„Bei der Dienstleisterauswahl legt der Einkauf oft noch nicht die Maßstäbe an, die die DSGVO aufruft.“
Ende Juni haben 50 Unternehmen in Niedersachen Post von der Landesbeauftragen für den Datenschutz erhalten. Es geht um einen Fragebogen zu zehn Bereichen des Datenschutzes. Hauptziel sei es, zu identifizieren, ob es bei den verantwortlichen Stellen noch Nachholbedarf gibt. Außerdem soll mit dieser Prüfung das Bewusstsein für Datenschutz im Allgemeinen und die Vorschriften der Datenschutzgrundverordnung im Speziellen gestärkt werden, heißt es in der Pressemitteilung. Wir sprachen mit Mario Arndt, Geschäftsführer von DEUDAT und externer Datenschutzbeauftragter von Futura Solutions über alte und neue Herausforderungen für Unternehmen und speziell für den Einkauf.
Was hat es mit dem Vorstoß der Aufsichtsbehörde in Niedersachen denn auf sich?
Mario Arndt: Eigentlich enthält der Frageboden nichts Neues, denn er beinhaltet nur Punkte, die ein Datenschutzmanagementsystem, kurz DSMS, nach der DSGVO aufweisen muss. Die Prüfung beschränkt sich also auf grundsätzliche Vorgaben, die jedes Unternehmen zumindest implementiert haben sollte, z. B. zu den Betroffenenrechten, Technischen und Organisatorischen Maßnahmen und datenschutzrechtliche Pflichtdokumentationen, wie das Verzeichnis von Verarbeitungstätigkeiten, Auftragsverarbeitungs-Verträge, Einwilligungen. Ziel ist nicht primär, Bußgelder zu verhängen, sondern zu sensibilisieren.
In welchem Punkt sehen Sie noch Aufklärungsbedarf in Unternehmen?
Mario Arndt: Viele der Maßnahmen galten auch schon vor der DSGVO. Entscheidend ist nun jedoch die Perspektive: Das Risiko bestimmt sich nämlich nicht wie bisher aus der Sicht des Auftraggebers und dessen IT-Sicherheit, sondern aus der der betroffenen natürlichen Personen. Die Datenschutz-Folgenabschätzung (DSFA), früher als Vorabkontrolle genannt, ist auch keine neue Forderung, die sich daraus ergibt. Gemäß diesem risikobewährten Ansatz ist der Schutzbedarf nun z. B. aus dem Verzeichnis der Verarbeitungstätigkeiten herauszulesen.
Wie wird sich das im Alltagsgeschäft für den Einkauf auswirken?
Mario Arndt: Der Einkauf trägt zukünftig eine höhere Verantwortung bei der Auswahl von Unternehmen, die mit der Verarbeitung von Kundendaten beauftragt werden. Aus den IT-Sicherheitsanforderungen resultieren aktive Prüf- und Kontrollpflichten für den Auftraggeber bei seinem Dienstleister. Denn: Der Verantwortliche, das ist der Auftraggeber, und der Auftragsverarbeiter sind gegenüber dem Betroffenen gemeinsam haftbar. Und: Unternehmen, also Auftraggeber und Auftragsverarbeiter, müssen zudem künftig jederzeit belegen können, dass sie die DSGVO eingehalten haben. Der Dienstleister ist nun stärker in die Haftung über die Verarbeitung nach Treu und Glauben genommen und unterliegt der Rechenschaftspflicht. Früher musste beispielsweise das Verfahrensverzeichnis komplett vom Auftraggeber geführt werden, jetzt muss der Auftragsverarbeiter seinen Teil der Verarbeitung für das Verzeichnis von Verarbeitungstätigkeiten dokumentiert haben.
Was bedeutet das denn für die Dienstleister?
