Datenpannen in Transparenz

Hatten Sie 2020 in Ihrer Organisation eine Datenpanne? Wenn Sie direkt Nein sagen, gehören Sie entweder zu den episch seltenen Fällen, in denen der Faktor Mensch sowie technische und organisatorische Maßnahmen zu 100% diszipliniert sind oder es gibt bei der internen / externen Kommunikation einfach noch Optimierungsbedarf bei der Identifikation und Bewertung von Datenpannen nach Art. 33 und 34 DSGVO. 

Vermeiden und kommunizieren 

Es ist bereits die halbe Miete, Datenpannen präventiv – u.a. durch starke IT-Sicherheit, die richtige Softwareimplementierung und klare Richtlinien – auf einen Bruchteil zu reduzieren. Und zusätzlich sein Personal auf einem Sensibilitätsniveau zu haben, dass es Verstöße gegen Datenschutz / Informationssicherheit sowie entsprechende Verdachtsfälle angstfrei und proaktiv intern mitteilt und einer sachgemäßen Dokumentation zuführt, ist die Königsklasse des gelebten Datenschutzes. 

Meldungen von Datenpannen 

Seit dem Wirksamwerden der DSGVO wird ein erheblicher Anstieg der Meldungen von Datenpannen verzeichnet. Eine Meldung ist nach den Kriterien des Art. 33 DSGVO gesetzliche Pflicht. Mehr als 40.000 Datenpannen wurden seit DSGVO-Einführung europaweit (Bericht der EU-Kommission) und weit über 10.000 in Deutschland allein für 2019 gemeldet. Dabei sind die Gewichtungen in den Bundesländern sehr unterschiedlich. Während das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) „einen großen Anteil“ seiner täglichen Arbeit in der Bearbeitung von Datenschutzverletzungen mit 4.111 gemeldeten Datenpannen in 2019 sieht, wird den 349 in 2019 dem Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein gemeldeten Datenpannen verständlicherweise reserviert begegnet. 

Dunkelziffer von Datenpannen 

Eine höhere Transparenz durch mehr Meldungen und, insbesondere im EU-Vergleich, hohes Pflichtbewusstsein sind sehr gute Tendenzen. Allerdings müssten es realistisch betrachtet noch wesentlich mehr Meldungen sein. In Deutschland sind mehr als 3 Millionen Unternehmen angemeldet, hinzu kommen die staatlichen Einrichtungen und andere Stellen, die aus der DSGVO heraus zur Meldung von Datenpannen nach Art. 33 DSGVO verpflichtet sind. 

Aufsichtsbehörden 

Meldungen von Datenpannen müssen durchaus nicht mit Nachfragen, Vorortkontrollen oder Bußgeldern verbunden sein. Vielmehr kommt es den Aufsichtsbehörden auch konkret inhaltlich auf Erkenntnisse an, in welchen Bereichen nachgesteuert werden muss. Im Vergleich zu aufgeflogenen Datenschutzverstößen wird das aktive Melden honoriert. 

Nicht nur Unternehmen, sondern auch öffentliche Einrichtungen wurden von den Datenschutzaufsichten einer näheren Prüfung unterzogen, wobei zu beiden Bereichen positive wie negative Ergebnisse festgehalten wurden. 

Datenpannen bitte dokumentieren / melden 

Es liegt nahe, dass sich Organisationen eher unglaubwürdig machen, wenn keinerlei Datenpannen gemeldet bzw. dokumentiert sind. Es empfiehlt sich, Datenpannen und vergleichbare Auffälligkeiten generell – z.B. in Checklistenform – zu dokumentieren. Das Gesetz befreit per Art. 33 Abs. 1 DSGVO von der Meldepflicht, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Reichlich unpräzise wird hier ein einzelfallbezogener Ermessensspielraum eröffnet. Das heißt für harmlose (=nicht meldepflichtige) Fälle: Das Ereignis wird intern dokumentiert und man stimmt sich mit seinem Datenschutzbeauftragten über eine fallgerechte Abgrenzung ab und das war´s. 

Für meldepflichtige Fälle stehen üblicherweise Online-Formulare auf den Webseiten der Aufsichtsbehörden zur Verfügung. 

