Datenschutz Management System – DSMS
Die Datenschutz Grundverordnung (vgl.: DSGVO), der Schutz kritischer Infrastrukturen (vgl.: NIS-RL) und deren Zusammenführung im Rahmen von Compliance- und Risikomanagement sind nicht nur zufällig, sondern bewusst durch die europäische Union gewollt. Eine vollständige Integration wird auf Grund der teilweisen widersprüchlichen Paradigmen nicht zur Gänze möglich sein. Aber im Entschluss, als Folge der Beurteilung der Lage und Abwägung der Interessen, zumindest darstellbar sein.
(Ex.: Hier wird vor allem auf die sich widersprechenden Ziele, wie Verfügbarkeit als Schutzziel der Datensicherheit und Vertraulichkeit als Gewährleistungsziel des Datenschutzes abgestellt. In diesem Fall ist die Forderung aus der Datensicherheit Redundanzen zu bilden und auf der anderen Seite die Forderung aus dem Datenschutz Redundanzen zu vermeiden, um die Vertraulichkeit gewährleisten zu können.)
Ein integriertes Daten Management System (vgl.: DMS), dass sowohl die Elemente aus Datensicherheit und auch die Elemente aus Datenschutz integriert, weisst strategische und operative Elemente auf. Um Planung, Durchführung, wie auch Rechtfertigung einer ordnungsgemäßen Erfüllung zu den jeweils definierten Rahmenbedingungen erreichen zu können. Ein DMS hat das Ziel Dienste und Leistungen auf ihre gelieferte Qualität und Quantität zu messen, zu bewerten, Handlungsalternativen abzuleiten und den sich daraus ergebenden Status wieder darzustellen. Dieser sich daraus ergebende Status ist wieder der Anfang von Erfassen, Bewerten, Handeln und Darstellen. Dieser Regelzyklus findet sich zum Beispiel in der DSGVO, Artikel 24. Im Allgemeinen wird dieser Zyklus im Rahmen der Qualitätssicherung eingesetzt, um Effizienz und Effektivität von Maßnahmen messen und bewerten zu können.
Erfassen
Was wird nun alles erfasst? Auf alle Fälle der aktuelle Zustand (vgl.: IST-Zustand) aller Prozesse, Systeme und Daten aus Sicht der Risiken. Risiken können in fünf Bereiche eingeteilt werden – Strategie, Markt, Finanz, Recht und Leistung – aus denen sie entstehen können. Einem erkannten Risiko kann man aktiv begegnen. Begegnen in der Form, dass man das Risiko vermeidet, vermindert, begrenzt, jemanden überträgt, oder es selbst trägt. Meist ist es eine Kombination aus Vermindern, Begrenzen und Übertragen auf der einen Seite und Tragen des (Rest-)Risikos auf der anderen Seite. Risiken, erkannte und nicht erkannte, können auch ignoriert werden. Dazu ist keine aktive Maßnahme notwendig. Dieser risikozentrierte Ansatz greift nur dann weit genug, wenn inhaltlich das gesamte Umfeld, wie auch eigentliche Risikoobjekt in Betracht gezogen werden können. Meist sind Dokumentationen über Prozesse, Systeme und Daten vorhanden, aber der geforderte Informationsgehalt kann damit alleine nicht erreicht werden. Vor allem in Form von Interviews und Fragenbogen können inhaltliche Aspekte zu Datenschutz und Datensicherheit ergänzt werden.
Die Aufbereitung bestehender Dokumentationen und deren Ergänzung durch Interviews und Fragebögen hat zum Ziel die Identifikation von Schwachstellen zu ermöglichen. Schwachstellen aus prozessualer Sicht. Hier ändert sich der Blickwinkel weg von der risikoorientierte Sicht hin zu Sicht auf Prozesse. Der Gestaltungs- und Ergebnisraum ist aber als Konsequenz der Risikobetrachtung und Erfüllung von Compliancevorgaben maßgeblich eingeschränkt. Bezweckt wird vor allem, dass
- Unnötige Prozessschritte eliminiert,
- Prozessschritte ausgelagert,
- Prozessschritte zusammengefasst,
- Prozessschritte detaillierter werden,
- Prozessschritte parallelisiert werden,
- Schnittstellen zwischen Prozessen optimiert werden,
- Prozessschritte beschleunigt und
- Die Datenhaltung optimiert wird.
