EU-Datenschutz und IT-Dokumentation

bei

 / 9. Oktober. 2017

Im Zusammenhang mit Datenschutz und Informationssicherheit gehen bei vielen sofort alle Vorhänge runter. So aufwändig, so kompliziert, schon wieder eine neue Gesetzesklammer, lauten die Klagen unisono. Und mit dem Anfangen ist es wie mit der Steuererklärung: verschieben bis zum letzten Drücker…

Ohne hier den verhassten Klassenprimus geben zu wollen: Abwehr, Verschieben und damit auf den letzten Drücker zu agieren, muss nicht sein! Erstens ist es für Bürger und Unternehmen ein Glück, dass verantwortungsvolle Politiker (doch, gibt es!) genau diese Rechtssicherheit bietende DSGVO auf den Weg gebracht und gegen vielerlei Widerstände ratifiziert haben. Zweitens ist für deren Umsetzung weit weniger Aufwand notwendig, als gemeinhin angenommen. Drittens lassen sich mit der richtigen Vorgehensweise und mit den passenden Werkzeugen gleich zwei Fliegen mit einer Klappe schlagen, nämlich mit der DSGVO-Einführung gleich auch die ebenfalls vor sich her geschobene Dokumentation der eigenen IT einführen.

Mehrere Fliegen mit einer Klappe, das macht nicht nur dem tapferen Schneiderlein Spaß, sondern auch extrem viel Sinn. Denn ITD und ITSec gehören unmittelbar zusammen und bauen aufeinander auf. Wer vernünftig dokumentiert, hat seine IT im Überblick, kann ihren ordnungsgemäßen funktionalen – und sicheren – Betrieb belegen. Er (oder sie, aber Adminas sind in der IT leider immer noch viel zu selten) kann Changes planen und ausführen, ohne dass Informationen verloren gehen und man hat jederzeit einen gemeinsamen, aktuellen Blick auf den Ist-Zustand der IT – für den Admin wie für den Sicherheitsbeauftragten.

Der 25. Mai 2018 als magisches Datum

Die neuen EU-Datenschutzbestimmungen treten ab dem Stichtag 25.5.2018 in Kraft, in vielen Organisationen stellt sich jedoch weiterhin die Frage: Was ist konkret zu tun? Auch ist der Sinn der Übung nicht auf den ersten Blick erkennbar: Noch mehr Unterlagen und Verordnungen, die niemanden wirklich interessieren?

Als Hersteller einer weit verbreiteten und anerkannten Software für IT-Dokumentation kennen wir das “Was denn noch?”- und “Nun schon wieder”-Problem hautnah. – Und wir haben einen Lösungsweg. Gemeinsam mit Anwendern und Umsetzungs-Partnern haben wir uns dem Thema genähert: Was ist nötig, um die neuen, EU-weit gültigen Datenschutzbestimmungen zu erfüllen? Welche Änderungen in meinen Prozessen sind nötig, welche Werkzeuge helfen mir?

Zusammengefasst sagt unsere Task-Force: Eine IT-Dokumentation ist die beste Basis für geregelten und gesicherten IT-Betrieb. Aus einer CMDB (Configuration Management Database) heraus, in der alle Hard- und Software, Verkabelungen oder Räume in ihren funktionalen Abhängigkeiten dynamisch abgebildet sind, lässt sich jeder auch noch so ambitionierte Überbau, IT-Sicherheitlösungen inklusive, problemlos aufbauen.

EU-DSGVO – worum geht’s hier eigentlich?

Der “neue” Datenschutz soll den verstärkten Schutz personenbezogener Daten gewährleisten – und zwar EU-weit. Denn die Hand des Landesgesetzgebers reicht gerade mal bis zur Landesgrenze. Unterschiedliche Landesgesetze nutzen jedoch wenig, wenn Organisationen grenzüberschreitend tätig sind. Darum regelt die neue Datenschutzverordnung das Datensammeln durch Unternehmen. Zugleich wird der Transfer von persönlichen Daten in Drittstaaten geregelt. So dürfen persönliche Daten grundsätzlich nur in Staaten außerhalb der Europäischen Union transferiert und dort weiterverarbeitet werden, wenn es dort ein angemessenes Datenschutzniveau gibt, etwa durch ein eigenes Datenschutzgesetz. Zweifelsohne ist Wirtschaft davon abhängig, Daten, auch personenbezogene, auszutauschen. Für ein gesundes Wirtschaftswachstum und solide Geschäftsprozesse wird schlicht eine vertrauensvolle Datenverarbeitung benötigt – und eine gesetzliche Grundlage dafür.

