Für die Umsetzung der neuen europäischen Datenschutz-Grundverordnung (EU-DSGVO) ist weit weniger Aufwand notwendig als gemeinhin angenommen. Mit der richtigen Vorgehensweise und den passenden Werkzeugen lassen sich gleich zwei Fliegen mit einer Klappe schlagen: Eine IT-Organisation kann mit der DSGVO auch gleich eine Dokumentation der eigenen IT-Umgebung einführen.

Die DSGVO tritt ab dem Stichtag 25.5.2018 in Kraft. In vielen Organisationen stellt sich jedoch weiterhin die Frage: Was ist konkret zu tun? Was ist nötig, um die neuen EU-Datenschutzbestimmungen zu erfüllen? Welche Änderungen in meinen Prozessen sind nötig, welche Werkzeuge helfen mir? Eine IT-Dokumentation ist die beste Basis für den geregelten und gesicherten IT-Betrieb. Dabei sind in einer CMDB (Configuration Management Database) die gesamte Hard- und Software, Verkabelungen und Räume in ihren funktionalen Abhängigkeiten dynamisch abgebildet. Auf dieser Grundlage lässt sich selbst ein ambitionierter Überbau errichten.

Schutz personenbezogener Daten

Die DSGVO soll den verstärkten Schutz personenbezogener Daten gewährleisten, und zwar EU-weit einheitlich. Denn die Hand des nationalen Gesetzgebers reicht eben nur bis zur Landesgrenze. Unterschiedliche nationale Gesetze nutzen jedoch wenig, wenn Organisationen grenzüberschreitend tätig sind. Darum regelt die neue Datenschutzverordnung das Datensammeln durch Unternehmen ebenso wie den Transfer persönlicher Daten in Drittstaaten. So dürfen persönliche Daten grundsätzlich nur in Staaten außerhalb der Europäischen Union transferiert und dann weiterverarbeitet werden, wenn es dort ein angemessenes Datenschutzniveau gibt, etwa durch ein eigenes Datenschutzgesetz.

Bisher war zumindest in Deutschland vorgesehen, dass Betroffene Einblick in die Verfahren der Datenverarbeitung nehmen können: Welche personenbezogenen Daten erhebt eine Organisation von mir, wie lange speichert sie diese, wann werden die Daten wieder gelöscht? Dies sollte in Form eines öffentlichen Verfahrensverzeichnisses ablaufen. Doch diese Verpflichtung wurde häufig ignoriert, die Angaben waren oberflächlich und intransparent, kontrolliert und umgesetzt wurde so gut wie nicht. Betroffene hatten kaum Möglichkeiten für Schlussfolgerungen. Nun löst ein internes Verfahrensverzeichnis, das verpflichtend zu führen ist, dieses öffentliche Verfahrensverzeichnis ab.

Schematischer Ablauf der Umsetzung einer Datenschutzstrategie vor dem Hintergrund der kommenden EU-DSGVO. Bild: Synetics

Als begleitende Maßnahme wertet die DSGVO die Rolle des Datenschutzbeauftragten auf. In der neuen Rolle verifiziert und auditiert er die Korrektheit der Angaben – und vertritt in dieser Konstruktion gleichzeitig den Gesetzgeber. Kleine und mittlere Unternehmen besetzen diese Rolle gerne durch eine externe Person – auch um Rollenkonflikte zu vermeiden. Vorhandensein und Korrektheit der angegebenen Informationen fordert die EU unter Androhung drakonischer Strafen ein: Datenschutzverstöße können ab dem kommenden Jahr mit bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes sanktioniert werden – ein starkes Argument, sich mit der Thematik zu beschäftigen.

Unternehmen speichern Daten beispielsweise von Mitarbeitern, Interessenten oder Kunden häufig in mehreren IT-Systemen; oft gleichen sie diese Daten automatisiert ab und reichern sie um Zusatzinformationen an. Die Verordnung kommt somit zur rechten Zeit: Immer mehr Micro-Services – spezialisierte IT-Services mit jeweils kleinem Funktionsumfang, die im eigenen Rechenzentrum oder auch bei externen Datenverarbeitern laufen – werden mit Daten beschickt und produzieren dabei Artefakte und Folgedaten – und diese sind möglicherweise ohne Ablaufdatum und schlecht geschützt gelagert.

Ein Beispiel: Ein Anwender will mittels Eingabe persönlicher Daten auf einer Website ein Angebot einholen. Bis er dieses in seiner Mailbox vorfindet, durchlaufen die Daten ein gutes Dutzend IT-Services und bleiben vielleicht in jedem der beteiligten Systeme unendlich lange gespeichert. Ziel eines Verfahrensverzeichnisses ist es, genau solche Verfahren mit Datenverarbeitungssystemen und -Services lückenlos zu dokumentieren. Zur Rolle des Datenschutzbeauftragten gehört es, dafür zu sorgen, dass dieses Verzeichnis auch mit der Realität übereinstimmt.