Gliedern lässt sich das wie folgt in drei Gruppen. Gruppe eins, Informationstechnologie, Gruppe zwei, Ablauforganisation, und Gruppe drei, Aufbauorganisation. Eine weitere Ausführung erfolgt hier nicht.
Mögliche Indikatoren, die sich daraus ableiten lassen können sein,
- Unzureichendes Vorhandensein von Bearbeitern
- Unzureichende Verfügbarkeit von Daten
- Unnötige Aktivitäten und Daten
- Hohe Anzahl an beteiligten Organisationseinheiten (intern und extern)
- Hohe Anzahl an Rückkopplungen
- Hohe Anzahl an Kontrollschritten
- Medienbrüche
Bewerten
Was wird jetzt konkret bewertet? Bewertet werden Risiken aus Sicht des Betroffenen und aus Sicht der Organisation, um Datenschutz und Datensicherheit erfüllen zu können. Dazu gilt es auf der einen Seite die Erfüllung der Gewährleistungsziele – Sicht des Betroffenen – und auf der anderen Seite die Erfüllung der Schutzziel – Sicht der Organisation – möglichst in Deckung zu bringen. Als Bezeichnung werden meist PIA und BIA verwendet.
PIA steht als Abkürzung für den englischen Ausdruck privacy impact assessment. Das deutschsprachige Pendant ist DSFA und steht als Abkürzung für Datenschutz Folgen Abschätzung. PIA, respektive DSFA, soll die Verhältnismäßigkeit des Eingriffs beschreiben.
Eingriff bezieht sich auf den kompletten Lebenszyklus von personenbezogenen Daten in der betrieblichen Datenverarbeitung. Somit ist klar, dass nicht nur Produktivsysteme, sondern alle Formen der Haltung von personenbezogene Daten, Teil der Betrachtung und Bewertung sind. Das betrifft somit gleichermaßen das (geordnete) Papierarchiv, wie auch den (Web-/ Cloud-) Dienst zum Austausch von Daten. Die Tiefe des Eingriffs (vgl.: Eingriffsintensität) ist die Einschränkung der persönlichen (Entscheidungs-)Freiheit der unmittelbar und mittelbar betroffenen natürlichen Personen.
Eine direkte Einschränkung kann sein, dass zum Beispiel nur mehr ein Preissegment zur Auswahl gestellt wird, dass eine Bewerbung negativ beschieden wird. Indirekte Einschränkungen basieren meist auf Verallgemeinerung und Zusammenfassung. Hier wird modellhaftes Verhalten einer Klasse, Gruppe, von Personen unterstellt. Vielleicht wird auch noch versucht Abhängigkeiten und Zusammenhänge nachzuweisen und zu beschreiben. Abweichendes Verhalten wird in der Form als zu vermeidendes Risiko durch die Organisation aufgefasst und steuert das Verhalten der Organisation gegenüber allen natürlichen Personen, die für sie gemeinsame Klassifikationsmerkmale aufweisen.
BIA steht als Abkürzung für den englischen Ausdruck business impact analysis. Im betrieblichen Umfeld ist das im Themenbereich von GRC – governance, riskmanagement & compliance – als der Führungsaufgaben verankert. Die Betrachtung eines möglichen Risikos erfolgt aus Sicht des Unternehmens mit dem Ziel der störungsfreien Leistungserstellung. Absicht ist es die Organisation an sich zu schützen. Risiken werden rein organisationsbezogen erfasst.
Aus beiden Bereichen – Person (vgl.: PIA) und Organisation (vgl.: BIA) – ergeben sich Forderungen nach Maßnahmen. Diese Forderungen können deckungsgleich sein, aber sich auch widersprechen. Um diese Art von Dilemma aufzudecken und entgegenzuwirken gibt es ein Modell. Dieses Modell hat zum Inhalt Maßnahmen und Auswirkungen aus dem Datenschutz und der Datensicherheit einheitlich darzustellen und zu bewerten. Die Bewertung erfolgt auf einer Abstraktionsebene, um nicht eine Einschränkung auf entweder Datenschutz und Datensicherheit auszulösen. Bewertet wird konkret der Erfüllungsgrad von Zielen auf den Ebenen Prozess, System und Daten.
