Inhalt

    Nr. 9.1 – Datenschutz durch Systemgestaltung
    (Art. 25 Abs. 1 DSGVO i.V.m. Art. 5 Abs. 1 lit. f DSGVO)

    Kriterium

    (1) Der Cloud-Anbieter setzt im Rahmen des angebotenen Dienstes die Grundsätze des Art. 5 DSGVO (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckfestlegung und Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Systemdatenschutz und Verantwortlichkeit) praktikabel und zielführend um.
    (2) Der Cloud-Anbieter verfügt über Prozesse zur Transparenz und zur aktiven Verfolgung des Stands der Technik auf den Ebenen der konzeptionellen Zielsetzung, der Architektur, der Systemgestaltung und der Implementierung.
    (3) Der Cloud-Anbieter stellt sicher, dass zu jedem Zeitpunkt durch seine Systemgestaltung in den angebotenen Anwendungen und durch die Konzeption der Dienstleistung die Nachvollziehbarkeit und Transparenz der Datenverarbeitungen, auch in den verlängerten Leistungsketten durch etwaige Subauftragsverhältnisse, gewährleistet ist.

    Erläuterung

    Der Cloud-Nutzer muss als Verantwortlicher die Gestaltungspflicht aus Art. 25 Abs. 1 DSGVO erfüllen. Sobald er einen Cloud-Dienst nutzt, muss er einen Cloud-Anbieter auswählen, der diese Pflicht erfüllt. Technik und Organisation des Cloud-Dienstes sind daher so zu gestalten, dass sie die Datenschutzgrundsätze des Art. 5 DSGVO bestmöglich unterstützen.

    Umsetzungshinweis

    Zur Erfüllung der Anforderungen von Art. 25 Abs. 1 DSGVO ist es unablässig, diese bereits bei der Modellierung von Datenverarbeitungssystemen und Verarbeitungsvorgängen auf allen Ebenen zu berücksichtigen. Der Grundsatz der datenschutzfördernden Systemgestaltung („Data Protection by Design“) verlangt eine Beachtung operativer Datenschutzanforderungen bereits während der Planungsphase, damit nicht-datenschutzkonforme Funktionen gar nicht erst implementiert und nachträglich abgestellt werden müssen. Nach dem SDM können zur datenschutzgerechten Gestaltung der Verarbeitungsvorgänge die Gewährleistungsziele des SDM als Design-Prinzipien oder -Strategien interpretiert werden. Es sind ausgereifte Changemanagement-Prozesse erforderlich, um auf Änderungen der rechtlichen Rahmenbedingungen reagieren und um neue, datenschutzfreundliche Techniken in vorhandene Verarbeitungssystemen einsetzen zu können. Hierzu zählen bspw. Privacy Enhancing Technologies (PETs), welche im Cloud-Dienst zum Einsatz kommen können.
    Die Maßnahmen, um dieses Kriterium umzusetzen, sind sehr vielfältig. Sie reichen von der Implementierung eines datensparsamen Logins für den Zugang zum Cloud-Dienst, über Rollen- und Berechtigungskonzepte für die Administration der verarbeiteten Daten bis hin zu Löschkonzepten für die Löschung dieser Daten. Auch Maßnahmen, die es der betroffenen Person ermöglichen, ihre Betroffenenrechte möglichst einfach auszuüben, zählen hierzu, da sie Transparenz und Kontrollmöglichkeiten für diese erhöhen. Beispielhafte Maßnahmen sind die Antragstellung auf Auskunft nach Art. 15 Abs. 1 DSGVO auf Knopfdruck innerhalb des Dienstes oder der Onlineabruf von Daten, die zur betroffenen Person gespeichert sind. Der Cloud-Anbieter sollte die Abwägungsvorgänge dokumentieren, die ihn bei der Auswahl der TOM zur Gewährleistung der Datenschutzgrundsätze geleitet haben, da er bei dieser Auswahl den Stand der Technik, die Implementierungskosten, die Eintrittswahrscheinlichkeit und Schwere des Schadens für die Rechte und Freiheiten der betroffenen Personen in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigen darf
    Auf die Umsetzungshinweise der ISO/IEC 29101 „Informationstechnik – Sicherheitsverfahren – Rahmenwerk für Datenschutzarchitektur“ wird hingewiesen.
    Auf die Umsetzungshinweise im BSI C5 Anf. BEI-01 und BEI-02 wird hingewiesen.
    Auf die Umsetzungshinweise im SDM D1.1 bis D1.8 wird hingewiesen.
    Auf die Umsetzungshinweise der ISO/IEC 27701 Ziff. 6.11, 8.4 wird hingewiesen.
    Auf die Umsetzungshinweise in den Guidelines 4/2019 des EDPB zu Art. 25 DSGVO wird hingewiesen.

