Folge 19: Datenschutzaudits bei (IT-)Unternehmen

Erste Folge im "Studio Legal"! Volker und Frank sprechen darüber, was Datenschutzaudits vor allem, aber nicht nur bei IT-Unternehmen sind, wer sie durchführt, wie sie ablaufen, was geprüft wird, welche Fehler oft gefunden werden und wie es danach weitergeht.

Die bislang längsten Legal Bits. Ihr braucht etwas Ausdauer, aber wir erklären euch in dieser Ausgabe auch, welche neuen TOM-Kategorien (also Kategorien technischer und organisatorischer Maßnahmen) es nach der DSGVO bzw. dem neuen BDSG 2018 gibt und wie man sie rechtskonform ergreifen kann.

03:00: Was Audits sind, wer sie durchführt und warum sie wichtig sind

Wir skizzieren hier, was ein Audit ist, wo der Begriff herkommt, wer so etwas durchführt und warum und welche Maßnahmen Aufsichtsbehörden verordnen können, wenn Mängel gefunden werden. Natürlich spielen die in der DSGVO normierten drastisch angehobenen Bußgelder eine wichtige Rolle, aber Bußgelder sind nicht die einzige Maßnahmenkategorie und von der Kategorie her wohl nicht einmal die wahrscheinlichste. Audits von Kunden gegenüber Dienstleistern sind die Konsequenz einer allgemeinen Prüfpflicht, und die persönliche Haftung von Vorständen und Geschäftsführern bringt Unternehmen immer mehr dazu, sich um Datenschutz zu kümmern.

Ein wesentlicher Grund, einen Dienstleister zu auditieren, muss mittlerweile auch sein, dass man seine Hilfe bei Anfragen von Betroffenen braucht, die z. B. ganz simpel fragen, welche personenbezogenen Daten das Unternehmen über sie gespeichert hat, oder auch bei der Meldepflicht nach Art. 33 DSGVO.

22:00: Fragen und Ablauf eines Audits

Man geht schrittweise auf die betroffenen Daten zu. Man startet oft mit der Bitte um Übersendung von Dokumenten (z. B. der Bestellungsurkunde des Datenschutzbeauftragten, Verfahrensverzeichnisse, Listen technischer und organisatorischer Maßnahmen, Schulungsunterlagen, Datenschutzkonzept, Vorlagen für Auftragsverarbeitungsvereinbarungen, Zertifikate) und schließt dann ggf. persönliche Interviews an, besichtigt in bestimmten Fällen auch Rechenzentren u. a. Orte. Es geht darum zu erfahren, welche Datenschutzsituation beim auditierten Unternehmen vorliegt.

27:40: TOM konkret

Hier besprechen wir die 14 (in Worten: vierzehn) neuen Maßnahmenkategorien nach Art. 32 DSGVO iVm. § 64 BDSG 2018 und welche Maßnahmen man ergreifen kann, um die daraus erwachsenden Pflichten zu erfüllen. Konkret sind die Kategorien:

1. Zugangskontrolle: Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte,
2. Datenträgerkontrolle: Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern,
3. Speicherkontrolle: Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten,
4. Benutzerkontrolle: Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte,
5. Zugriffskontrolle: Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben,
6. Übertragungskontrolle: Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können,
7. Eingabekontrolle: Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind,
8. Transportkontrolle: Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt wird,
9. Wiederherstellbarkeit: Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können,
10. Zuverlässigkeit: Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden,
11. Datenintegrität: Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können,
12. Auftragskontrolle: Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können,
13. Verfügbarkeitskontrolle: Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind,
14. Trennbarkeit: Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können.

54:55: Oft gefundene Schwachstellen

Auszug aus den oft vorgefundenen Klassikern:

• Prozesse werden nicht ausreichend dokumentiert.
• TOM sind zu oberflächlich.
• Vor allem bei der Zugangskontrolle wird oft nicht nach "Datenverarbeitungsanlagen" differenziert, sondern reflexartig nach Sicherheitsschlössern an den Büroeingangstüren gefragt.
• Incident Handling: Vorfälle werden schon am Anfang nicht sinnvoll erfasst oder bewertet, und Personal läuft dem Headless Chicken-Syndrom gemäß hektisch durch die Gegend.
• (Wie) werden Fehler entdeckt? Hierzu fehlen (v. a.) dokumentierte Prozesse oft völlig.
• Mit Subunternehmern gibt es (erforderliche) Vereinbarungen über Auftragsverarbeitung nicht.

69:45: Was passiert, wenn Schwachstellen gefunden werden?

Wir sprechen auch darüber, ob und wari, Unternehmen bei Audits lügen können.

Außerdem behandeln wir, dass (und warum) auditierte Unternehmen oft den Auditbericht gar nicht vom Auditor bekommen, wenn ein Kunde auditiert.

76:00 Fazit

77:42 Feedback!

Hinterlasst Kommentare, schickt eine E-Mail oder twittert an @legal_bits, @neuernick oder @ra_stiegler!