Главная
адвокатура
Wolfgang Gaess
Datenschutz mit bewährten Methoden des Risikomanagements
Читать онлайн

Datenschutz mit bewährten Methoden des Risikomanagements

Wolfgang Gaess

Издательство:

Автор

Серия:

Datenschutzberater

Жанры:

адвокатура

Книги этой серии:

Gewährleistung von Datensicherheit und Datenschutz im eVergabe-Verfahren

Все книги серии

Книжный блогЧитать новые статьи

Последние статьи блога

Как выучить 50 билетов за день

Как быстро выучить номенклатуру по географии

Как быстро выучить чеченский язык

Как быстро выучить тренд

Аннотация

Читать онлайн

Cкачать на Литрес

-
100%
+

Datenschutz mit bewährten Methoden des Risikomanagements

Handreichung

Wolfgang Gaess

Fachmedien Recht und Wirtschaft | dfv Mediengruppe | Frankfurt am Main

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

ISBN 978-3-8005-1731-2

www.ruw.de

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Druck: WIRmachenDRUCK GmbH, Backnang

Printed in Germany

Aus der Nessel Gefahr pflücken wir die Blume Sicherheit.

“William Shakespeare”

Vorwort

Die Maxime der Funktionsfähigkeit stammt u.a. aus dem Risikomanagement im hoch regulierten Finanzsektor. Insbesondere die Haftung von Geschäftsführung und Aufsichtsrat wirkt mithin höchst motivierend auf diese wichtigen Akteure. Ferner sind die Prüfungszyklen durch Interne Revision, Wirtschaftsprüfer und Finanzaufsicht zu eng getaktet als dass hier „auf Lücke“ gesetzt werden könnte.

Die Übertragung der Erfahrungswerte und der Herangehensweise der letzten Dekade (seit der Finanzkrise) auf die relativ ähnlich gelagerte Arbeit im Datenschutz war maßgebliche Motivation für diese Handreichung.

---

Ich möchte mich an dieser Stelle bei allen Mandanten, Partnern und Kollegen bedanken, die mich mit wichtigen Anmerkungen und Hinweisen unterstützt haben. In gleichem Maße gilt mein Dank an Frau und Sohn für die erduldete Abwesenheit.

Eschborn, 2. Januar 2020Wolfgang Gaess

I. Methodik und Aufbau

1. Ausgangslage der DSGVO

„Fehlender Anleitungscharakter und zu geringer Detaillierungsgrad“ waren häufig diskutierte Kritikpunkte an der DSGVO. Beide Faktoren begünstigen Rechtsunsicherheit bezüglich der vorzunehmenden Maßnahmen.

Verordnungen wollen jedoch keine in Reinform anwendbare Checkliste bzw. Roadmap sein. Sie können i.d.R. auch nicht detaillierter gestaltet sein, da eine höhere Ausdetaillierung die erforderliche Flexibilität nach Art, Größe, Risiken etc. der Unternehmen nicht hinreichend ermöglichen würde.

Regulierungen formulieren i.d.R. Motivationen, Ziele und erzeugen damit Organisationspflichten. In Bezug auf die DSGVO können diese wie folgt strukturiert werden:

Abbildung 1: Strukturelle Ziele der DSGVO

Regulatorische Organisationspflichten werden i.d.R. mit Verwaltungsanweisungen oder Papieren der Aufsicht und aufsichtsnahen Gremien weiter interpretiert.

Abbildung 2: Datenschutzregulierungen

Auch dieser Detaillierungsgrad ist für die Arbeitspraxis meist noch nicht ausreichend. Die Erstellung von praktischen auf den konkreten Anwendungsfall operationalisierten Organisationsmodellen ist erforderlich. Funktionierende Lösungen sollten insbesondere folgende Anforderungen erfüllen:

•Berücksichtigung der Denk- und Organisationsstrukturen des Unternehmens

•Berücksichtigung der Arbeitskultur und der Prozessdisziplin

•Befähigung relevanter Akteure zur Durchführung der ihnen auferlegten Maßnahmen.

2. Operationalisierung

Jeder Beitrag zu den Organisationspflichten ist wichtiger Bestandteil zur Plausibilisierung der Funktionsfähigkeit des Organisationsmodells.

