Der Schutz von Nutzerdaten ist nicht nur ein Element guter Datenverwaltung, sondern nach der Datenschutz-Grundverordnung auch eine rechtliche Verpflichtung. Datenschutzverstöße können Unternehmen eine Geldstrafe kosten und ihren Ruf schädigen, daher ist eine sichere und vertrauliche Datenverarbeitung für Unternehmen von entscheidender Bedeutung.
Natürlich gibt es keine allgemeingültige Lösung zur Gewährleistung der Datensicherheit, da sich die Verarbeitungsvorgänge von Unternehmen zu Unternehmen stark unterscheiden. Einige grundlegende Richtlinien gelten jedoch für alle Szenarien. Wir werden technische Sicherheitsmaßnahmen als selbstverständlich voraussetzen (hoffentlich verwenden Sie sichere Authentifizierungsmechanismen, verschlüsseln Daten usw.) und uns darauf konzentrieren, was aus Sicht der Data Governance getan werden kann.
- Kennen Sie Ihre Datenflüsse
- Kennen Sie Ihre Prozessoren
- Verabschieden Sie eine verantwortungsvolle Zugangspolitik
- Seien Sie vorsichtig bei Datenübertragungen
- Schulen Sie Ihr Personal
- Menschliche Fehler einkalkulieren
- Verabschiedung einer vernünftigen DSAR-Überprüfungsrichtlinie
- Erstellen Sie eine Notfallwiederherstellungsrichtlinie für Ihre Daten
- Weniger Daten verarbeiten
- Abschließende Überlegungen
Tauchen wir ein
Kennen Sie Ihre Datenflüsse
Der Ausgangspunkt für den Schutz von Benutzerdaten ist eine gute Data Governance, die voraussetzt, dass Sie wissen, was Sie mit den Daten tun. Dieser Punkt mag trivial erscheinen, ist es aber nicht. Datenflüsse sind oft komplexer, als es auf den ersten Blick scheint: Man konzentriert sich leicht nur auf die Daten, die einem wichtig sind, und übersieht andere Datenkategorien, die zusammen mit den "Hauptdaten" verarbeitet werden.
Nehmen wir zum Beispiel an, die Rechtsabteilung eines Unternehmens speichert Kopien der physischen Verträge mit den Kunden in ihrem Ablagesystem. Dieser Vorgang ist komplexer als es scheint. Es werden Zugriffsberechtigungen für das Ablagesystem benötigt, und ein Systemadministrator muss die Zugriffsberechtigungen verwalten. Außerdem möchte das Unternehmen den Zugriff auf die Daten überwachen, was bedeutet, dass das Ablagesystem Metadaten für jeden Benutzer erstellen und speichern sollte. Wenn man sich zu sehr auf die Lebensläufe konzentriert, verliert man leicht den Blick für das große Ganze.
Im wirklichen Leben sind die Dinge wahrscheinlich komplizierter: Andere Mitarbeiter könnten unterschiedliche Zugriffsrechte haben, das IT-Personal könnte Zugang zum System benötigen, um seine Arbeit zu erledigen, Drittverarbeiter könnten involviert sein, und so weiter. Die Berücksichtigung all dieser Variablen ist nicht einfach, insbesondere wenn es um komplexe Datenarchitekturen geht.
Die Kartierung von Datenflüssen hat viele Vorteile. Eine genaue und umfassende Karte:
- hebt Probleme mit Zugang und Sicherheit hervor, die Sie angehen können
- zeigt Möglichkeiten auf, wie Sie Ihre Datenarchitektur effizienter gestalten können
- hilft bei der Implementierung neuer Datenflüsse in einer kohärenten Weise innerhalb der bestehenden Architektur
- hilft sicherzustellen, dass Ihre Zugriffsrichtlinien die Art und Weise widerspiegeln, wie die Daten tatsächlich verarbeitet werden
- erleichtert die Aufzeichnung Ihrer Verarbeitungstätigkeiten (eine Anforderung für einige Unternehmen gemäß der Datenschutz-Grundverordnung1)
- hilft Ihnen bei der Erfüllung von Auskunfts- und Löschungsanträgen, da Sie wissen, welche Daten Sie kontrollieren und wo sie in Ihren Systemen zu finden sind.
