TOMs und Folgenabschätzung mit der DSGVO – oder: Arbeitsschutz im Datenschutz

Ich hoffe, Sie alle sind gut in das neue Jahr gekommen – ich bin es bis jetzt auch.

Nun bimmelt der Outlook – die technisch-organisatorischen Maßnahmen einiger Beratungskunden müssen aktualisiert werden. Was im eigenen Unternehmen (wie gesagt, unter 10 Leute und der IT-Fachmann sitzt im Büro nebenan) noch machbar war, kann in größeren Betrieben schnell ausufern. Zum Glück finden sich unter den Unternehmen, die von mir beraten werden, bislang nur Kleinunternehmen.

DIE KONTROLLFLUT BLEIBT AUF DEN ZWEITEN BLICK AUS

Fangen wir direkt mit den TOMs an. Waren es nach BDSG-alt „nur“ 8 Punkte, haben wir nun nach meiner Zählung 14! Wenn doch nur mein Gehalt ab Mai 2018 so steigen würde…

BDSG-alt:

  • Zutrittskontrolle
  • Zugangskontrolle
  • Zugriffskontrolle
  • Weitergabekontrolle
  • Eingabekontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • „Zweckgebundenheit“, Trennungsgebot

§ 64 III BDSG-neu:

  • Zugangskontrolle
  • Datenträgerkontrolle
  • Speicherkontrolle
  • Benutzerkontrolle
  • Zugriffskontrolle
  • Übertragungskontrolle
  • Eingabekontrolle
  • Transportkontrolle
  • Wiederherstellbarkeit
  • Zuverlässigkeit
  • Datenintegrität
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Trennbarkeit

Mal ganz abgesehen davon, dass man sich vom Schrecken erst einmal erholen muss, fällt auf, dass Punkte weggefallen sind. Zutritts- und Weitergabekontrolle schaffen es nicht ins neue Zeitalter. Oder etwa doch?

In der Tat ist nichts wirklich weggefallen. Es macht schlichtweg keinen Sinn, bei der Zugangskontrolle nach § 64 III BDSG-neu erst dann zu beginnen, wenn sich der böse Datendieb an meinen PC setzt. Vielmehr muss er ja vorher zunächst die Bürotür aufhebeln oder auf anderen Wege zum Endgerät gelangen. Mit anderen Worten: Er muss sich Zutritt verschaffen. Wenn wir also den Zugang gründlich kontrollieren wollen, müssen wir zwingend den Zutritt mit einbeziehen. Sie können in Zukunft also nicht die Alarmanlage abstellen und das Fenster offen lassen ohne in Konflikt mit dem Datenschutz zu kommen.

Und die Weitergabekontrolle? Auch hier ein plastisches Beispiel:

Ich lade mir ein paar Freunde und Bekannte ein und bestelle eine Pizza. Am Ende des Abends ist der Karton leer – der Inhalt findet sich jedoch in den Mägen von Alex, Myriam, Vincent, Melih, Alicia und Matthias wieder (wobei der Löwenanteil garantiert in Alex Obdach fand…).

Mit anderen Worten: Die Weitergabekontrolle verschwindet, findet sich inhaltlich aber in Transport-, Übertragungs-, Datenträger- und Benutzerkontrolle wieder.

Neu sind also nun Datenträgerkontrolle, Speicherkontrolle, Transportkontrolle, Wiederherstellbarkeit, Zuverlässigkeit und Datenintegrität.

 

Diese Kontrollen liegen thematisch eng beieinander (Datenträger – Speichern – Wiederherstellbarkeit – Datenintegrität – all das spielt ineinander). Vielmehr dienen die neuen Kontrollen nicht unbedingt dazu, die Netz der TOMs in unermessliche Dimensionen zu erweitern, sondern es lediglich engmaschiger zu spinnen. In den Ruin wird es Sie auch nicht treiben. Bislang war der Stand der Technik bei der Verschlüsselung zu berücksichtigen, nun gilt dies für alle TOMs. Von einer Einmann-GmbH wird keine Aufsichtsbehörde verlangen, dass sie ihre Server in einem klimatisierten, atomkriegssicheren Bunker betreibt, der 100 Meter unter der Erde liegt und von der Bundeswehr rund um die Uhr bewacht wird. Gleichzeitig wird natürlich von einem Weltkonzern in jedem Fall erwartet, dass man dort weiß, was Virenscanner und Backups sind.

DIE FOLGENABSCHÄTZUNG IST NICHT NEU

Kennen Sie § 4d V BDSG-alt? Die gute, alte Vorabkontrolle? Sie ist das gute Beispiel eines Papiertigers. Durchzuführen ist sie, wenn automatisierte Datenverarbeitungsverfahren „besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen“, so § 4d Abs. 5 Satz 1.