In Bezug auf die Erlangung von höchstmöglicher „Rechtssicherheit“ kann gelten: Die aus der DSGVO erwachsenden Organisationspflichten sind desto mehr erfüllt, je mehr der Geist der Regelung durch das gewählte Organisationsmodell erreicht wird und das gewählte Organisationsmodell dies nach außen hin auch ausreichend manifestiert.

In Anwendung der 80 % zu 20 % Regel bedeutet dies: 20 % des Arbeitsaufwandes müssen in Nachvollziehbarkeit der Arbeit investiert werden.

Die Organisationspflichten sind nach außen hin dann ausreichend manifestiert, wenn sie

•für einen sachkundigen Dritten

•nachvollziehbar und

•plausibel erscheinen

•und im Rahmen eines erfolgreichen Funktionstests verprobt wurden.

Proof of Concept: Bei IT-Projekten sind erfolgreiche Systemtests (u.a. User Acceptance Test) ganz selbstverständlich Voraussetzung für die „Live-Schaltung“ (z.B. für Banken geregelt in den MaRisk AT 7.2 Ziffer 3). Von einem erfolgreichen Arbeitsergebnis aus gedacht ist dies auch in der Prozess- und Dokumentationswelt sinnvoll.

• Nicht alle Organisationspflichten ergeben sich aus den hoheitlichen Vorgaben. Vom Ergebnis aus betrachtet können somit Maßnahmen erforderlich sein, die nicht explizit in der Regulierung enthalten sind. Das ist dann der Fall, wenn ausgehend von einem sinnvollen Arbeitsergebnis bestimmte notwendige Zwischenziele erreicht werden müssen. Beispiel hierfür ist ein „Vertragsmanagement“. Ein solches wird weder in der DSGVO (und im Übrigen auch nicht in der Finanzregulierung beim Outsourcing) explizit verlangt. Allerdings ist ohne ein vernünftig gestaltetes Vertragsmanagement eine ausreichende Dienstleistersteuerung nicht möglich. Das Vertragsmanagement ist somit eine Anforderung, die sich in diesem Fall aus dem Rückschluss der eigentlichen Zielerreichung ergibt. Die genaue Ausprägung des Vertragsmanagements liegt dabei im unternehmerischen Ermessensspielraum. Unter Berücksichtigung bestehender Strukturen und Arbeitskultur können mit diesem Ansatz im Ergebnis die passenden Arbeitsmodelle für das Unternehmen gewählt werden.

Organisationsmodelle sollten so plausibel gestaltet sein, dass eventuelle Diskussionen mit Aufsichtsbehörden nicht mehr grundsätzlicher Natur sind.

3. Aufbau der Kapitel

Die Organisationspflichten lassen sich wie folgt im Verlauf eines klassischen Implementierungsprojektes darstellen.

• Prozessdesign: Als Startpunkt soll ein gangbarer (Ablauf-) Prozess zur Erreichung der Ziele skizziert werden. Das Prozessdesign muss die Zielerreichung einer Maßnahme ausreichend plausibilisieren.

• Dokumentation: Im Arbeitsschritt Dokumentation müssen geeignete Dokumentationsformate erwogen und erzeugt werden. Diese bilden insbesondere Hilfestellung für den operativen Betrieb. Dazu zählen:○Arbeitsanweisungen,○ Handbücher,○ Mustervorlagen,○ Checklisten und sonstige Hilfsdokumente.Die Dokumentenart wird dabei in die Hierarchieebene einer üblicherweise bestehenden schriftlich fixierten Ordnung eingeordnet. Dies ist die im nachfolgenden Themenpunkt „Papershield“ noch näher erläuterte Dokumentenhierarchie.

• Technische Anpassung: In der Kategorie „IT“ ist zu prüfen, inwieweit für die Maßnahme eine technische Anpassung erforderlich ist und inwieweit eine technisch gestützte Lösung sachdienlich erscheint.

• Change-Management: In der Kategorie „Change“ ist zu prüfen, in welcher Form die neu geschaffenen Maßnahmen bzw. die erfolgte Umstrukturierung in geeigneter Weise in der Organisation „zum Leben erweckt“ werden können. Dazu gehören u.a. Schulungs- und Sensibilisierungsmaßnahmen sowie Kampagnen.

• Vertrag: Am Ende des Implementierungsstrahles ist zu prüfen, inwieweit Vertragsanpassungen erforderlich sind. Im Rahmen dieser Bearbeitung liegt der Schwerpunkt auf den „Back-End“-Verträgen mit Dienstleistern und Kooperationspartnern (und nicht auf dem „Front-End“ mit Kunden). In der Regel werden auf dieser Basis vorhandene Vertragstemplates oder Prüflisten für Vertragsverhandlungen aktualisiert.