Die Abbildung von Datenflüssen kann für große Unternehmen, in denen verschiedene Teams Daten verarbeiten, kompliziert sein. Weitere Kategorien personenbezogener Daten sind Kundendaten, Webanalysedaten, Mitarbeiterdaten, Zahlungsinformationen usw. Außerdem wird die Datenarchitektur eines Unternehmens im Laufe der Zeit immer komplexer, so dass es umso schwieriger wird, je später man sie abbildet. Idealerweise sollten die Karten von Anfang an erstellt und regelmäßig aktualisiert werden.
Der Fall von Meta ist recht lehrreich. Ein Rechtsstreit gegen das Unternehmen ergab, dass niemand bei Meta genau weiß, wie die Daten verarbeitet werden. Facebook gibt es seit fast zwei Jahrzehnten, aber Meta hat erst im letzten Jahr versucht (und ist gescheitert), seine Datenströme nach einer gerichtlichen Anordnung zu kartieren. Die Datenarchitektur von Meta ist so wahnsinnig komplex, dass es praktisch unmöglich ist, sie von Grund auf neu abzubilden.
Kennen Sie Ihre Prozessoren
Viele Unternehmen verlassen sich bei der Verarbeitung von Daten auf die eine oder andere Weise auf einen Dritten, sei es ein Cloud-Speicher, ein Platform-as-a-Service, ein E-Mail-Dienstleister oder ein mit der IT-Wartung betrauter Auftragnehmer.
Nach der DSGVO sind diese Parteien Datenverarbeiter und müssen mit Ihnen eine Datenverarbeitungsvereinbarung (DPA) unterzeichnen. Denken Sie daran, dass Sie für Schäden, die Ihr Auftragsverarbeiter durch Verstöße gegen die DSGVO2 verursacht, zur Rechenschaft gezogen werden können - auch für Verstöße, die er erleidet!
Stellen Sie sicher, dass Sie sich nur auf vertrauenswürdige Auftragsverarbeiter verlassen, die über eine gute Datenverwaltung und strenge Offenlegungsrichtlinien verfügen. Das Gleiche gilt für alle beteiligten Unterauftragsverarbeiter (d. h. alle Verarbeiter, die für Ihren Auftragsverarbeiter arbeiten). Wenn möglich, sollten Sie bestimmte Datenkategorien (z. B. Geschäftsgeheimnisse und sensible personenbezogene Daten wie medizinische Informationen) lieber intern verarbeiten.
Verabschieden Sie eine verantwortungsvolle Zugangspolitik
Als Faustregel gilt: Je mehr Personen Zugang zu den Daten haben, desto mehr Dinge können möglicherweise schief gehen. Eine rollenbasierte Zugriffskontrolle stellt sicher, dass nur die Mitarbeiter auf die Daten zugreifen können, die sie tatsächlich benötigen. Dies ist besonders wichtig für große Unternehmen mit einer komplexen Struktur: Die Personalabteilung benötigt Daten über den Krankenstand der Mitarbeiter, die Geschäftsleitung und das Marketing hingegen nicht.
Seien Sie vorsichtig bei Datenübertragungen
Nach der Datenschutz-Grundverordnung können Sie Ihre Daten in Länder außerhalb der EU/des EWR übertragen. Einige Übermittlungen sind jedoch komplizierter als andere. Übermittlungen in Länder, die unter einen Angemessenheitsbeschluss fallen, sind unkompliziert und verursachen keinen Aufwand für die Einhaltung der Vorschriften - allerdings müssen Sie trotzdem sicherstellen, dass ein zuverlässiger Auftragsverarbeiter die Daten erhält.
Schwieriger wird es, wenn Sie sich nicht auf einen Angemessenheitsbeschluss verlassen können. Wir werden hier nicht im Detail auf Datenübertragungen eingehen, aber kurz gesagt, sind Übertragungen außerhalb der EU/des EWR mit einem gewissen Befolgungsaufwand verbunden (z. B. Standardvertragsklauseln). Es ist Ihre Pflicht als für die Datenverarbeitung Verantwortlicher, dafür zu sorgen, dass der von Ihnen verwendete Übermittlungsmechanismus in der Praxis einen ausreichenden Schutz bietet. Dies kann in Ländern problematisch sein, die eine umfassende Überwachung zulassen, wie z. B. die USA. Dies ist der Kernpunkt der Probleme, die Google Analytics derzeit mit Datenübertragungen und der Datenschutz-Grundverordnung hat.