Der Gesetzgeber sorgt also dafür, dass sich jedes Unternehmen mit dem Thema auseinandersetzt. Denn, nahezu alle Verfahren, egal welcher Branche, sind IT-gestützt und viele davon verarbeiten Personendaten. Die Entstehungsgeschichte und Hintergründe der neuen EU-DSGVO beleuchtet ein ausführliches Papier des EU-Abgeordneten Jan Philipp Albrecht, der maßgeblich an der Entstehung beteiligt war. Er ist eine zentrale Figur im EU-Verbraucherschutz- und Datenrecht und wurde im Dokumentarfilm “Democracy, im Rausch der Daten”, der 2015 in die Kinos kam, spannend portraitiert.

Was hat sich geändert?

Bisher war vorgesehen, zumindest in Deutschland, dass Betroffene Einblick in die Verfahren der Datenmanipulation nehmen können: Welche personenbezogenen Daten werden erhoben, wie lange wird gespeichert, wann werden die Daten wieder gelöscht? Dies sollte in Form eines öffentlichen Verfahrensverzeichnisses durchgeführt werden. Doch diese Verpflichtung wurde häufig ignoriert, die Angaben waren oberflächlich und intransparent, kontrolliert und exekutiert wurde so gut wie nicht. Die Möglichkeit, daraus Schlüsse zu ziehen, war für Betroffene tatsächlich gering. Dieses öffentliche Verfahrensverzeichnis wird nun von einem internen Verfahrensverzeichnis abgelöst, welches verpflichtend zu führen ist.

Wie kann das für mehr Vertrauen sorgen?

Als begleitende Maßnahme wurde die Rolle des Datenschutzbeauftragten aufgewertet. In der neuen Rolle verifiziert und auditiert er die Korrektheit der Angaben – und vertritt in dieser Konstruktion gleichzeitig den Gesetzgeber. Bei kleinen und mittleren Unternehmen (KMU) wird diese Rolle gerne durch eine externe Person besetzt – auch um Rollenkonflikte zu vermeiden. Sowohl das Vorhandensein, als auch die Korrektheit der angegebenen Informationen wird mit drakonischen Strafandrohungen eingemahnt – ein starkes Argument, sich nun mit der Thematik zu beschäftigen. So können Datenschutzverstöße ab dem kommenden Jahr mit bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes sanktioniert werden.

Das Verfahrensverzeichnis und der Datenschutzbeauftragte

Daten, beispielsweise von Mitarbeitern, Interessenten oder Kunden, werden in mehreren IT-Systemen gespeichert, oftmals automatisiert abgeglichen und angereichert. Die Verordnung kommt zur rechten Zeit, immer mehr “Microservices” – spezialisierte IT-Services mit jeweils kleinem Funktionsumfang, im eigenen Rechenzentrum oder auch bei externen Datenverarbeitern, werden mit Daten beschickt und produzieren dabei Artefakte und Folgedaten – die möglicherweise ohne Ablaufdatum und schlecht geschützt gelagert sind.

Denken Sie an ein Angebot, das Sie nach Eingabe ihrer persönlichen Daten auf einer Homepage erhalten wollen. Bis Sie es in Ihrer Mailbox vorfinden, durchlaufen Ihre Daten ein gutes Dutzend IT-Services und bleiben vielleicht in jedem der beteiligten Systeme unendlich lange gespeichert. Ziel eines Verfahrensverzeichnisses ist es, genau solche Verfahren mit Datenverarbeitungssystemen und -services lückenlos zu dokumentieren. Und damit dieses auch mit der Realität übereinstimmt, gibt es die Rolle des Datenschutzbeauftragten.

Was hat ein Verfahrensverzeichnis mit IT-Dokumentation zu tun?

Für die Pflege des Verfahrensverzeichnisses ist nicht etwa die IT-Abteilung oder der Datenschutzbeauftragte im Unternehmen verantwortlich, sondern gerade die Verantwortlichen für das jeweilige Verfahren. Der Vertrieb, der Einkauf, die Personalabteilung, nicht die IT! Und ja, sie können delegieren, aber die Verantwortung bleibt bei den Fachabteilungen. Und bei der Art des Verzeichnisses denkt man reflexartig an JAE – “Just Another Excelfile”. Doch Vorsicht: Mit einer Tabellenkalkulation tut man sich mit einer dateibasierten Erhebung, Vereinheitlichung der Schreibweise und zentraler Auswertung unnötig schwer. Denn viele der in starren Excel-Sheets vorgehaltenen Informationen werden bereits in der IT vorgehalten, und zwar dynamisch und laufend aktualisiert. In diese Prozesse müssen wir uns nun einklinken, auch wenn die Verantwortung anderswo liegt.

