DS-GVO: Belastbarkeit der Systeme
Unsere Welt ist immens vernetzt und fragile Zusammenhänge haben zur Folge, dass ein Fehler im System ganze Bereiche zum Erliegen bringen können. Was das bedeuten kann, hat der Zusammenbruch verschiedener sozialer Netzwerke und damit zusammenhängender Kommunikationsplattformen in der vergangenen Woche gezeigt: Durch die Verknüpfung und Verflechtung verschiedener Systeme, kann dieser eine Fehler ganze Netzwerke zum Erliegen bringen.
Über sechs Stunden waren unterschiedliche Anbieter nicht mehr erreichbar, sogar Aktien haben für einen kurzen Zeitraum an Wert verloren. Bricht also ein Teil eines Netzwerkes zusammen, kann das finanzielle und auch imagebezogene Probleme mit sich bringen. Dabei geht es aber auch um den Datenschutz, dieser kann bei Systemzusammenbrüchen, egal wodurch sie hervorgerufen wurden, in Gefahr geraten, was weitreichende Folgen für ein Unternehmen haben kann.
Risiko Datenverlust auch im Datenschutz relevant
Durch die Verknüpfung unterschiedlichster Dienste und Systeme, betrifft dieses Problem aber längst nicht mehr nur Global Player oder Unternehmen, die in der IT weltweit vernetzt sind. Auch regionale Unternehmen, Schulen, Vereine, Praxen und Kanzleien, jeder der mit personenbezogenen Daten arbeitet, sollte auf einen Systemzusammenbruch, global und intern, vorbereitet sein und entsprechende Maßnahmen treffen, welche die Sicherheit der Daten und der Systeme gewährleisten.
Was bedeutet Belastbarkeit im Datenschutz?
Die Verarbeitung von personenbezogenen Daten muss auch im Bezug auf den Datenschutz hin äußeren wie inneren starken Belastungen, Angriffen und unbefugten Zugriffen standhalten. Das bedeutet auch, dass keine personenbezogenen Daten verloren gehen dürfen und bei einem Möglichen Ausfall der Systeme alle Daten wiederhergestellt werden können. Mögliche Datenverluste können auch Datenpannen mit sich bringen.
Der Verantwortliche muss dabei sicherstellen, dass die getroffenen technischen und organisatorischen Maßnahmen (TOM) dem Stand der Technik entsprechen und die personenbezogenen Daten der Betroffenen ausreichen vor Verlust oder Veränderung geschützt werden. Dabei geht es sowohl um absichtliche datenschutzrelevante Geschehen als auch um unabsichtliche Vorfälle.
Verfügbarkeit und Belastbarkeit von Systemen
Um personenbezogene Daten ausreichend zu schützen, spielen sowohl Belastbarkeit als auch die Verfügbarkeit von Systemen eine wichtige Rolle. Beider werden im Datenschutz meist in einem Kausalzusammenhang genannt.
Im praktischen Datenschutz-Alltag kann man Verfügbarkeit und Belastbarkeit meist nur schwer abgrenzen.
Erste Schritte für den Datenschutz: Belastbarkeit und Verfügbarkeit sicherstellen
Um den Datenschutz sicher in einem Unternehmen umzusetzen, muss man im ersten Schritt erst einmal feststellen, wo überhaupt personenbezogene Daten verarbeitet werden. Datenschutz setzt auch voraus, dass alle Systeme, die genutzt werden, auf Verfügbarkeit und Belastbarkeit hin regelmäßig überprüft werden und darüber hinaus auf dem Stand der Technik sind.
Ebenso sollte geprüft werden, was ein möglicher Ausfall unterschiedlicher Systeme oder auch Systemteile für die personenbezogenen Daten und Ihre Verarbeitung bedeuten. Können alle Daten und Verarbeitungen lückenlos wiederhergestellt werden? Gehen Daten möglicherweise verloren oder werden gelöscht und: sind Daten auch bei einem Systemausfall ausreichend vor Zugriffen Unbefugter geschützt. Wie kann dies alles sichergestellt werden? Dabei sollten alle Bereiche, in denen personenbezogene Daten verarbeitet werden stetig untersucht werden.
Auftragsverarbeitung prüfen
Dies gilt es auch zu prüfen, wenn Daten in welcher Form auch immer über andere im Auftrag verarbeitet werden. Diese Art der Datenverarbeitung nennt man Auftragsverarbeitung (AV). Wer Daten durch Dritte bearbeiten lässt (dazu gehören auch Cloud-Lösungen, Datenvernichtung oder Datenübermittlung durch unterschiedliche Anbieter), der muss einen sogenannten Vertrag zur Auftragsverarbeitung (AV-Vertrag) abschließen. Was sind AV-Verträge? Lesen Sie dazu mehr in unserem Blog.
Auch diese sollten auf die Belastbarkeit der Systeme hin immer geprüft werden, damit sichergestellt ist, dass der beauftragte Dienstleister den Datenschutz entsprechend den Vorgaben umsetzen kann. Prüfen Sie vor allem auch, an welcher Stelle Auftragsverarbeitung stattfindet und ob hier bereits der Datenschutz abgedeckt ist.
Nicht bei Datenschutz und IT sparen
Wer an Datenschutz und IT spart und vermeintlich einfache und kostengünstige/kostenlose Lösungen aus dem großen Portfolio der Anbieter auswählt, der bekommt nicht selten Dienstleistungen die unzureichend sind oder zahlt mit der Weitergabe von Daten. Personenbezogene Daten stellen vor allem im Bereich von Werbung dabei aber eine starke Währung dar, die nicht zu unterschätzen ist. Für den Verantwortlichen bedeutet das: Es muss sichergestellt sein, dass die Weitergabe oder Verarbeitung bei allen Systemen überhaupt mit dem Datenschutz konform geht – nicht selten ist dies bei kostenlosen Angeboten nicht der Fall.
Es ist dabei immer anzuraten, einen Experten, wie den (externen) Datenschutzbeauftragten im Projekt zu involvieren, um mögliche Datenschutzverstöße zu umgehen.
Auch Belastbarkeit und Verfügbarkeit von Systemen hängt von der sicheren Qualität der verwendeten Systeme ab und sollten durch einen Fachmann regelmäßig geprüft werden.
Datenschutzberater.NRW stellt einen externen Datenschutzbeauftragten (TÜV) und berät Sie mit einem Team aus Datenschutz, IT-Sicherheit und Steuerrecht. Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.