Wenn Sie neugierig sind, können Sie unseren Blog lesen, um mehr über die Google Analytics-Saga und Datenübertragungen im Allgemeinen zu erfahren.
Schulen Sie Ihr Personal
Während einige Datenlecks die Folge ausgeklügelter Hackerangriffe sind, werden viele durch Phishing verübt, und wieder andere sind das Ergebnis menschlicher Fehler. Investitionen in die technische Sicherheit sind eine Selbstverständlichkeit, um Daten zu schützen, aber die Schulung der Mitarbeiter ist ebenso wichtig. Sie müssen nicht jeden Mitarbeiter zu einem Anwalt für Datenschutz machen, aber die Mitarbeiter, die mit personenbezogenen Daten umgehen, sollten wissen, wann sie sie weitergeben sollten und wann nicht. Und vor allem sollten sie in der Lage sein, einen qualifizierten Mitarbeiter zu fragen, wenn sie unsicher sind, was zu tun ist.
Menschliche Fehler einkalkulieren
Menschen machen Fehler. Sie sollten dies berücksichtigen und die Datenverarbeitung so einrichten, dass das Risiko menschlicher Fehler minimiert wird. Fragen Sie sich: Welche Fehler können in meinem Unternehmen am ehesten passieren? Gibt es eine Möglichkeit, diese Fehler zu vermeiden?
Ein Beispiel: Ein italienisches Krankenhaus wurde kürzlich zu einer Geldstrafe verurteilt, weil es die E-Mail-Adressen von Hunderten von Neurologiepatienten weitergegeben hatte. Wie ist das passiert? Ein Mitarbeiter hatte bei der Weiterleitung eines Newsletters versehentlich die E-Mail-Adressen der Patienten in das CC-Feld statt in das BCC-Feld eingegeben (oops!). Ein solcher Fehler ist nicht unwahrscheinlich, wenn Mitarbeiter täglich Dutzende von E-Mails verschicken. Die Datenschutzverletzung hätte vermieden werden können, wenn der E-Mail-Client als Standardeinstellung BCC verwendet hätte und für die Verwendung von CC ein zusätzlicher Schritt (z. B. eine Bestätigung durch den Benutzer) erforderlich gewesen wäre.
Verabschiedung einer vernünftigen DSAR-Überprüfungsrichtlinie
Nach der Datenschutz-Grundverordnung kann eine betroffene Person von dem für die Verarbeitung Verantwortlichen bestimmte Informationen über die Verarbeitung ihrer Daten und eine Kopie der Daten selbst verlangen3. Diese Anträge werden in der Regel als Anträge auf Auskunft der betroffenen Person oder DSARs bezeichnet. Unzufriedene Antragsteller reichen manchmal eine Beschwerde bei einer Datenschutzbehörde ein, daher ist es wichtig, DSARs umgehend und angemessen zu bearbeiten.
Die Unternehmen müssen jedoch wissen, dass DSARs missbraucht werden können, um illegal auf die Daten anderer Personen zuzugreifen. Mit anderen Worten: Gefälschte DSARs sind ein Phishing-Instrument - und ein sehr effektives dazu! Wenn Sie auf eine gefälschte DSAR hereinfallen, erleiden Sie eine Datenschutzverletzung, weshalb Sie sicherstellen müssen, dass die Anfragen nicht von einem Betrüger stammen.
