2019/10/01 Datenschutzaudit gemäß DSGVO DSGVO Art 5, 6, 42, 43
Audit von Verarbeitungen reduziert Unsicherheiten in der Umsetzung der DSGVO - Vorbereitung auf künftige Datenschutzzertifizierung gemäß Art 42 - hohe Nachweispflichten zentrale Herausforderung für Verantwortliche und Auftragsverarbeiter - Österreichisches Normungsinstitut arbeitet an Datenschutz-Audit-Norm, die e-commerce monitoring Gmbh ist an der Formulierung beteiligt
DSGVO bringt weniger Bürokratie und mehr Verantwortung
Im Grunde sind die Vorgaben der Datenschutzgrundverordnung (DSGVO) simpel und erlauben Informationsverarbeitern weitgehende Gestaltungsfreiheit.
Die DSGVO verlangt die "grundrechtskonforme Gestaltung aller personenbezogener Informationsprozesse".
Die neuen Gestaltungsmöglichkeiten der DSGVO werden jedoch durch mehr Unsicherheit erkauft. Die Datenschutzbehörde hat schon angekündigt keine Empfehungen und Hilfen zur Umsetzung der DSGVO zu geben. Viele Verantwortliche scheuen sich daher alle Möglichkeiten der DSGVO zu nutzen, zum Nachteil ihrer Wettbewerbsfähigkeit.
Technische Maßnahmen, wie revisionssichere Dokumentation, elektronische Signatur wichtiger Dokumente, qualifizierter Zeitstempel kritischer Prozesse sichern die Anforderungen der DSGVO ab. Externe Audits mit Erfahrungen bei der Gestaltung von sicheren Informationsprozessen können Unsicherheiten drastisch reduzieren.
Große Gestaltungsmöglichkeiten bei den Verwendungszwecken
Gerade Art 6 Abs 4 DSGVO bietet Verantwortlichen weitgehende Freiheit, zu welchen Zwecken sie persönliche Daten verarbeiten. Nicht nur zu ursprünglichen Zwecken dürfen persönliche Daten verwendet werden, sondern zu beliebigen anderen legitimen Zwecken, wenn eine ausreichende Folgenabschätzung gemacht wird.
Kriterien, die bei Wechsel des Verarbeitungszwecks zu beachten sind:
a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
b) den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
c) die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,
d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.
Ergibt eine gründliche Folgenabschätzung die Zulässigkeit der Verarbeitung zum neuen Zweck, dürfen die Daten dazu verwendet werden. Im Normalfall ohne weitere Zustimmung des Betroffenen, jedoch mit Benachrichtigung gemäß Art 13 oder 14.
Die Krux dieser neuen Freiheit ist, kaum jemand hat Erfahrung mit einer derartigen Abschätzung. Die Datenschutzbehörde hat schon jetzt angekündigt Verantwortliche dabei NICHT zu unterstützen. Externe Audits können dazu Rechtsunsicherheiten reduzieren.
Accountability und Kontinuität sind die neuen Herausforderungen
Weder Zweckbindung, Zustimmung oder Auskunftspflicht sind in der DSGVO wirklich neu. Diese Verpflichtungen gibt es, zum Teil wortident, schon seit Verabschiedung der Datenschutzrichtlinie 1995. Bisher wurden sie jedoch zu wenig beachtet. Die neuen Strafdrohungen führen zu höherer Beachtung, übersehen werden jedoch die wirklich gravierenden Neuerungen der DSGVO.
Belegbarkeit aller Prozesse, Prüfbarkeit, Kontinuitätsmanagement, Datenschutzmanagement und Riskoanalyse sind die großen Herausforderungen. Herausforderungen die ohne technische Unterstützung wohl nicht zu "stemmen" sein werden.
Rechenschaftspflicht ("Accountability")
Gemäß Art. 6 Abs 2 muss ein Verantwortlicher jeden Verarbeitungsschritt belegen können und bei Bedarf der Aufsichtsbehörde dokumentieren können. Jede Datenverarbeitung ist im Ergebnis so zu führen, als wäre jeden Tag ein - unangekündigtes - Audit möglich.
Ein regelmäßiges Audit, das bestätigt keine wichtigen Teile in der Rechenschaftspflicht vergessen zu haben, hilft Unsicherheiten zu beseitigen.
Belastbarkeit und Kontinuität ("Business Continuity Management")
Weitgehend unbemerkt wurden Belastbarkeit und Kontinuität bei der Verarbeitung personenbezogener Daten (DSGVO Art 32 Abs 1 lit b und c) zu datenschutzrelevanten Kriterien. In Zukunft hat ein Betroffener einer Datenverarbeitung den gesetzlichen Anspruch darauf, dass die Verarbeitung auch ausreichend verfügbar ist. Längere Ausfallszeiten müssen nicht mehr hingenommen werden und dürfen nicht mehr in Geschäftsbedingungen hineingeschrieben werden.
Vorfälle, wie in den letzten Jahren, bei denen in Österreich ein Onlinebanking-System mehrere Tage nicht verfügbar war oder in Großbritannien Operationen abgesagt werden mussten, weil die Rechner mit Schadsoftware verseucht waren, sind ab sofort auch als Datenschutzverletzung zu werten.