Teamgeist ist gefordert

In diesem Zusammenhang ist es von Vorteil, wenn die IT-Abteilung bereits eine Basisdokumentation der im Unternehmen verwendeten Systeme und IT-Services hat, auf die aufgebaut werden kann. Besser noch, wenn es eine Darstellung der funktionalen Zusammenhänge gibt, also Services zu Systemen, diese zu den verwendeten Datenbanken, Storage und Servern, Netzwerke und Standorte. Diese Art der Dokumentation, das Aufbauen einer CMDB, ist klassisch die Domäne der IT. Doch allein geht es nicht: An der Schnittstelle zwischen Verfahren und Systemen kann meist nur der Fachbereich wesentliches Wissen beisteuern, das sich für die IT gar nicht so einfach erschließt.

Die Verantwortlichen sind nun verpflichtet, sich mit den Verfahren, Systemen und Daten zu beschäftigen. Und hier erklärt sich auch die Notwendigkeit der Rollentrennung: Die IT ist für die technische Umsetzung und den Betrieb zuständig, der Fachbereich für das Verfahren. Jeder dokumentiert für seinen Bereich.

Aufgaben des Fachbereichs

Datenexporte werden vielleicht schnell mal als Datei auf Dropbox abgelegt und im Heimbüro nachbearbeitet, Kundenumfragen werden unter Zuhilfenahme eines spezialisierten Cloud-Services durchgeführt: Der Verfahrensverantwortliche muss entsprechende Vorgehensweisen herausfinden, dokumentieren und in unerwünschten Fällen ändern! Im Verfahrensverzeichnis muss nachvollziehbar dokumentiert sein, wohin personenbezogene Daten gelangen. Denn bei Datenmissbrauch, egal welcher Art, haftet das Unternehmen bzw. der Verfahrensverantwortliche. Das kann eventuell auch strafrechtlich relevant werden.

Aufgaben der IT

Was die IT zu den Verfahren beisteuern kann und muss, ist das Wissen über die technischen Zusammenhänge: Wie ist der Datenfluss? Welche internen Systeme und Datenspeicher sind an einem Verfahren beteiligt? Wie sind diese abgesichert? Welche Schnittstellen gibt es? Wo bleiben dort Daten gespeichert? Wie erfolgen Backups? Wie lange werden Daten vorgehalten, wann und wie gelöscht? Wer ist für welchen Teilbereich zuständig? Welche externen Dienstleister sind beteiligt?

All das gehört in die IT-Dokumentation, die damit das zentrale Nachschlagewerk für alle IT-Prozesse ist, hier gelten in vielen Organisationen bereits strikte Regeln für die Erstellung und Aktualisierung.

Externe Dienstleister und Service-Erbringer

Selten gibt es nur mehr “eine IT” im Unternehmen, zumeist derer mehrere – denken wir nur an Cloud Services – und auch diese müssen dokumentiert werden. Hinweise auf externe Erbringer sind auch in den Verfahrensverzeichnissen besonders zu berücksichtigen.

Und das ist ein zusätzliches Argument dafür, dies mit der IT-Dokumentation zu koppeln. Denn eben diese Dienstleister bzw. Service-Erbringer sind zumeist in der IT-Dokumentation als Ansprechpartner mit ihren Kontaktdaten zu finden. Logisch, diese Dienstleister nun auch ins Boot zu holen. Ebenso wie die interne IT muss dokumentiert werden, was mit den Daten passiert, falls das Wissen nicht im Haus ist! Wenn personenbezogene Daten beim Dienstleister verarbeitet oder gespeichert werden, dies kann auch der Programmierer sein, der schnell mal eben eine Datenbank des CRM Systems zu Testzwecken abzieht, ist eine Vereinbarung zur Auftragsdatenverarbeitung (kurz: “ADV”) abzuschließen. Denn nur so schließt sich der Kreis – wem nützt das beste Verfahren im Haus, wenn die Daten beim Dienstleister angreifbar sind?

