Datenschutz

Datenschutzbeauftragte als Treiber der Digitalisierung?

06.07.2021

IITR Information[IITR – 06.07.21] Die Datenschutzgrundverordnung wurde vielfach kritisiert: die DSGVO würde Innovationen verhindern und die Unternehmen überfordern. Dabei wird übersehen, dass sich der Datenschutz inzwischen als wichtiger Treiber der Digitalisierung unserer Gesellschaft sowie relevanter Taktgeber der Informations-Sicherheit für weite Bereiche der gewerblichen Wirtschaft herausstellt.

Wo hingegen die öffentlichen Bereiche unseres Landes in der Digitalisierung stehen, das haben wir in den vergangenen Monaten erlebt. Ich nenne das Meldesystem im Gesundheitsbereich, welches am Datenschutz nicht gescheitert sein kann, weil kein Meldesystem existierte. Seit mehr als 20 Jahren spricht man davon, die Digitalisierung in die Schulen einführen zu wollen. Auch dieses Vorhaben dürfte wohl eher nicht an der DSGVO (gilt erst seit 25.5.2018) gescheitert sein.

Man kann diese Beispiele fortsetzen selbst in Bereiche, in denen unser Staat gut aufgestellt ist, also beispielsweise in der Finanzverwaltung. Auch hier wäre, was die geforderte Sicherheit in der Datenübermittlung angeht, noch Luft nach oben. Besteht Hoffnung auf Besserung, vielleicht für das Schulsystem? Covid-19 soll ja nicht die letzte Pandemie gewesen sein.

Dieser Beitrag steht in Fortführung des Beitrages zum Thema “Rechtsgutachten: Direktklagemöglichkeiten gegen Beschlüsse des Europäischen Datenschutzausschusses“. Ein abschließender Beitrag wird im laufenden Jahr folgen.

Informationssicherheit und DSGVO

Die DSGVO stellt klar, dass geeignete technische und organisatorische Maßnahmen ergriffen werden müssen, um “ein dem Risiko angemessenes Schutzniveau” im Hinblick auf die Verarbeitung personenbeziehbarer Daten zu gewährleisten. Keine Organisation kann sich datenschutzkonform ohne entsprechende Prozesse im Bereich des Informationssicherheits-Managements aufstellen.

Datenschutz und Datensicherheit gehen Hand in Hand. In der freien Wirtschaft betätigen sich Datenschutzbeauftragte daher inzwischen als Treiber der Informations-Sicherheit, weil die datenschutzrechtliche Compliance von der Qualität der vorhandenen IT direkt abhängig ist. Welche Bedeutung die Informations-Sicherheit für das Wirtschaftsgeschehen hat dürfe auch diese Woche wieder erkennbar werden, in der Angriffe auf wichtige Strukturen angekündigt wurden.

Datenschutz ist insgesamt der Treiber der Digitalisierung, weil nicht nur die Datensicherheit von der Qualität der vorhandenen IT abhängig ist, auch die Produktivität von Unternehmen hängt davon ab insbesondere dann, wenn die Gewinnschöpfung direkt aus der Datenverarbeitung generiert wird. Darauf spezialisierte Unternehmen wissen dies. Großkonzerne dürften dies ebenso wissen. Dann gibt es noch den überwiegenden Teil der deutschen Wirtschaft, deren Geschäftstätigkeit nicht direkt datengetrieben ist. Diese haben alle Hände voll zu tun, ihr Unternehmen am Laufen zu halten und ahnen sehr oft nicht, welche Vorteile einer digital unterstützten Bewirtschaftung, welche Rationalisierungseffekte ihres Unternehmens noch gehoben werden können.

Modernisierung veralteter IT-Strukturen

Die datenschutzkonforme Modernisierung von veralteten IT-Strukturen bedeutet häufig, sich von unnötig gespeicherten Daten zu trennen, die nicht mehr benötigt werden. Dies führt dazu, dass diese Daten dann auch nicht beauskunftet werden müssen und auch mehr in falsche Hände geraten können.

Was also zunächst nach regulativem Zwang ausschauen mag erfolgt im ureigensten Interesse eines Unternehmens, sich möglichst professionell aufzustellen. Die Konsequenzen einer zu zögerlichen Umsetzung beobachten Datenschützer tagtäglich.