    Nachweis

    Zum Nachweis von Datenschutz durch Systemgestaltung kann ein Cloud-Anbieter eine Vielzahl an Maßnahmen durchführen.
    Der Cloud-Anbieter kann Dokumente vorlegen, aus denen hervorgeht, welche Gestaltungsprinzipien und maßnahmen er vorgesehen hat und welche Erwägungen ihn dabei geleitet haben. Relevante Dokumentationen umfassen Dienstbeschreibungen, das Datensicherheitskonzept mit den TOM, Rollen- und Berechtigungskonzepte, Prozessbeschreibungen, Verfahrensanweisungen, Richtlinien, Musterverträge für Subauftragsverarbeiter, Ergebnisprotokolle von internen Audits und Subauftragsverarbeiterkontrollen, Risikoanalysen, Dokumentationen des Information Security Management Systems, Incident-Response-Management Dokumentationen und Datenschutz-Folgenabschätzungen.
    Der Abgleich der Dokumentation mit der tatsächlichen Umsetzung der Maßnahmen sollte durch Prüfungen und (Vor-Ort-)Auditierungen nachgewiesen werden. Im Rahmen einer Prüfung können unter anderem eine Dienstnutzung (bspw. Überprüfung der Funktionen und Maßnahmen gemäß Dienstbeschreibung), eine Vorgangsüberwachung (bspw. Sicherstellung von Verschlüsselung) und eine Assetprüfung (bspw. Quellcodeanalyse, Analyse von Systemschnittstellen und Hardwarekomponenten) durchgeführt werden, um den Nachweis der Umsetzung der Datenschutzgrundsätze bei der eingesetzten Hard- oder Software und der Durchführung der Datenverarbeitungsvorgänge zu erbringen. Auch sollte eine Befragung oder Beobachtung relevanter Mitarbeiter durchgeführt werden, um deren Kenntnis über Richtlinien und Verfahrensschritte sowie deren Kompetenzen und Verantwortlichkeiten nachzuweisen. Zusätzlich sollte das Management befragt werden, um nachzuweisen, dass Datenschutz durch Systemgestaltung als Zielsetzung im Unternehmen verankert ist.
    Darüber hinaus kann eine Entwicklungs- und Designprüfung durchgeführt werden, um nachzuweisen, ob die datenschutzrechtlichen Anforderungen bereits bei der Entwicklung des Systems berücksichtigt werden. Hierzu kann der Cloud-Anbieter Dokumente über eingesetzte Entwicklungsmethoden und verfahren (insb. Abnahmekriterien und Anforderungslisten) vorlegen. Eine Prüfung von Testsystemen und -umgebungen (bspw. auf Angemessenheit und Sicherheit) kann bei Bedarf durchgeführt werden. Bei der Designprüfung können unter anderem Dokumentationen zur gewählten Architektur, Datenbankdiagramme, Datenflussdiagramme, Designentscheidungen, aber auch die Konfiguration und Einstellung des Cloud-Dienstes zur Erbringung des Datenverarbeitungsvorgangs vorgelegt werden.
    Der Cloud-Anbieter weist anhand von Prozessdokumentationen (bspw. Protokolle über Entscheidungen, Zeitstempel, Versionierungshistorie, Change-Logs) und Befragungen der Mitarbeiter (bspw. Bekanntheit der Richtlinien und Trennung der Verantwortlichkeiten) nach, dass der Stand der Technik beobachtet und eingehalten wird.
    Unterstützend können Sicherheitstests angewendet werden, um bspw. die Sicherheit und Angemessenheit von Gestaltungsmaßnahmen nachweisen zu können.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.