Gleichzeitig müssen die Unternehmen die Anfragen innerhalb einer bestimmten Frist bearbeiten4 und gleichzeitig die Ausübung der Rechte des Antragstellers erleichtern5. Es ist nicht einfach, all diese Verpflichtungen miteinander in Einklang zu bringen, und es gibt keine Einheitslösung, die allen gerecht wird. Jedes Unternehmen sollte je nach seiner spezifischen Situation und der Art der Daten, die es verarbeitet, einen geeigneten Mittelweg finden. Als Faustregel gilt jedoch, dass Sie sich für die am wenigsten belastende und invasive Überprüfung entscheiden sollten, die in Ihrem Fall zuverlässig genug ist6. Wenn Sie z. B. eine DSAR von jemandem erhalten, der behauptet, ein registrierter Nutzer Ihrer Website oder Ihres Unternehmens zu sein, können Sie ihn auffordern, die Anfrage von der E-Mail weiterzuleiten, mit der er sich registriert hat. Sie könnten auch eine Schaltfläche zur Weiterleitung einer DSAR in den persönlichen Bereich des Nutzers auf Ihrer Website einfügen (so funktioniert es beispielsweise bei Instagram). Idealerweise sollten Sie eine ID oder andere persönliche Informationen nur als letzten Ausweg verlangen.
Erstellen Sie eine Notfallwiederherstellungsrichtlinie für Ihre Daten
Bei Datenschutzverletzungen denkt man in der Regel an Datenlecks: Situationen, in denen personenbezogene Daten von einer unbefugten Partei eingesehen oder kopiert werden. Doch auch Datenverluste gelten als Datenschutzverletzungen im Sinne der Datenschutz-Grundverordnung7. Das bedeutet, dass jede Datensicherheitsrichtlinie einen Notfallplan für Ihre Daten enthalten sollte. Im Idealfall verfügt ein Unternehmen über ein Backup, sei es ein physisches Backup oder ein Cloud-basierter Notfallwiederherstellungsdienst.
Weniger Daten verarbeiten
Es versteht sich von selbst, dass je mehr Daten Sie verarbeiten, desto mehr Dinge potenziell schief gehen können. Neben den Kosten für den Betrieb und die Wartung Ihrer Datenverarbeitungssysteme verursacht die Verarbeitung von Daten auch Kosten im Hinblick auf die Einhaltung von Vorschriften und Risiken, und je komplizierter Ihre Verarbeitungsprozesse sind, desto höher sind diese Kosten. Sie sollten sich immer fragen: Brauche ich diese Daten wirklich, oder erhebe ich sie nur, weil alle in meiner Branche so verfahren?
Manchmal ist die Verwendung weniger Daten die beste Option. Es gibt viele Argumente für den Wert, den eine Mentalität der Datenminimierung für Ihr Unternehmen haben kann - und wir haben hier darüber geschrieben.
Natürlich sollte Ihr Unternehmen auch eine vernünftige Richtlinie zur Datenaufbewahrung einhalten und Daten löschen, die es nicht mehr benötigt. Dies ist sowohl eine gesetzliche Vorschrift im Rahmen der Datenschutz-Grundverordnung8 als auch eine solide Praxis für die Datensicherheit - Daten, die Sie nicht haben, sind Daten, die Sie nicht weitergeben können.
Abschließende Überlegungen
Eine gute Data Governance und ein Bewusstsein für den Datenschutz können für Ihr Unternehmen von großem Nutzen sein, und der Einsatz von datenschutzfreundlichen Tools ist ein guter Anfang. Dies ist auch eine der Säulen, auf denen Simple Analytics aufgebaut ist. Wir sind der Meinung, dass Sie Erkenntnisse über Ihre Website-Besucher sammeln können, ohne dass Sie persönliche Daten benötigen. Auf diese Weise erhalten Sie die benötigten Einblicke und sind gleichzeitig zu 100 % GDPR-konform. Wir glauben an ein unabhängiges Internet, das freundlich zu den Website-Besuchern ist. Wenn Sie sich davon angesprochen fühlen, probieren Sie uns doch einfach mal aus!
#1 Art. 30 GDPR; [^2]: Art. 82(2) GDPR. Der für die Verarbeitung Verantwortliche ist von der Haftung befreit, wenn er nicht für die Verursachung des Schadens verantwortlich war (Art. 82(3)), aber er trägt die Beweislast - was in der Praxis sehr riskant ist [^3]: Art. 15 GDPR; [^4]: Art. 12(3) GDPR. [^5]: Art. 12(2) GDPR. [^6]: Dies ist auch die Empfehlung des EDPB: siehe Leitlinien 01/2022 zu den Rechten der betroffenen Person - Recht auf Auskunft, Abs. 65. [^7]: Art. 4(12) GDPR. [^8]: Art. 5(1)(e) GDPR.