Prüfliste abgehakt

Einsatzzweck der Checkliste zur Prüfung Technische und Organisatorische Maßnahmen

Wir haben die erstmals im Juni 2019 hier veröffentlichte Checkliste zur Prüfung von technischen und organisatorischen Maßnahmen (kurz TOM) überarbeitet. Mittels dieser Checkliste können Sie

  1. Ihre eigenen technischen und organisatorischen Maßnahmen prüfen und grob dokumentieren (kein Ersatz für eine Detaildokumentation),
  2. das Schutzniveau Ihrer Dienstleister im Rahmen von Art. 28 DSGVO Auftragsverarbeitung und deren technische und organisatorische Maßnahmen im Sinne des Art. 32 DSGVO grob prüfen,
  3. die Prüfung des Schutzniveaus bei Ihren Dienstleistern dokumentieren oder
  4. sich einfach einen ersten Überblick über die eigenen internen Schutzmaßnahmen verschaffen (Was fehlt? Was ist schon vorhanden?).

Wieso Prüfung der technischen und organisatorischen Maßnahmen?

Art. 28 Abs. 1 DSGVO besagt:

„Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“

https://dsgvo-gesetz.de/art-28-dsgvo/

Mittels dieser Checkliste können Sie sich schon mal grob einen ersten Überblick verschaffen. Je nach Detailgrad beim Ausfüllen der Prüfpunkte kann das Dokument jedoch auch als Ersatz für eine zusätzliche und ausführlichere Dokumentation herangezogen werden. Dafür haben wir bewußt zahlreiche Frei- und Kommentarfelder vorgesehen, um hier auch ins Detail gehen zu können.

Welche Themen behandelt die Checkliste?

Wir haben uns beim Aufbau sowohl an den Anforderungen der DSGVO orientiert als auch bewährtes aus den früheren Anforderungen bzw. Überschriften des Bundesdatenschutzgesetzes orientiert. Der Aufbau ist wie folgt:

  • Vertraulichkeit
    • Zutrittskontrolle
    • Zugangskontrolle
    • Zugriffskontrolle
    • Trennungskontrolle
    • Pseudonymisierung (lit a)
  • Integrität
    • Weitergabekontrolle
    • Eingabekontrolle
  • Verfügbarkeit und Belastbarkeit
    • Verfügbarkeitskontrolle
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
    • Datenschutz-Management
    • Incident Response Management
    • Datenschutzfreundliche Voreinstellungen
    • Auftragskontrolle

Was hat sich gegenüber der vorherigen Version der Checkliste geändert?

  • Hinzunahme von Anlagen, die beigefügt werden können wie
    • Verzeichnis zu den Kategorien von im Auftrag durchgeführten Verarbeitungstätigkeiten (Art. 30 Abs. 2 DSGVO)
    • Liste der eingesetzten Subunternehmer mit Tätigkeiten für Sie als Auftraggeber
    • Richtlinie Datenschutz
    • Richtlinie Umgang mit Datenpannen
    • Übersicht der Sensibilisierungs- und Schulungsmaßnahmen der letzten 24 Monate
  • Konkretisierung bei vorhandenen ISMS
  • Erhöhung des Detailgrads bei der einen oder anderen Auswahl
  • Formatierungen

Ist die Checkliste kostenfrei?

Wie die früheren Versionen dieser Checkliste stellen wir auch die aktuelle Checkliste wieder kostenfrei zur Verfügung. Wir appellieren jedoch an die Fairness der Nutzer und Downloader: Wir möchten nicht, dass diese Checkliste ohne unsere Zustimmung auf anderen Internetseiten als Muster zum Download angeboten wird oder sich irgendwann in einem käuflich zu erwerbenden Vorlagenbuch (analog oder digital) wiederfindet. Es wird keine Haftung für Schäden durch die Verwendung der Checkliste übernommen.

Anregungen und Vorschläge für die Weiterentwickung der Checkliste gerne an info@ask-datenschutz.de

Einfache Dokumentation und Prüfung der TOM (Technische und organisatorische Maßnahmen)

Art. 28 DSGVO Auftragsverarbeiter schreibt die Überprüfung externer Dienstleister vor, ob ausreichend Garantien (TOM – technische und organisatorische Maßnahmen) für die sichere Verarbeitung im Sinne der DSGVO vorliegen. Da wir für unsere Kunden zahlreiche Dienstleister im Rahmen der bisherigen Auftragsdatenverarbeitung und zukünftigen Auftragsverarbeitung prüfen, schlagen hier nicht selten ordnerweise Dokumentationen über ein vorhandenes oder vermeintliches Schutzkonzept beim Dienstleister auf. Nach dem Motto „Weniger ist oftmals mehr“ haben wir eine frühere Checkliste für technische und organisatorische Maßnahmen (TOM) vom Datenschutz-Guru RA Stephan Hansen-Oest ergänzt und im Hinblick auf die Sortierung der DSGVO überarbeitet. Da Stephan weite Teile seiner genialen Vorlagen und Muster kostenfrei zur Nutzung zur Verfügung stellt und auch beim Thema Datenschutz gilt „Gemeinsam sind wir stark“, wollen wir da nicht hintenanstehen.