Viele Unternehmen unterschätzen ihre eigene Abhängigkeit von funktionierenden IT- Systemen, sie erlernen das Risiko externer Angriffe erst auf die harte Tour. Es kostet Datenschützer viel Überzeugungskraft, das Interesse ihrer Mandate gegen andere Prioritätensetzungen zu wahren.

Datenschützer leisten Überzeugungsarbeit, deren Früchte sich nicht zeigen: kein Lob für ausbleibende Schäden

An der großen Politik werden Datenschutzbeauftragte nichts ändern. Ihre bestehende Hinwirkungspflicht beschränkt sich auf die vorzuhaltende Technik, die Schaffung und Schulung für jene Strukturen und Verfahren, welche datenschutzkonform zur Anwendung kommen können.

Die Datenschutzgrundverordnung deswegen als kompliziert hinstellen zu wollen, weil die Ausübung von Betroffenenrechten mit im Unternehmen kursierenden Excel-Dokumenten auf Fileservern als praktisch empfunden wird, das geht an der tatsächlichen Problematik vorbei.

Richtig ist, solche Prozesse durch zentrale datenbankgestützte Systeme zu ersetzen, mit deren Hilfe nicht nur datenschutzrechtliche Vorgaben, sondern die eigenen Prozesse insgesamt wesentlich zuverlässiger und effizienter erfüllt werden.

Verzeichnis von Verarbeitungstätigkeiten: lästige Pflicht oder zentrale Dokumentation zur Prozess-Steuerung?

In gleicher Weise kann man auf die Verpflichtung blicken, ein Verzeichnis der Verarbeitungstätigkeiten führen zu müssen. Man kann diese abtun als lästigen Formalismus, um lediglich bürokratische Vorgaben zu erfüllen.

Sinnstiftender ist die Perspektive, dass mit dem Verzeichnis der Verarbeitungstätigkeiten eine zentrale Dokumentation entsteht, um die eigenen Verarbeitungstätigkeiten steuern und effizient gestalten zu können. Welche Daten habe ich überhaupt? Wo genau liegen meine Daten? Wer hat auf diese Daten Zugriff? Sind diese, bin ich ausreichend abgesichert? Welche Abhängigkeiten von Dritt-Dienstleistern bestehen?

Dergleichen sollte ein Unternehmen interessieren nicht nur deswegen, weil der Datenschutz dies verlangt.

Prüfung von IT-Mindest-Standards

Ein Datenschutzbeauftragter unterstützt Unternehmen also aktiv, in dem er – neben der punktuellen Prüfung bzgl. der Einhaltung von Mindest-Standards – auf die Notwendigkeit der Schaffung entsprechender Prozesse, beispielsweise im Bereich Informations-Sicherheit hinwirkt. Neben der Nutzung entsprechender Publikationen der Aufsichtsbehörden (z.B. der Checkliste des bayerischen Landesamtes für Datenschutz-Aufsicht) lohnt ein Blick auf die Einhaltung folgender Basis-Themen:

  • Sind nicht mehr patchbare Systeme noch im Live-Einsatz?
  • Patch-Management für sicherheitsrelevante Patches vorhanden?
  • Patch-Management für nicht sicherheitsrelevante Patches vorhanden?
  • Verschlüsselung Notebook/mobile Devices aktiviert?
  • Backup mit AES-256 Verschlüsselung ausgestattet?
  • Zwei Faktor Authentifizierung für datenhaltende Systeme?
  • Server baulich und technisch abgesichert?
  • Malwareschutz mit Sandboxing und IPS/IDS?

Transparenz in ausgelagerte Datenverarbeitungs-Tätigkeiten

Es ist nach der DSGVO erforderlich, bei der Auslagerung von Datenverarbeitungstätigkeiten an externe Dienstleister im Rahmen der Auftragsverarbeitung begleitende Datenschutz-Vereinbarungen abzuschließen sowie sich von den technischen und organisatorischen Rahmenbedingungen beim Dienstleister zu vergewissern.

Auch diese Vorgabe sollte an sich im ureigensten Interesse des Unternehmens liegen: wer hat eigentlich Zugriff auf meine Daten? Sind die ausgelagerten Datenverarbeitungsvorgänge vor Angriffsversuchen ausreichend geschützt? Habe ich Möglichkeiten, bei Beendigung der Zusammenarbeit die Löschung der Daten zu verlangen?