Die Cloud Services

Da der Anbieter von Cloud-Services keine Einzeldokumentation über seine IT-Infrastruktur liefert, dies ist zumeist eines der streng gehüteten Unternehmensgeheimnisse, muss eine andere Form der Vereinbarung her. Auch hier ist es die Vereinbarung zur Auftragsdatenverarbeitung (ADV). Teil dieser ADV sind die sogenannten technisch-organisatorischen-Maßnahmen (TOM), in denen der Betreiber/Anbieter darlegt, welche Systeme er wie schützt. Das Ganze findet in verschiedenen Kategorien statt, wie z.B. Zugangskontrolle, Zugriffskontrolle, etc.

Da Privatleute als Servicekonsumenten die technischen Zusammenhänge weder kennen noch überprüfen können, werden auch beim Cloud-Provider Datenschutzbeauftragte und Audit-Verfahren eingesetzt, die – genau wie im eigenen Unternehmen – die Gesetzeskonformität gewährleisten. Doch das ist nicht etwa neu – gerade bei Cloud Services ist der Industriestandard bereits weit höher als die EU-Datenschutzbestimmungen nun vorsehen – beispielsweise setzt das ISO27001 Zertifikat ein sehr hohes Sicherheitsniveau voraus.

Hier wird sich vermutlich schnell ein Standard in der Darstellung etablieren, schließlich sehen sich die europäischen Diensteanbieter zumeist als Verlierer im internationalen Wettbewerb – ausgelöst durch unterschiedliche Gesetzgebung. Viele wittern nun auch einen klaren Wettbewerbsvorteil durch die transparente Darstellung ihrer Methoden und technisch-organisatorischen Maßnahmen.

Der Trick mit der Aktualisierung

Ist ein Verfahrensverzeichnis erstellt, ist erstmal dem Gesetz genüge getan. Doch was, wenn sich etwas ändert? Hier versteckt sich ein Klassiker: Weder Fachbereich noch IT gehen bei Änderungen aufeinander zu. Zu lange scheint das Übersetzen in die jeweils andere Fachsprache zu dauern, die Änderung ist viel schneller in den eigenen Reihen durchgeführt. Vom externen Service-Erbringer sind wir da oft schon entsprechende Kommunikationsprozesse gewohnt – klar: Wettbewerbsvorteil! Aber wie können wir das unter Kollegen durchsetzen?

Die beste Chance, diesem Dilemma zu entgehen, bietet die gemeinsame Dokumentation von Verfahren und IT-Systemen im gleichen Dokumentationssystem – und einem Change Management Prozess, der nun sowohl Fachbereich als auch die zuständigen in der IT Abteilung zusammen bringt. Wenn jede Seite ihrer Dokumentationsverantwortung nachkommt – und dazu hat uns letztlich der Gesetzgeber verpflichtet – kann das klug konfigurierte IT-Dokumenationssystem auch selbstständig auf notwendige Änderungen hinweisen – bis hin zum selbstständigen Aktualisieren von Dokumenten. An dieser Stelle hat die Excel-Liste endgültig ausgedient.

Das automatische Erstellen notwendiger Dokumente

Vom externen Datenschutzbeauftragten oder Auditor kann nicht erwartet werden, dass er sich durch fremde Datenbanken wühlt und so Zusammenhänge erkennt. Zwar hat diese Rolle das Recht darauf, kann auditieren wie sie will. Trotzdem wird die Übergabe der Informationen klassisch auf Papier oder zumindest elektronischem Papier stattfinden. Gut also, wenn regelmäßig, am besten nach jeder Änderung, die notwendigen Dokumente aktualisiert und zentral abgelegt werden. Dann entfällt auch die Panik vor einem Audit.

Geschlossene “Kette des Vertrauens”

Betroffene sollen sich darauf verlassen können, dass Unternehmen seriös mit ihren persönlichen Daten umgehen. Dass dies nun auch “Ende zu Ende” gewährleistet wird, zumindest EU-weit, dafür wird nun die EU-DSGVO akut. Da es als Einzelperson nahezu unmöglich ist, sich einen Überblick über verwendete Systeme zu verschaffen, ja selbst im eigenen Unternehmen zumeist der Datenfluss unklar ist, musste die Beschäftigung und Dokumentation vom Gesetzgeber erzwungen werden. Mittelfristig wird sich damit auch ein Bewusstsein in jedem datenverarbeitenden Betrieb einstellen, wie mit solchen Daten umzugehen ist. Notfalls auch mit den drakonischen Strafen, die nun angedroht und zweifelsohne auch früher oder später exekutiert werden.