Teamgeist ist gefordert

Für die Pflege des Verfahrensverzeichnisses ist allerdings nicht etwa die IT-Abteilung oder der Datenschutzbeauftragte im Unternehmen verantwortlich, sondern der für das jeweilige Verfahren zuständige Bereich: Vertrieb, Einkauf oder Personalabteilung, aber nicht die IT. Man kann die Umsetzung delegieren, aber die Verantwortung bleibt bei den Fachabteilungen. Bei der Art des Verzeichnisses denkt manch einer wohl reflexartig an „JAE“ („Just Another Excel File“).

Doch Vorsicht: Mit einer Tabellenkalkulation tut man sich mit dateibasierter Erhebung, vereinheitlichter Schreibweise und zentraler Auswertung unnötig schwer. Denn viele der in starren Excel-Sheets erfassten Informationen hält die IT bereits vor, und zwar dynamisch und laufend aktualisiert. Die IT muss sich deshalb in diese Prozesse einklinken, auch wenn die Verantwortung andernorts liegt.

In diesem Zusammenhang ist es von Vorteil, wenn die IT-Abteilung bereits eine Basisdokumentation der verwendeten Systeme und IT-Services hat, auf denen sie aufbauen kann. Noch besser ist es, wenn eine Darstellung der funktionalen Zusammenhänge vorliegt, also die Bezüge der Services zu Systemen, zu den verwendeten Datenbanken, Storage-Geräten und Servern, Netzwerken und Standorten. Diese Art der Dokumentation, das Aufbauen einer CMDB, ist klassisch die Domäne der IT. Doch allein geht es nicht: An der Schnittstelle zwischen Verfahren und Systemen kann meist nur der Fachbereich wesentliches Wissen beisteuern, das sich für die IT gar nicht so einfach erschließt. Die Verantwortlichen sind nun verpflichtet, sich mit den Verfahren, Systemen und Daten zu beschäftigen. Und hier erklärt sich auch die Notwendigkeit der Rollentrennung: Die IT ist für die technische Umsetzung und den Betrieb zuständig, der Fachbereich für das Verfahren. Jeder dokumentiert für seinen Bereich.

In vielen Unternehmen legen Mitarbeiter Daten schnell mal als Datei auf Dropbox ab und bearbeiten sie im Heimbüro nach, während sie Kundenumfragen unter Zuhilfenahme eines spezialisierten Cloud-Services durchführen. Der Verfahrensverantwortliche muss solche Vorgehensweisen herausfinden, dokumentieren und in unerwünschten Fällen ändern. Im Verfahrensverzeichnis muss nachvollziehbar dokumentiert sein, wohin personenbezogene Daten gelangen. Denn bei Datenmissbrauch egal welcher Art haftet das Unternehmen beziehungsweise der Verfahrensverantwortliche. Das kann auch strafrechtlich relevant werden.

Eine gründliche Dokumentation der IT-Umgebung ist Grundvoraussetzung für die erfolgreiche DSGVO-Umsetzung und sollte deshalb mit dieser Hand in Hand gehen. Bild: Synetics

Was die IT zu den Verfahren beisteuern kann und muss, ist das Wissen über die technischen Zusammenhänge: Wie ist der Datenfluss? Welche internen Systeme und Datenspeicher sind an einem Verfahren beteiligt? Wie sind diese abgesichert? Welche Schnittstellen gibt es? Wo bleiben Daten gespeichert? Wie erfolgen Backups? Wie lange werden Daten vorgehalten, wann und wie gelöscht? Wer ist für welchen Teilbereich zuständig? Welche externen Dienstleister sind beteiligt? All das gehört in die IT-Dokumentation, die damit das zentrale Nachschlagewerk für alle IT-Prozesse ist. In vielen Organisationen gelten hierzu bereits strikte Regeln für die Erstellung und Aktualisierung.

Externe Dienstleister

Selten gibt es nur mehr „eine IT“ im Unternehmen. Meist sind es meherere IT-Umgebungen – man denke nur an Cloud Services – und auch diese müssen dokumentiert sein. Hinweise auf externe Erbringer sind auch in den Verfahrensverzeichnissen besonders zu berücksichtigen. Dies ist ein zusätzliches Argument dafür, die DSGVO-Umsetzung mit der IT-Dokumentation zu koppeln. Denn eben diese Dienstleister oder Service-Erbringer sind zumeist in der IT-Dokumentation als Ansprechpartner mit ihren Kontaktdaten zu finden. So muss man diese Dienstleister nun auch ins Boot holen: Ebenso wie bei der internen IT muss dokumentiert sein, was mit den Daten passiert, falls das Wissen nicht im Haus ist. Wenn ein Dienstleister personenbezogene Daten verarbeitet oder speichert, ist eine Vereinbarung zur Auftragsdatenverarbeitung (ADV) zu schließen.

