Inhalt
Nr. 9.2 – Datenschutz durch Voreinstellungen
(Art. 25 Abs. 2 DSGVO)
Kriterium
(1) Der Cloud-Anbieter stellt durch seine Voreinstellungen im jeweiligen Dienst sicher, dass nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind und auch der Zugang zu den personenbezogenen Daten auf das Maß beschränkt wird, das erforderlich ist, um den Verarbeitungszweck des Cloud-Nutzers zu erfüllen.
(2) Der Cloud-Anbieter stellt durch Voreinstellungen sicher, dass personenbezogene Daten nicht ohne Eingreifen der betroffenen Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden und hierbei keine Risiken für die betroffenen Personen durch eine zu umfassende Zugänglichmachung von personenbezogenen Daten entstehen.
Erläuterung
Der Verantwortliche muss die Pflichten aus Art. 25 Abs. 2 DSGVO erfüllen. Sobald er eine Datenverarbeitung im Auftrag ausführen lässt, muss der Cloud-Nutzer einen Cloud-Anbieter auswählen, der diese Pflichten erfüllt. Die Voreinstellungen des Cloud-Dienstes sind daher so zu wählen, dass sie die Pflicht des Art. 25 Abs. 2 Satz 1 DSGVO erfüllen.
Umsetzungshinweis
Die Maßnahmen, um dieses Kriterium umzusetzen, sind sehr vielfältig. Der Cloud-Anbieter sollte durch Voreinstellungen sicherstellen, dass nur personenbezogene Daten verarbeitet werden, die für den jeweilig bestimmten Verarbeitungszweck erforderlich sind. Hierzu sollte nicht nur die Menge der verarbeiteten Daten zu minimiert werden, sondern auch der Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Muss bspw. die Nutzung des Cloud-Dienstes protokolliert werden, um Missbrauch aufzudecken oder die Datensicherheit sicherzustellen, so sollte die Voreinstellung derart gewählt werden, dass die Daten anonymisiert erhoben und verarbeitet werden.
Nutzer können von den datenschutzfreundlichen Voreinstellungen abweichen, wenn sie z.B. umfangreichere Verarbeitungsoptionen wünschen. Hierfür ist eine gute Nutzbarkeit des Cloud-Dienstes ebenso wichtig wie eine Information des Cloud-Nutzers darüber, welche Auswirkungen Änderungen von Voreinstellungen haben können (z.B. über Pop-up-Fenster innerhalb des Dienstes). Art. 25 Abs. 2 DSGVO verpflichtet jedoch dazu, dass die umfangreicheren Verarbeitungsoptionen nicht voreingestellt sind, sondern vom Cloud-Nutzer bei Bedarf eingeschaltet und aktiviert werden können. Soweit der Cloud-Anbieter eine Datenschutz-Folgenabschätzung durchgeführt hat, können sich Anforderungen an die Voreinstellungen aus der Pflicht ergeben, die festgestellten Risiken zu minimieren.
Auf die Umsetzungshinweise der ISO/IEC 29101 „Informationstechnik – Sicherheitsverfahren – Rahmenwerk für Datenschutzarchitektur“ wird hingewiesen.
Auf die Umsetzungshinweise im SDM D1.1 bis D1.8 wird hingewiesen.
Auf die Umsetzungshinweise der ISO/IEC 27701 Ziff. 6.11, 8.4 wird hingewiesen.
Auf die Umsetzungshinweise in den Guidelines 4/2019 des EDPB zu Art. 25 DSGVO wird hingewiesen.
Nachweis
Zum Nachweis des Datenschutzes durch Voreinstellungen kann ein Cloud-Anbieter eine Vielzahl an Maßnahmen durchführen.
Der Cloud-Anbieter legt Dokumente vor, die beschreiben, welche Voreinstellungen aus welchen Erwägungen heraus gewählt worden sind. Dabei können die Dokumentationen der einzelnen TOM, das Datensicherheitskonzept, Standardeinstellungen des Cloud-Dienstes, Verfahrensanweisungen, Richtlinien/Konzepte zu Kennwörtern, Authentifizierungen und Zugangs- und Zugriffsberechtigungen vorgelegt werden. Auch können Dokumentationen über die Trennung von Testsystemen, über die Entwicklung des Cloud-Dienstes und Protokolle und andere Nachweise zur Durchführung von technischen Voreinstellungen vorgelegt werden.
Die tatsächliche Umsetzung der Maßnahmen sollte durch Prüfungen und (Vor-Ort-)Auditierungen nachgewiesen werden. Im Rahmen einer Prüfung können unter anderem eine Dienstnutzung (bspw. Überprüfung der Standardwerte und Vorauswahl bei Datenfeldern), eine Vorgangsüberwachung (bspw. Umsetzung der Maßnahmen zur Trennung der Entwicklungssysteme) und eine Assetprüfung (bspw. Quellcodeanalyse, Analyse von Systemschnittstellen und Hardwarekomponenten) durchgeführt werden, um Voreinstellungen nachzuweisen. Auch sollte eine Befragung oder Beobachtung relevanter Mitarbeiter durchgeführt werden, um ihre Kenntnis über Richtlinien und Verfahrensschritte, durchgeführte Sensibilisierungen zu Datenschutz und Datensicherheit sowie ihre Kompetenzen (insb. im Hinblick auf die Erforderlichkeit der Verarbeitung von Daten) nachzuweisen. Zusätzlich sollte das Management befragt werden, um nachzuweisen, dass Datenschutz durch Voreinstellung als Zielsetzung im Unternehmen verankert ist.
Darüber hinaus kann eine Entwicklungs- und Designprüfung durchgeführt werden, um nachzuweisen, dass die datenschutzrechtlichen Anforderungen und Voreinstellungen bereits bei der Entwicklung des Systems berücksichtigt werden. Hierzu kann ein Cloud-Anbieter Dokumente zu eingesetzten Entwicklungsmethoden und -verfahren (insb. Abnahmekriterien und gewählte Voreinstellungen) vorlegen. Eine Prüfung von Testsystemen und -umgebungen (bspw. auf Umsetzung von Voreinstellungen) kann bei Bedarf durchgeführt werden. Bei der Designprüfung können unter anderem Datenflussdiagramme, Designentscheidungen, aber auch die Konfiguration und Einstellung des Cloud-Dienstes zur Erbringung des Datenverarbeitungsvorgangs als Nachweis dienen.
Unterstützend können Sicherheitstests angewendet werden, um bspw. die Sicherheit und Angemessenheit von Gestaltungsmaßnahmen nachweisen zu können.