dienstleister einzuplanen. Insbesondere die ersten Audits erfordern häufig noch mehr Aufwand, denn je nach Komplexität der Dienstleistung und Unternehmensgröße des Auftragnehmers gilt es Schwerpunkte zu berücksichtigen. Sehr gute Auditergebnisse rechtfertigen es, den Zyklus der Kontrolle auf zwei Jahre auszuweiten.

Wenn möglich, sollte der Auditor das Prozedere an die konkreten Gegebenheiten anpassen, sofern über die Organisation, bei der das Audit durchgeführt werden soll, im Vorfeld etwas bekannt ist oder er diese recherchieren kann. So kann er beispielsweise vorab tatsächlich vertiefende Unterlagen zu den im Unternehmen vorhandenen technischen und organisatorischen Maßnahmen anfordern.

Diese Unterlagen sollten in der Regel die Umsetzung der einzelnen Themengebiete belegen. So können dies Richtlinien zur Informationstechnik (IT) oder IT-Sicherheit, Konzepte zur Vergabe von Berechtigungen und den Umgang mit Passwörtern, Auszüge aus Logdateien oder deren Auswertung sowie Angaben zur physischen Sicherheit von Standorten sein (siehe Kasten „Unterlagenbeispiele für Datenschutznachweise“).

Danach kann eine qualifizierte Person oder ein extern hinzugezogener Experte eine Analyse dieser Unterlagen durchführen. Zu berücksichtigen sind ebenfalls die nicht gelieferten Unterlagen. Sofern das Unternehmen keine Begründung für ihr Fehlen nennt, sind sie ein Indiz für mögliche Schwächen im Sicherheitskonzept des Auftragnehmers. Zeitweilig bestehen zum Beispiel Bedenken hinsichtlich der Vertraulichkeit der Aufbewahrung beim Auftraggeber, die darauf verweisen, dass die Unterlagen dann vor Ort einsehbar sein sollen. Diese Bedenken sind selbstverständlich akzeptabel.

Die Art der Dienstleistung kann zu weiteren Schwerpunkten eines Audits führen. Handelt es sich um einen Briefversender, der Kundenbriefe ausdrucken und kuvertieren soll, oder um ein Unternehmen, das per Fernwartung vielleicht sogar rund um die Uhr auf die IT-Systeme mit vertraulichen Daten zugreifen wird?

Zwar gibt es eine Schnittmenge zwischen Datenschutz- und IT-Themen, den meisten Datenschützern fehlt es allerdings am erforderlichen technischen Know-how.

Im ersten Fall würde die physische Sicherheit des Zugangs zur Druckstrecke, die Entsorgung von Fehldrucken und die Anlieferung der Daten zum Auftraggeber relevante Prüfpunkte liefern. Im zweiten Fall wäre es interessant, das Berechtigungskonzept des Zugangs, die eingesetzten Sicherheitssysteme wie Anti-Virus und Firewall oder die Protokollierung sowie Auswertung der durchgeführten Arbeiten mit regelmäßigen Berichten an den Auftraggeber unter die Lupe zu nehmen.

Einen weiteren Beitrag liefert die Berücksichtigung des Bausteins Datenschutz in den IT-Grundschutzkatalogen des BSI. Er selbst ist zwar nicht umfassend brauchbar, aber es existiert dazu ein wenig bekanntes Hilfsmittel (s. „Alle Links“), das insbesondere für die Zusammenstellung von vertiefenden Fragen zu den TOMs äußerst wertvoll ist. Einen Auszug der „Maßnahmen und Datenschutzkontrollziele“ des BSI zeigt die gleichnamige Tabelle auf Seite 112.

Es ist recht einfach, sich einige Maßnahmen des IT-Grundschutzes zu dem jeweiligen technischen und organisatorischen Thema zusammenzustellen. Die IT-Grundschutzkataloge des BSI haben unter anderem den Anspruch, auch dem Nicht-Experten eine Einführung in das jeweilige Sicherheitsfachgebiet zu geben. So kann sich selbst der weniger kundige Datenschutzbeauftragte rasch mit der relevanten Fragestellung vertraut machen. Die an der jeweiligen Maßnahme vermerkten Prüffragen verweisen zusätzlich auf die Intention, die mit der Umsetzung der Maßnahme verbunden ist.

Geht es etwa um die Anbahnung einer neuen Dienstleistung beziehungsweise eines neuen Vertrages, kann man anhand der Maßnahmen oder der Prüffragen ein Punktesystem nutzen. So kann der Verantwortliche oder ein Auditor leicht die passenden Kandidaten mit der besten Punktzahl im Ergebnis des Audits empfehlen.

Bei bestehenden Verträgen muss unbedingt eine Vereinbarung über das priorisierte Beheben der in einem Audit festgestellten Nichtkonformitäten erfolgen. Für die Priorität können erfahrenere Praktiker Hinweise geben oder zum Teil die sogenannten Siegelstufen (A, B, C) (siehe „Alle Links“) aus Bausteinen der IT-Grundschutzkataloge nutzen.

Die Datenschutzpraxis hinsichtlich der umgesetzten technischen und organisatorischen Kontrollmaßnahmen bei Dienstleistern ist häufig mangelhaft. Trotz des Beauftragens einer Dienstleistung bleibt der Auftraggeber für die Daten verantwortlich und muss daher einen sicheren Umgang auch beim Dienstleister einfordern. Zwar gilt in diesen Fällen eigentlich eine Bringschuld des Dienstleisters, der lässt es jedoch häufig an angemessenen Schutzmaßnahmen mangeln – nicht zuletzt wegen fehlender Kontrollen vor Ort. Hilfsmittel und externe Unterstützung für solche Kontrollen existieren reichlich – man muss sie nur nutzen.

ist Senior Manager und für das Beratungsprodukt IT-Grundschutz bei der Berliner HiSolutions AG verantwortlich.

Alle Links: www.ix.de/ix1206111

Mehr Infos

Unterlagenbeispiele für Datenschutznachweise

Unterlagen, die im Vorfeld der Prüfung anzufordern sind und rund 14 Tage vor dieser vorliegen sollten:

– Wachprotokoll

– Passwort-Richtlinie

– Richtlinie zum Umgang mit Datenträgern

– Benutzerverzeichnis sowie Berechtigungskonzept

– Übergabeprotokolle/Empfangsbestätigungen

– Dienstleistungsvertrag mit der Firma XYZ

– Dienstleistungsverträge mit Wartungsfirmen, die auf Kundendaten zugreifen können

– Löschprotokolle

– Prozesse beziehungsweise Arbeitsanweisungen zum Umgang mit Datenpannen

– Dokumentation zur Installation der IT-Infrastruktur

– Notfalldokumentation (inkl. Protokoll zu Notfallübungen)

– Sicherheitsrichtlinie zum Brandschutz

– Datensicherungskonzept

– Nachweis zur logischen und physikalischen Trennung

– Musterdatenschutzerklärung

– Übersicht über durchgeführte Audits zu Datenschutz- und Datensicherungsmaßnahmen

Unterlagen, die für die Vor-Ort-Prüfung zur Einsichtnahme vorzubereiten sind:

– Schlüsselbuch

– Besucherbuch

– Datenschutzerklärungen der letzten 12 Monate (der Angestellten)

– Systemeinstellungen

– Inventarverzeichnis

– Entsorgungsbescheingungen

– Auswertungsprotokolle

– Löschprotokolle

(ur)