Mario Arndt: Das Verzeichnis der Verarbeitungstätigkeiten ist ja nur eines der Themen, mit denen sich ein Dienstleister auseinandersetzen muss. Es muss ihm bewusst sein, wo denn überhaupt seine Kundendaten sind und welche Wertigkeit diese für den Kunden und auch für ihn als Dienstleister haben. Wie hoch ist das Risiko und welche Maßnahmen werden auf Basis dieser Klassifizierungen getroffen? Wie gehe ich damit weiter um und überführe sie in das Verzeichnis der Verarbeitungstätigkeiten? Das erfordert eine tiefgehende Analyse, die ins Eingemachte geht. Voraussetzung dafür ist, die Prozessabläufe im Unternehmen transparent aufzunehmen und zu dokumentieren. Es muss ja zunächst klar sein, wie gearbeitet wird und welche verschiedenen Daten und Datenarten bei den verschiedenen Prozessabläufen überhaupt verwendet werden. Das ist eine große Herausforderung in Unternehmen allgemein. Viele wissen aufgrund komplexer Systemlandschaften gar nicht mehr, wo welche Daten liegen und verarbeitet werden.
An welcher Stelle werden Unternehmen besonders kalt erwischt?
Mario Arndt: Aus unserer Beratungspraxis würde ich hier die Umsetzung der Betroffenenrechte in Form von Löschkonzepten nennen, und zwar Löschkonzepte bis auf Datenfeldebene. Hierin tun sich viele Unternehmen schwer. Es ist eben nicht in erster Linie eine technologische Frage. Das zeigt eben auch, dass es nicht mehr ausreicht, seine Dienstleister nur zu fragen, wie es denn jetzt mit Art. 28 DSGVO aussieht. Eine pauschale Antwort, dass ein DSMS, also ein Datenschutzmanagementsystem implementiert ist, hat an sich keine Aussagekraft. Einkäufer müssen Dienstleister dezidiert nach einer Klassifizierung seiner Daten befragen und im Prinzip auditieren.
Was beinhaltet die Risikobetrachtung für den Einkäufer?
Mario Arndt: Wenn der Einkauf den Auftrag hat, Dienstleistungen nach außen zu vergeben und damit personenbezogene Daten verbunden sind, dann muss er zuerst eine Risikoanalyse durchführen. Und die personenbezogenen Daten, die dort gehandelt werden, klassifizieren – ein nicht zu unterschätzender Dokumentationsaufwand in diesem Prozessschritt. Nur nachfolgend irgendwann die Risikobetrachtung durchführen, ist zu dünn, denn das kann dazu führen, dass gegebenenfalls keine ausreichende Maßnahmen zum Schutz der personenbezogenen Daten ergriffen werden. Die Risiken liegen dabei nicht nur im finanziellen Bereich, Stichwort Bußgeld, sondern auch in einem Imageverlust. Gerade gut zu verfolgen an den Spots von Facebook, mit denen das Unternehmen wieder um Vertrauen wirbt.
Wie unterstützt eine ISO 27001 Zertifizierung diesen Prozess?
Mario Arndt: Um es auf den Punkt zu bringen: Ich kann nur ein Management implementieren, wenn ich weiß, was ich zu managen habe. Wer z. B. im Rahmen der ISO 27001 bereits ein Managementsystem für Informationssicherheit (ISMS) etabliert hat, für den ist die Beschäftigung damit nichts Neues. Denn auch dort geht es darum, genau zu analysieren, welche Daten vorhanden sind und welchen Schutzbedarf sie innerhalb des Zertifizierung-Scopes haben. Da steckt viel Zeit drin und ist ja auch ein Kapital fürs Unternehmen.
Das Managementsystem und die Ansätze von IT-Sicherheit und Datenschutz sind die gleichen. Ich mache eine Bewertung meiner Risiken, ich ergreife Maßnahmen, ich kontrolliere deren Wirksamkeit und korrigiere wenn nötig – ein ständiger Kreislauf. Das kann ich genauso im Datenschutz anwenden, damit ich ein wirksames Datenschutzmanagement habe.
Wie wichtig ist denn nun der Standort eines Cloud-Dienstleisters?