Bereits umgesetzte Verfahrensverzeichnisse auf Basis der IT-Dokumentation i-doit. Drei Beispiele:

Die Wirtschaftskammer Vorarlberg als Vertreter von 41.000 Betrieben im Westen Österreichs ist mit gutem Beispiel vorangegangen. Für die Kammer ist IT-Dokumentation in den letzten Jahren bereits zur Routine geworden, wie der zuständige Abteilungsleiter Markus Mylonas berichtet. Jetzt wurden auch die erweiterten Dokumentationspflichten, die Organisationen aufgrund der DSGVO entstehen, mit i-doit umgesetzt. Gemeinsam mit dem Umsetzungspartner don’t panic haben die Kammer-IT Experten ein Konzept entwickelt, das nicht nur den Vorgaben des Gesetzgebers entspricht, sondern die Verantwortlichen bei ihrer Arbeit unterstützt und sicherstellt, dass die Verarbeitung personenbezogener Daten den Prinzipien der DSGVO entspricht und die Rechte der Betroffenen gewahrt werden. Dabei wurde die Möglichkeit genutzt, in i-doit benutzerdefinierte Objekttypen und Kategorien zu definieren. Nun sind nicht nur die gesetzlich vorgeschriebenen Daten nachvollziehbar gespeichert, sondern auch Risikoanalysen und daraus resultierende technische oder organisatorische Maßnahmen dokumentiert – alles an einem Platz und sauber auswertbar.

Die Gemeindeinformatik aller 96 Kommunen in Vorarlberg setzt derzeit ein Datenschutz-Konzept inkl. Verfahrensverzeichnissen auf. Hierzu können wir bei Bedarf weitere Infos und Hintergründe liefern.

Die Blutspende-Organisation Geben für Leben www.gebenfuerleben.at hat ebenfalls ein Verfahrensverzeichnis aufgesetzt. Die Charity-Organisation sucht “genetische Zwillinge” für Menschen mit Bluterkrankungen, wickelt das pseudonymisiert ab, und hat entsprechend sehr hohe Datenschutz-Anforderungen. Der Verein ist auskunftbereit, wir können bei Bedarf ausführlichere Info liefern.

Unser Partner Christian Wally, Geschäftsführer von don’t panic, erklärt in einem Video seine bereits bei mehreren Kunden durchgeführte Implementierung: https://www.youtube.com/watch?v=ot8gx2Ady6A

 i-doit

  • Das Unternehmen hinter i-doit: inhabergeführtes Unternehmen, bereits 20 Jahre am Markt, verlässlicher Anbieter
  • Kundenzahl: 60 Hochschul- Kunden, insgesamt rund 800 Kunden der i-doit pro Version
  • Regelmäßige Anwendertreffen: 3 x klein, 1 x groß (AWK), Austausch von Informationen und Expertise unter Anwendern
  • Technologisch up-to-date: Augmented Reality als neues User-Interface i-doit AR Video
  • Am Puls der Anwender: Permanente Verbesserung des Produkts über die jüngst gestartete Entwicklungspartnerschaft
  • Breites Spektrum an Technologie- und Lösungspartnern: 8 i-doit Partner
  • Hohe technische Reife und Modularität: Service Modellierung, Add-on Konzept, ITSM, IT-Sicherheit
  • Offene API: i-doit kommt aus der Open Source Welt
  • Erstklassige Visualisierung: einzigartige Darstellungsmöglichkeiten über den CMDB Explorer
  • Top Service vor Ort: Service/Support und starkes Netz an Dienstleistungs- und Entwicklungspartnern in der DACH Zeitzone
  • Kundenorientierte Preispolitik: Preislich sehr attraktiv für alle Marktsegmente
  • Kooperativ: für die simultane Zusammenarbeit unter mehreren Anwendern konzipiert

Der Autor: Peter Resch-Edermayr arbeitet seit über 20 Jahren in unterschiedlichen Rollen an der Ausgestaltung von IT-Prozessen. Seit 2014 ist er als Evangelist für synetics tätig, dem Düsseldorfer Hersteller der Dokumentationslösung i-doit. Sein Ziel: Das Erlebnis IT sicher und kundenfreundlich zu gestalten.

Vorheriger ArtikelSmart in puncto IT-Sicherheit nicht zu Ende gedacht!
Nächster ArtikelIoT & Smart-Devices im Heimnetz – „Adé Security!“ oder lösbare Herausforderung?