Ein professionelles Dienstleister-Management ist also keineswegs die bloß lästige Erfüllung regulativer Vorgaben. Sie sollte an sich auch ohne eine gesetzliche Verpflichtung im Eigeninteresse des Unternehmens liegen.

Fehlender Datenschutz führt zu unerwünschten sozialen Folgen

Wenn man sich vergegenwärtigt, um welche Art von Daten es sich beim Datenschutz handelt sollte klar sein, dass sowohl der Schutz, als auch eine Normierung des Umganges mit Daten im Sinne der Allgemeinheit liegen dürfte.

In einigen Fällen handelt es sich um Daten, welche die psychische Auflösung einer Person in ihre intimsten Teilbereiche ermöglicht, um diese durch deren dann offenliegenden Neigungen und Vorlieben auf einen individuell auf sie zugeschnittenen Haken nehmen zu können.

Sie spielen dann einer analytisch entblößten Person dosiert genau das zu, was deren Interesse weckt, diese gerne hören oder lesen mag, bestärken diese in einer Weise, dass sie sich von ihnen nicht mehr lösen will und unterschieben ihr dann, was immer einen materiellen – oder auch immateriellen – Zugewinn verspricht.

Sowas geht nicht, meinen Sie?

Aber sowas merkt man doch, sollte man meinen.

Wenn es gut gemacht ist, wird man sowas irgendwann gar nicht mehr merken können.

Der eine oder andere möchte grundsätzlich nicht in einem Gefühl leben, mächtigen Strukturen gegenüber transparent und damit ausgeliefert zu sein und wird sich als Reaktion vor einer vielleicht nur eingebildeten Überwachung womöglich zurückziehen.

Datenschutz ist Grundvoraussetzung für demokratische Gesellschaften und führt zu Sekundärnutzen auch für Unternehmen

Natürlich ist der Datenschutzbeauftragte den Klagen in Unternehmen ausgesetzt, die auf Bürokratie verweisen, deren Sinnhaftigkeit nicht immer belegt werden kann. Unter dem Strich verbleibt jedoch die Normierung auf gleiche Verfahrensweisen in sämtlichen Unternehmen und Organisationen, insgesamt also eine Reduzierung chaotischer Zustände, in denen ansonsten jeder nach Gutdünken mit den Daten anderer Personen hantieren würde.

Wem all dies als vernachlässigbare Einwände erscheinen, der möge überlegen, ob dann nicht wenigstens die Sekundärnutzen des Datenschutzes, die Aufrüstung der bestehenden IT-Umgebungen auf ein höheres Niveau und die Schaffung transparenter Unternehmensprozesse jenen erstrebenswerten Zugewinn darstellen könnte, der dieses Land in die digitale Zukunft führt, welche wir seit längerer Zeit beschwören.

Fazit: DSGVO weiterhin als Chance begreifen

Man mag Zweifel hinsichtlich konstruktiver Mängel der DSGVO haben: der Vorwurf indes, die DSGVO würde Digitalisierungs-Prozesse verhindern und sei für den Rückstand der deutschen Unternehmen verantwortlich, dieser Vorwurf ist vorgeschoben.

Die DSGVO, eine beliebte Ausrede für einen Digitalisierungs-Rückstand. Richtiger wäre: die DSGVO beseitigt bestehende Rückstände. Sollte die DSGVO irgendwann auch noch durchgesetzt werden, so wird dies zwangsläufig zu einer erhöhten Informations-Sicherheit und Prozess-Transparenz führen.

Denn die DSGVO unterstützt Unternehmen dabei, die Informations-Sicherheit zu verbessern, sowie eigene Prozesse effizient aufzusetzen. Interne wie externe Datenschutzbeauftragte können dabei eine wichtige Rolle für ein Unternehmen sowie die Gesellschaft insgesamt einnehmen.

Rechtsanwalt Dr. Sebastian Kraska

Über den Autor - Rechtsanwalt Dr. Sebastian Kraska

Herr Dr. Sebastian Kraska gründete die IITR Datenschutz GmbH, die auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und als Anbieter von Datenschutz-Management-Systemen Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt.

Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie gemeinsam mit Regionalpartnern als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden. Er ist zudem Beirat der Zeitschrift ZD des Beck-Verlages.

Beitrag teilen:

0 Kommentar zu diesem Beitrag:

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

IITR Chatbot IITR Chatbot