Dabei kann es sich auch einfach um einen Programmierer handeln, der schnell mal eben eine Datenbank des CRM-Systems zu Testzwecken abzieht. Denn nur so schließt sich der Kreis: Wem nützt das beste Verfahren im Haus, wenn die Daten beim Dienstleister angreifbar sind?

Cloud-Service-Provider liefern in der Regel keine Einzeldokumentation der IT-Infrastruktur, dies ist meist eines der streng gehüteten Unternehmensgeheimnisse. Deshalb muss eine andere Form der Vereinbarung her. Auch hier ist es die Vereinbarung zur Auftragsdatenverarbeitung. Teil dieser ADV sind die sogenannten technisch-organisatorischen Maßnahmen (TOM), in denen der Betreiber oder Anbieter darlegt, welche Systeme er wie vor unbefugtem Zugriff schützt (Zugangskontrolle, Zugriffskontrolle etc.).

Da Privatleute als Service-Konsumenten die technischen Zusammenhänge weder kennen noch überprüfen können, kommen auch beim Cloud-Provider Datenschutzbeauftragte und Audit-Verfahren zum Einsatz, die – genau wie im eigenen Unternehmen – die Gesetzeskonformität gewährleisten. Das ist nicht neu: Gerade bei Cloud-Services ist der Industriestandard bereits weit höher, als es die EU-Datenschutzbestimmungen nun vorsehen. Beispielsweise setzt das ISO-27001-Zertifikat ein sehr hohes Sicherheitsniveau voraus. Hier wird sich vermutlich schnell ein Standard in der Darstellung etablieren, schließlich sehen sich die europäischen Diensteanbieter im internationalen Wettbewerb meist als benachteiligt, ausgelöst durch unterschiedliche Gesetzgebungen. Viele wittern nun auch einen Wettbewerbsvorteil durch die transparente Darstellung ihrer Methoden und technisch-organisatorischen Maßnahmen.

Problemfall Aktualisierung

Hat ein Unternehmen ein Verfahrensverzeichnis erstellt, ist dem Gesetz zunächst genüge getan. Doch was, wenn sich etwas ändert? Hier versteckt sich ein klassisches Problem: Weder Fachbereich noch IT gehen bei Änderungen aufeinander zu. Zu lange scheint das Übersetzen in die jeweils andere Fachsprache zu dauern, die Änderung ist viel schneller in den eigenen Reihen durchgeführt. Vom externen Service-Erbringer ist man oft schon entsprechende Kommunikationsprozesse gewohnt. Doch wie lässt sich das unter Kollegen durchsetzen?

Die beste Chance, diesem Dilemma zu entgehen, bietet die gemeinsame Dokumentation von Verfahren und IT-Systemen im gleichen Dokumentationssystem – und ein Change-Management-Prozess, der den Fachbereich und die Zuständigen in der IT-Abteilung zusammenbringt. Wenn jede Seite ihrer Dokumentationsverantwortung nachkommt (und dazu hat sie der Gesetzgeber nun verpflichtet), kann das klug konfigurierte IT-Dokumentationssystem auch selbstständig auf notwendige Änderungen hinweisen – bis hin zum selbstständigen Aktualisieren von Dokumenten. An dieser Stelle hat die Excel-Liste endgültig ausgedient.

Von einem externen Datenschutzbeauftragten oder Auditor kann man nicht erwarten, dass er sich durch fremde Datenbanken wühlt und so Zusammenhänge erkennt. Zwar hat er das Recht darauf und kann nach Belieben auditieren. Trotzdem wird die Übergabe der Informationen klassisch auf Papier oder zumindest elektronischem Papier stattfinden. Es ist deshalb gut, wenn ein Unternehmen regelmäßig, am besten nach jeder Änderung, die notwendigen Dokumente aktualisiert und zentral ablegt. Dann entfällt auch die Panik vor einem Audit.

Geschlossene Vertrauenskette

Betroffene sollen sich darauf verlassen können, dass Unternehmen seriös mit ihren persönlichen Daten umgehen. Die EU-DSGVO sorgt dafür, dass dies nun zumindest EU-weit durchgängig gewährleistet ist. Mittelfristig wird sich damit in jedem datenverarbeitenden Betrieb ein Bewusstsein einstellen, wie mit personenbezogenen Daten umzugehen ist – notfalls auch dank der drakonischen Strafen, die der Gesetzgeber angedroht hat.

Peter Resch-Edermayr ist I-doit-Evangelist bei Synetics in Düsseldorf, www.i-doit.com.