• Proof of Concept: Es sollte erwogen werden, am Ende der Implementierungsmaßnahmen noch einen Testlauf zu ergänzen.

Abbildung 3: Organisationspflichten eines klassischen Implementierungsprojektes

4. Das Modell der “Three Lines of Defense”

Eine bewährte Herangehensweise zur Steuerung des Risikomanagements ist das Modell der „Three Lines of Defense“ (3LoD) oder das „Modell der drei Verteidigungslinien“.

Im Finanzsektor nimmt die BaFin in ihren Publikationen mittlerweile regelmäßig Bezug auf dieses Modell und „adelt“ diese Methodik damit in gewisser Weise zu einem gängigen und anerkannten Organisationsmodell im Finanzsektor. (So zum Beispiel in den „BaFin Perspektiven“ vom 01.08.2018 „Digitalisierung und Informationssicherheit im Finanz- und Versicherungswesen im Fokus aufsichtlicher Anforderungen“ abrufbar unter https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/BaFinPerspektiven/2018/bp_18-1_Beitrag_Gampe.html; abgerufen am 15.05.2019)

a) Modell der drei Verteidigungslinien

Abbildung 4: Modell der drei Verteidigungslinien

Das Modell gliedert sich in drei interagierende Verteidigungslinien mit folgendem Aufbau:

• Erste Verteidigungslinie: Die erste Verteidigungslinie bilden die operativ tätigen Fachbereiche. Sie sind für die Wirkung des Fachbereichs verantwortlich. Das umfasst die im Fachbereich erzeugten Arbeitsergebnisse – aber auch die aus der Fachbereichsarbeit resultierenden Risiken mit den damit korrespondierenden Kontrollen. Daher sind Fachbereiche insoweit für das Risikomanagement (Steuerung, Überwachung und Reduktion von Risiken) gegenüber der Geschäftsführung verantwortlich.

• Zweite Verteidigungslinie: Die zweite Verteidigungslinie ist für die Steuerung und Überwachung der Fachbereiche (also der ersten Verteidigungslinie) zuständig. Sie ist standardgebende Instanz und wacht über die Einhaltung der gesetzten Vorgaben. Entsprechend müssen die von der zweiten Verteidigungslinie erlassenen Vorgaben verständlich und umsetzbar sein.

• Dritte Verteidigungslinie: Die dritte Verteidigungslinie ist eine unabhängige Prüfungsinstanz (i.d.R. die Interne Revision) und prüft die Zuständigkeitserfüllungen der ersten und zweiten Verteidigungslinie. Die dritte Verteidigungslinie ist Ausprägung der Kontrollpflichten der Geschäftsleitung. Um der Geschäftsleitung die Unternehmenssteuerung auf Basis der Kontrollmaßnahmen zu ermöglichen, berichtet die dritte Verteidigungslinie direkt an die Geschäftsleitung.

Klassische Diskussionspunkte in Bezug auf die Arbeit der 2. Verteidigungslinie sind zu abstrakte und komplizierte Vorgaben. Nochmals wird daher hier der „Proof of Concept“ nahegelegt. Sind Vorgaben für den Fachbereich nicht verständlich oder umsetzbar, müssen diese nachjustiert werden.

b) „Außendatenschutz“ und „Papershield“

aa) Allgemein

Im Zuge des bevorstehenden Aktivierungstermines der DSGVO im Jahr 2018 kamen verstärkt die Begriffe „Außendatenschutz“ und im englischsprachigen Raum auch der Begriff „Papershield“ auf. Was verbirgt sich dahinter?

„Außendatenschutz“ ist das schwerpunktmäßige Bearbeiten der Themen mit „Außenweltberührung“. Hierzu zählen beispielsweise die Datenschutzbelehrungen im Web-Auftritt, datenschutzkonforme Vertragsklauseln etc.

Papershield ist insbesondere der Arbeitsansatz im englischsprachigen Raum, alle notwendige Dokumentation für eine regelkonforme Organisation zu schaffen. Dieser Gedanke ist in einem ersten Schritt zunächst zielführend. Allerdings müssen in einem weiteren Schritt die Inhalte in der Organisation auch tatsächlich zum Leben erweckt werden.