Mario Arndt: Formaljuristisch ist es egal, ob der Standort in Deutschland oder in Europa ist. Für den Standort Deutschland spricht natürlich, dass wir uns schon gut mit dem Datenschutzrecht auskennen, weil die DSGVO nah an dem bisherigen Bundesdatenschutzgesetz, kurz BDSG, dran ist. Und das kann man mit einem gewissen Qualitätsvorsprung verbinden. Aber entscheidender ist der Blick auf die Gesellschafterverhältnisse und die Frage, ob ein Drittland eingebunden ist.
Wieso spielt die Drittlandbetrachtung bei Cloud-Dienstleistern eine Rolle?
Mario Arndt: Ein Beispiel: Wenn eine deutsche GmbH z. B. zu 100 Prozent einer US-amerikanischen Mutter gehört oder börsennotiert auf dem US-Markt agiert, dann greift das erst im März verabschiedete „Cloud Act“-Gesetz. Dieses Gesetz erlaubt es US-Behörden, Zugriff auf personenbezogene Daten von (US-)Unternehmen zu erhalten, die nicht in der USA gespeichert werden. Das ist nicht zu unterschätzen.
Prinzipiell lässt die DSGVO eine Verarbeitung ja außerhalb von Europa zu, erfordert jedoch einen Nachweis, dass der Partner z. B. in den USA sich an den europäischen Datenschutzstandard hält. Dazu dienen die EU-Standardvertragsklauseln (in Englisch als EU standard contractual clauses genannt). Aber allen sollte an dieser Stelle bewusst sein, dass eine Ratifizierung der EU-Standardvertragsklauseln durch z. B. einen Dienstleister in den USA keine wirkliche Sicherheit darstellt.
Welche Entwicklung beobachten Sie gerade mit besonderem Interesse?
Mario Arndt: Von den Horrorszenarien, die vor dem Strichtag ausgemalt worden sind, ist außer einigen Abmahnungen, die ruhig gestellt worden sind, nichts eingetreten. Vieles war Panikmache. Worauf es jetzt ankommt, ist wie Aufsichtsbehörden agieren. Es gibt diverse Gremien z. B. die Konferenz der Aufsichtsbehörden, die gemeinsam Entscheidungen herbeiführen und Empfehlungen aussprechen, aber davon abgesehen darf jede Aufsichtsbehörde von sich aus aktiv werden. Nach Niedersachsen wollen auch Bayern und Hessen den Prüffragebogen nachziehen. Da wird es nun spannend, wohin die Reise gehen wird. Welche Maßnahmen werden sie ergreifen? Wie wird die Prüfpraxis aussehen und welche Erwartungen stellen sie an die Unternehmen? Und auf dieser Basis: Wie werden sich die Bußgelder entwickeln?
Welche Herausforderungen sehen Sie bei den Unternehmen, die mit Dienstleistern zusammenarbeiten?
Mario Arndt: Auch heute noch legen viele Unternehmen, und da haben die Einkäufer stets eine exponierte Position, bei der Auswahl oder Auditierung ihrer Dienstleister nicht die Maßstäbe an, die die DSGVO aufruft. Im Grunde wäre es wünschenswert, dass alle IT-Einkäufer, die Aufträge an Dienstleister vergeben, von dem eigenen Datenschutzbeauftragten geschult und sensibilisiert werden, um die erforderlichen Anforderungen an den Dienstleister beispielsweise in der Rolle eines Auftragsverarbeiters sicherzustellen. Der Dokumentationsaufwand durch die DSGVO ist hoch und als IT-Einkäufer sollte man die Erfordernisse kennen.
Herr Arndt, vielen Dank für das Interview.
Über die DEUDAT GmbH:
Das inhabergeführte Unternehmen mit Hauptsitz in Wiesbaden und Niederlassungen in Berlin und Braubach am Rhein bietet international Dienstleistungen in den Bereichen Datenschutz und Informationssicherheit an. Das Expertenteam besteht aus Beratern für Datenschutz, Informationssicherheit, Organisations- und Qualitätsmanagement und erfahrenen Rechtsanwälten. www.deudat.de