Mittels der anhängenden Checkliste Technische und Organisatorische Maßnahmen, kurz TOM, als ausfüllbares Word-Formular kann jeder Dienstleister ohne allzu großen Zeitaufwand die bei ihm getroffenen Schutzmaßnahmen dokumentieren (click & dirty). Diese Angaben überprüft der Auftraggeber, kann bei Bedarf nachfragen oder Punkte im Detail klären. Mit der Ergebnisprotokollierung am Ende sollte auch der Dokumentations- und Rechenschaftspflicht zu dem Punkt Genüge getan sein. Ein Auftraggeber kann seinem Dienstleister diese Checkliste auch direkt zusenden, damit dieser seine Dokumentation erstellen und zurücksenden kann. Als Anhang zur Vereinbarung zur Auftragsverarbeitung von Stephan eignet sich das Dokument ebenso. Kleiner Nebeneffekt: Wenn der Auftraggeber damit seine TOM dokumentiert, kann er auf diese Standard-TOM im Verzeichnis von Verarbeitungstätigkeiten verweisen und muss dort diese Angaben nicht erneut wiederholen.

Bitte beachten: Diese Checkliste entbindet natürlich nicht von der konkreten Prüfung, ob die genannten Schutzmaßnahmen für das angestrebte Schutzziel ausreichend sind. Im Zweifel sind die Angaben mit weiterer Dokumentation, Interviews oder Vor-Ort-Prüfungen zu vertiefen.

Anregungen und Ideen zu Ergänzungen sind gerne willkommen.

Auftragsverarbeitung ist übrigens nichts Neues. Bisher hieß es Auftragsdatenverarbeitung. Es sind jedoch einige Ergänzungen und höhere Dokumentationsanforderungen hinzugekommen.

Bitte nutzen Sie die aktuelle Version 3.1:

Risiko auf dem Flur – Multifunktionsgeräte

Multifunktionsgeräte – eierlegende Wollmichsau und nicht unerhebliches Sicherheitsrisiko. Heutzutage sind diese Geräte aus fast keinem Büro mehr wegzudenken. Egal ob kleinere Geräte direkt am Arbeitsplatz oder wuchtige Standgeräte an zentralen Stellen im Haus. Es wird fleißig gedruckt, gescannt, gefaxt und kopiert. Doch bei all dem Komfort sollten die Sicherheitsaspekte nicht außer Acht gelassen werden. Große Druckaufträge, die noch eine Weile bis zum Abholen im Druckausgang verbleiben; Fehlausdrucke, die im Papierkorb neben dem Gerät entsorgt werden; Faxe, zentral eingegangen und durch verschiedene Hände gegangen, bevor sie den eigentlichen Empfänger erreichen. Das sind nur einige Probleme und Risiken, denen aus Sicht des Datenschutzes und der Informationssicherheit mit geeigneten technischen und organisatorischen Mitteln begegnet werden muss.

Kostenlose Checkliste Datenschutz und Informationssicherheit

Unsere Checkliste soll helfen, vorhandene Schwachstellen zu identifizieren und möglichst zeitnah zu schließen. Auch wenn hier hauptsächlich von Multifunktionsgeräten die Rede ist, so können die Schwachstellen auf bei Einzelfunktionsgeräten vorhanden sein. Prüfen Sie bitte penibel.

Grundlage der Checkliste: BSI IT-Grundschutz 200-2 Baustein SYS 4.1 sowie Orientierungshilfe Fotokopierer der Landesdatenschutzbehörde Freie Hansestadt Bremen.

Wir empfehlen, die Checkliste von dem Fachbereich (oder den Fachbereichen) ausfüllen zu lassen, der oder die für Beschaffung, Konfiguration, Inbetriebnahme und Betreuung während des Betriebs sowie die Außerbetriebnahme zuständig ist bzw. sind. Im Anschluss sollten die Ergebnisse vom Datenschutzbeauftragten (DSB) und / oder Informationssicherheitsbeauftragten (ISB) aufgegriffen werden, um durch Nachjustierung oder Ergänzung geeigneter technischer und organisatorischer Maßnahmen das Risiko für Datenpannen zu mindern bzw. deren Konsequenzen zu begrenzen.

Überprüfung Wirksamkeit technischer und organisatorischer Maßnahmen (TOM)

Je nach Ernsthaftigkeit der Bearbeitung dieser Checkliste kann diese durchaus als ein Nachweis (von vielen) über Prüfung der Wirksamkeit von technischen und organisatorischen Maßnahmen in Ihrer Organisation dienen.

Viel Erfolg bei der Umsetzung wünscht das
Team von a.s.k. Datenschutz