Die Bankenregulierung hat in MaRisk AT 5 und AT 6 die Dokumentationsanforderungen explizit formuliert. Diese können für andere Bereiche Inspiration sein.

Welche Dokumentationsanforderungen sind aus der DSGVO ableitbar?

Abbildung 5: Dokumentenhierarchie eines Unternehmens

bb) Dokumentenstruktur

Die vorhandene Dokumentenstruktur eines Unternehmens kann im Rahmen einer Dokumentenhierarchie in vier Hierarchieebenen gegliedert werden:

Im Einzelnen:

Zu Level 1: Übergeordnete Leit- und Richtlinien mit grundsätzlicher Themenbehandlung. Hierzu gehören Richtlinien zum Thema Datenschutz, die auf der entsprechenden „Flughöhe“ datenschutzrechtliche Themen aufgreifen und behandeln.

Zu Level 2: Hierzu gehören Bestandteile eines bereits spezielleren Themas, die eine vollumfängliche eigene Darstellung erfordern. Z.B. das Thema Archivierung und Löschung, Berechtigungsmanagement etc.

Zu Level 3: Nach altem datenschutzrechtlichen Verständnis erschöpfte sich die Dokumentation häufig bereits in den zuvor dargestellten Level 1 und 2.

Hieraus resultierte das flächendeckend verbreitete Phänomen, dass die datenschutzrechtlichen Vorgabendokumente durch die Fachbereiche bei deren Tagesarbeit nicht berücksichtigt wurden, weil sie schlichtweg nicht bekannt waren.

Teils wurde nur eine datenschutzrechtliche Leitlinie/Richtlinie erstellt, die unter Umständen nicht einmal ausreichend im Unternehmen kommuniziert wurde.

Fachbereiche arbeiten in erster Linie mit den für die jeweilige Fachbereichsarbeit erstellten Arbeitsanweisungen. Es hat sich bewährt, fachbereichsfremde Themen als Merkpunkte, Verlinkungen oder Kurzkapitel in das fachbereichsspezifische Dokument hineinzutragen und einzuarbeiten. Der Bearbeiter eines Themas wird auf diesem Wege mit einer zu beachtenden datenschutzrechtlichen Maßnahme unausweichlich konfrontiert.

Zu Level 4: Hilfsdokumente zur Unterstützung der themenspezifischen Vorgaben sind z.B. in Form einer Matrix, Vorlage/Template oder Checkliste erstellt.

Beispiel: Ein Beispiel ist das Verarbeitungsverzeichnis.

Im Level 1 Dokument (für den Bereich Datenschutz die Datenschutzrichtlinie) wird definiert, dass ein Verarbeitungsverzeichnis zu führen ist. Es werden auch die Grundsätze festgelegt. Bei dem Thema „Verarbeitungsverzeichnis“ besteht ein umfassender Erläuterungsbedarf (auf welchem Detaillevel ist es zu führen, welche Akteure sollen es führen, welche sind die Aktualisierungsereignisse etc.).

Daher empfiehlt sich die Anfertigung einer eigenen Arbeitsanweisung für dieses Thema (also ein Level 2 Dokument). Das Verarbeitungsverzeichnis ist i.d.R. dann zu aktualisieren, wenn neue Prozesse im Unternehmen geschaffen oder bestehende Prozesse abgeändert werden. In diesen im Schwerpunkt auf Organisationsänderung angelegten Prozessen sollte die Aktualisierung des Verarbeitungsverzeichnisses als Merkposten mit aufgenommen werden. Das kann z.B. ein zusätzlicher Prüfpunkt bei einem Projektsteckbrief oder ein zusätzlicher Prüfpunkt einer Checkliste für den Einkauf von Dienstleistungen sein. Hierbei handelt es sich nach dieser Nomenklatur um eine „Level 3“ Dokumentation.

Für das Verarbeitungsverzeichnis wird idealerweise eine Vorlage erstellt (etwa auf MS Excel Basis). Ebenfalls wird möglicherweise noch ein eher pragmatisch und einfach gestalteter Ausfüllhinweis erarbeitet. Bei beiden Dokumenten würde es sich nach dieser Nomenklatur um ein Level 4 Dokument handeln.

II. Datenschutzmanagement

Конец ознакомительного фрагмента.

Текст предоставлен ООО «ЛитРес».

Прочитайте эту книгу целиком, купив полную легальную версию на ЛитРес.

Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal, WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам способом.

Купить и скачать всю книгу