Handeln
Wie kann nun die Organisation handeln? Die Organisation handelt dadurch, dass sie Risiken erkennt, dokumentiert und Maßnahmen setzt. Es gibt einschränkende und beschränkende Bedingungen für das Setzen von Maßnahmen in einer Organisation. Diese Bedingungen unterscheiden sich in ihrem Charakter und vor allem aus der Verpflichtung des Anlasses und des Nachweises der Umsetzung. Einschränkend ist zum Beispiel der technische, finanzielle und zeitliche Rahmen und beschränkend ist zum Beispiel der normierende Rahmen durch Gesetze, Richtlinien und gesellschaftliche Konventionen. Frei nach Clausewitz ist die Prämisse des Handelns die Ermüdung und Erschöpfung des Stärkeren, in diesem Fall die bedrohende Umwelt. Das Ziel des zum Handeln gezwungenen – durch Gesetze vor allem – ist der Zeitgewinn, eigentlich die Zeitverzögerung, damit ist es für den Stärkeren uninteressant. Der zu erwartende Aufwand übersteigt den zu erwartenden Ertrag. (Anm.: Der Aufwand auf Angreiferseite kann dargestellt und bewertet werden durch Faktoren, wie benötigtes Fachwissen und Zeit dieses zu bilden, Zugang zu Ressourcen, Dauer der Durchführung uvm.) Der eingeengte Handlungsrahmen zwingt förmlich zur Bildung von Schwergewichten und Abstufung nach Interessenslagen. Die Zulässigkeit und Bestimmung der Maßnahmen wird im Rahmen von Transparenz und Nachvollziehbarkeit im Rahmen einer vollständigen Dokumentation möglichst durchgängig geschaffen. Ergänzend und erläuternd können hier Stellungnahmen, wie der Datenschutzbehörde (vgl.: DSB), beigestellt werden. Technische und organisatorische Maßnahmen (vgl.: TOMs) stellen die operative Umsetzung dar und sollen so auf die erfassten Ziele wirken, sodass das bestehende Gewährleistungs- und Schutzniveau zumindest gehalten, wenn nicht sogar, gesteigert wird.
Sowohl Schutz-, als auch Gewährleistungsniveau, stellen nur eine Momentaufnahmen im Rahmen der Dokumentation dar. Beide sind so zu verstehen, dass sie den aktuellen Erfüllungsgrad bezüglich Gewährleistung und Schutz repräsentieren. Erfüllungsgrad aus dem Grund, weil es in der Form keine Übererfüllung von Datenschutz und Datensicherheit gibt.
Darstellen
Was ist nun durch die Organisation darzustellen? Im Fall eines Datenschutz Management Systems (vgl.: DSMS) ist hier die Rückkoppelung zu sehen (vgl.: Feedbackschleife). Der Vergleich zwischen bereits erfolgten Maßnahmen (vgl.: IST Zustand) und Anforderungen aus Umfeldbedingungen (vgl.: SOLL Zustand). Es ist auch gleichzeitig wieder der Auslöser eines Durchlaufen von Erfassen, Bewerten, Handeln und Darstellen.
Im Rahmen eines DSMS ist Inhalt,
- Gewährleistungsziele und deren Wirkungspaare
- Pflichten des Verantwortlichen
- Umsetzung
- Privacy by default
- Privacy by design
- Vorabüberprüfung
- PIA/ DSFA
- Zulässigkeit der Verarbeitung
- Rechtmäßigkeit
- Einwilligung
- Besonders schützenswerte Daten
- Strafrechtliche Verurteilungen und Straftaten
- Übermittlung an Drittstaaten/ -länder
- Aufklärung/ verständliche Beschreibung der Datenverarbeitung
- Verfahren/ Meldung Datenschutzverletzung
- Technische und organisatorische Maßnahmen
- Risikobasierter Ansatz
- Prozess
- System
- Daten
- Vertragliche Regelung
- Auftragsverarbeitung
- Gemeinsame Verarbeitung
- Datensicherheit
- Prozess
- System
- Daten
- Interne Maßnahmen
- Verzeichnis (vgl.: VVZ)
- Dokumentation
- Datenschutzbeauftragter
- Löschung
- Datenübertragbarkeit
- Qualitätssicherung
- Zyklus (E-B-H-D) – vergleiche analog zu ISO 9000 Reihe
- Risikobasierter Ansatz
- Umsetzung
Rechte Betroffener sind hier nur explizit Löschung und Datenübertragbarkeit aufgeführt. Alle anderen Rechte sind in der Regel Teil einer ordentlichen Betriebsführung, die Änderungsdienste beinhalten muss.