Das Problem daran ist nur, dass bei Verstößen keine Sanktion vorgesehen ist – und sie somit mutmaßlich höchst selten durchgeführt wurde. Ich räume mein Auto schließlich auch nur auf, wenn ich meine Mutter mitnehmen muss. Der geopferte Nachmittag ist das geringere Übel, glauben Sie mir das ruhig.

Die Datenschutz-Folgenabschäzung ist – sehr stark vereinfacht – eine Vorabkontrolle mit Sanktionsmöglichkeit. Erforderlich ist sie zudem nun öfter als bisher: Zwar weiterhin bei besonderen Risiken für die Rechte und Freiheiten der Betroffenen, aber auch für weitere Sachverhalte, wie z. B. Scoring, Verarbeitung sensibler, besonders schutzwürdiger Daten (z. B. Gesundheitsdaten) oder besonders umfangreiche Verarbeitungsvorgänge. Es liegt nun an den Aufsichtsbehörden, entsprechende Positiv- und Negativlisten zu erarbeiten.

NUN KOMMT DER ARBEITSSCHUTZ HINZU – RISIKOMANAGEMENT IM DATENSCHUTZ

Ich bin nicht nur DSB, sondern auch Sicherheitsbeauftragter meines Arbeitgebers. Eine zugegebenermaßen sehr exotische Kombination, die sich jetzt jedoch auszahlt.

Die DSGVO fordert ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOMs.

Im Rahmen der Vorabkontrolle müssen Sie in jedem Fall Ihre Interessen und Ziele mit den Rechten und Interessen der Betroffenen abwägen – auch hier kommen Sie um Überprüfung, Bewertung und Evaluierung nicht herum.

Einen Ansatz zu finden ist nicht leicht – es sei denn, man ist Fachkraft für Arbeitssicherheit. Wikipedia ist als Quelle zwar verpönt, aber besser könnte ich eine Gefährdungsbeurteilung auch nicht beschreiben.

Die Gefährdungsbeurteilung beschreibt den Prozess der systematischen Ermittlung und Bewertung aller relevanten Gefährdungen, denen die Beschäftigten im Zuge ihrer beruflichen Tätigkeit ausgesetzt sind. Hinzu kommt die Ableitung und Umsetzung aller zum Schutz der Sicherheit und der Gesundheit erforderlichen Maßnahmen, die anschließend hinsichtlich ihrer Wirksamkeit überprüft werden müssen. Das Ziel besteht darin, Gefährdungen bei der Arbeit frühzeitig zu erkennen und diesen präventiv, das heißt noch bevor gesundheitliche Beeinträchtigungen oder Unfälle auftreten, entgegenzuwirken.

Mit anderen Worten: Wenn Sie einen Ansatz für TOMs und Folgenabschätzung benötigen, lesen Sie bei der Berufsgenossenschaft nach, wie man eine gute Gefährdungsbeurteilung erstellt. Das BayLDA (ich schätze diese Behörde für ihr Engagement sehr) gab im Oktober letzten Jahres ein Dokument mit dem Titel „DS-GVO – letzte Runde vor dem Start: Was plant die bayerische Aufsicht und wie kann ich mich davor schützen?“ heraus. Darin ist eine solche Bewertungsmatrix abgebildet, die prinzipiell nichts anderes darstellt als die aus dem Arbeitsschutz bekannte NOHL-Matrix.

 

 

Eine immer wieder gute Hilfe für Gefährdungsbeurteilungen ist der 11-Punkte-Plan der BG RCI, den ich für meine Arbeit als Sicherheitsbeauftragter heranziehe. Er ist kompakt, klar strukturiert, dennoch deckt er fast alles ab. Einen solchen entwickele ich auch für den Datenschutz, um standardisiert, aber stets vollständig meine Aufgaben als DSB effizient zu bearbeiten.

Bildschirmarbeitsplatzbrille, ergonomisches Gestühl, angenehmere Lichtfarbe der künstlichen Beleuchtung – vielleicht sollten Sie bei der Gelegenheit auch einen Blick in die Bildschirmarbeitsplatzverordnung werfen, wenn Sie sich ohnehin schon mit Arbeitsschutz auseinandersetzen.

Damit beeile ich mich besser – wenn ich mit dem Datenschutz durch bin, wartet im Outlook schon die jährliche Fortschreibung der Gefährdungsbeurteilung auf mich. Insofern verabschiede ich mich an dieser Stelle wieder.