Selbst Gratisdienste werden in Zukunft eine bestimmte Verfügbarkeit sicherstellen müssen, ansonsten haben sie mit Schadenersatzklagen aus Datenschutzgründen zu rechnen.
Audits können helfen die Belastbarkeit von Systemen korrekt zu bewerten und die daraus resultierenden Risken zu minimieren. Weiters kann auf diese Weise sicher gestellt werden, dass tatsächlich regelmäßige Evaluierungen stattfinden.
Risikomanagment ("Datenschutz-Folgenabschätzung")
Gemäß Art. 35 DSGVO ist für zahlreiche Verarbeitung eine Folgenabschätzung erforderlich. Insbesondere bei Einsatz neuer Technoilogien, wie Tracking- und Targetingverfahren, Big Data, biometrische Erkennung oder Internet-of-things-Anwendungen sind derartige risikobasierte Abschätzungen erforderlich.
Viele Verantwortliche sind jedoch unsicher die Sicht der Betroffenen ausreichend zu berücksichtigen. Viele fühlen sich "betriebsblind" was die Gefährdung Dritter durch die eigene Informationsverarbeitung betrifft, man wolle ja sowieso nur "das Beste für alle".
Auch für diesen Punkt hat sich externe Expertise bewährt. Der Blick "von außen" hilft Risken zu identifizieren, die ansonsten übersehen werden. Unangenehme Folgen, wie Strafverfahren und Schadenersatzforderungen können so vermieden werden.
Datenschutzdesign ("Privacy by Design")
Art. 25 DSGVO verlangt "Datenschutz durch Technikgestaltung", Verarbeitungen sollen so designed werden, dass die Vorgaben der DSGVO auf die einfachste Art und Weise erfüllt werden.
Dies bedeutet frühzeitige Anonymisierung, weitestgehende Pseudonymisierung, Verschlüsselung bei Archivierung und Datenübertragung, aber auch automatisierte Informations- und Auskunftsprozesse für den Betroffenen.
Vergleichbar einem Online-Bankkonto wäre daher eine "gute" Informationsverarbeitung ein System, bei der der Betroffene jederzeit Einblick in sein Datenkonto hat, diese Daten auch in portabler Form abspeichern kann und - soweit es seine Stammdaten sind, auch selbständig berichtigen kann. Auch benutzergesteuerte Löschprozesse fallen unter "Datenschutz durch Technikgestaltung".
Auch hier kann eine externe Sicht helfen, sinnvolle Maßnahmen gegenüber überflüssigen Mehraufwand klar abzugrenzen.
Audits als Vorbereitung einer Datenschutzzertifizierung
Mit Stand 25. Mai 2018 gibt es EU-weit noch keine anerkannten Zertifizierungsmechanismen gemäß Art. 42 DSGVO, aber es lassen sich schon wesentliche Grundzüge ableiten. Unter anderem arbeitet das Österreichische Normungsinstitut an entsprechenden Audit-Kriterien. Die e-commerce monitoring gmbh, als langjährig erfahrener Vertrauensdienstanbieter, ist in die Normenentwicklung eingebunden.
Es macht daher schon jetzt Sinn durch Audits festzustellen, ob man bei der Umsetzung der DSGVO "auf dem richtigen Weg" ist.
Konsequenzen fehlerhafter DSGVO-Umsetzung
Die meisten Informationsverarbeiter haben bis 25. Mai 2018 irgendetwas zur Umsetzung der DSGVO gemacht. Oft auf Grund der Empfehlungen ihrer Kammern, ihrer Aufsichtsstellen, von Anwälten oder IT-Lieferanten. Ob es das Richtige, das Notwendige und auch das Sinnvolle ist, ist in vielen Fällen ungewiss.
Niemand bestätigt derzeit, dass irgendwelche Dokumente auch tatsächlich im Zuge einer Beschwerde "halten". Schwerer wiegt jedoch die Frage, "wurden alle Gestaltungsmöglichkeiten der DSGVO genutzt?" Oder hat sich ein Verantwortlicher überflüssige Hürden auferlegt.
Hat ein Verantwortlicher zu wenig gemacht drohen einerseits Verwaltungsstrafen, die in Österreich "abgemildert" wurden, andererseits aber auch Schadenersatzklagen, die höchts unangenehm und teuer werden können. Steht eine Verarbeitung 5 Tage still, obwohl die Betroffenen damit rechnen, dass sie verfügbar ist, könnten rasch je Betroffenen 1.000.- und mehr Euro Schadenersatz, allein aus diesem Stillstand abgeleitet werden. Bei 20 oder 30.000 Betroffenen eine existenzbedrohende Angelegenheit.
Hat jedoch ein Verantwortlicher überflüssiges aus der DSGVO umgesetzt, hat er gegenüber seinen Mitbewerbern Wettbewerbsnachteile. Die können unter umständen teurer als jedes Verwaltungstrafverfahren sein.
mehr --> Lehrgang ISO-zertifizierter Datenschutzbeauftragter mehr --> externer Datenschutzbeauftragter gemäß DSGVO
|