DSGVO im Service-Design (Teil1 – Grundprinzipien)
Die DSGVO hat den Datenschutz in den Fokus der Unternehmen gebracht. Datenschutz ist kein Projekt. Wenn Du die 7 Grundprinzipien der DSGVO bereits im Service-Design beachtest, tut sich Dein Unternehmen mit dem Datenschutz viel, viel leichter!
Was ist in den letzten zehn Monaten in Bezug auf die DSGVO bei Dir im Unternehmen passiert? Im Mai wird es ein Jahr, dass die Übergangsfrist endete und es wirklich, wirklich ernst wurde mit dem Datenschutz auf europäischer Ebene.
Du hast sicher mitbekommen, dass verschiedene Datenpannen gemeldet wurden und es dafür auch Bußgelder gab. Die deutschen Datenschutzbehörden haben angefangen, Unternehmen zu prüfen. Dazu haben sie stichprobenartig Fragebögen versendet. Die Aufsichtsbehörden sehen sich so vielen Anfragen ausgesetzt, dass sie wohl bald damit beginnen werden, die Fragen nicht mehr zu beantworten, sondern sich eher auf Prüfung und Verfolgung von Datenschutzvorfällen konzentrieren.
DSGVO ein Projekt?
Was denkst Du, sind Dein Unternehmen und Du mit dem Thema durch?
Magst Du eine ehrliche Antwort?
Du wirst nie mit dem Thema Datenschutz durch sein. Der Datenschutz ist eine dauerhafte Aufgabe, die Du sowohl im Betrieb, bei Änderungen an bestehenden und vor allem beim Design neuer Services im Blick haben darfst.
Ich möchte heute mit Dir vor allem über den letzten Punkt sprechen: dem Design neuer Services. Auch der Datenschutz ist so eine Sache, wenn man sie von Anfang an im Blick hat, ist es gar nicht so schlimm.
Die DSGVO macht keinen Unterschied ob der Betroffene ein Mitarbeiter, Kunde, Dienstleister oder sonstiger Dritter ist. Für alle gelten dieselben Anforderungen und Rechte. Daher brauchst Du gar nicht zu unterschieden, an wen sich ein neuer Service richtet – Du brauchst einfach nur über Datenschutz nachzudenken.
Im Artikel 5 der DSGVO findest Du 7 Grundsätze, die Du Dir aneignen darfst – sprich, die darfst Du auf jeden Fall bei allen neuen Services beachten.
Rechtmäßigkeit, Treu und Glaube, Transparenz
Das erste Prinzip lautet „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“. Rechtmäßig ist eine Verarbeitung dann, wenn die Einwilligung zur Speicherung und Verarbeitung freiwillig erfolgt. Diese Einwilligung muss spezifisch und eindeutig sein. Der Betroffene muss entsprechend vor der Einwilligung informiert worden sein.
Das ist in erster Linie ein organisatorischer Punkt. Du kennst das von vielen Webseiten, auf denen Du jetzt immer der Datenschutzerklärung zustimmen darfst. Es gibt in der DSGVO eine ganze Reihe von Rechtsgrundlagen, die eine Verarbeitung auch ohne diese Zustimmung ermöglichen. Was im Fall eines konkreten Services zutrifft und möglich ist, dürfen sicher die Anwälte klären.
In Vorbereitung dieses Podcasts habe ich gelernt, dass die Formulierung „in Treu und Glaube“ ein feststehender Rechtsbegriff ist. Er bezeichnet das Verhalten eines anständigen und redlich handelnden Menschen. Der Begriff ist nicht weiter definiert.
Für die Verarbeitung von Daten bedeutet das, dass Betroffene davon ausgehen dürfen, dass sich die verarbeitende Stelle an die geltende Gesetze hält und es keine Fußangeln oder böse Absichten gibt.
Transparenz bedeutet, dass alle Informationen und Mitteilungen zur Verarbeitung von Daten leicht zugänglich, verständlich sowie in klarer und einfacher Sprache abgefasst sind.
Zweckbindung
Das zweite Prinzip ist die Zweckbindung. Das erklärt sich fast aus dem Wort selbst: Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
Erfasst Du beispielsweise die Daten der Mitarbeiter Deines Unternehmens für die Personalverwaltung und –abrechnung, so darfst Du die Stamm- und Lohndaten von entlassenen Mitarbeitern nicht an andere Unternehmen weitergeben, um diese vor den Menschen zu warnen.
Datenminimierung
Das dritte Prinzip ist die Datenminimierung: Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Angemessen und erheblich ist die Speicherung und Verarbeitung, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann.
Dieses Prinzip setzt der Datensammelwut ganz bewusst Grenzen. Eine Datenerfassung auf Vorrat – wer weiß was wir damit in Zukunft mal erreichen können – soll damit verhindert werden.
Ein vielleicht abstruses Beispiel, um das zu verdeutlichen. Um die Arbeitszeit der Mitarbeiter zu erfassen, könnte man die Bewegungsdaten auf Basis der RFID-Karte für die Kantine oder des Handys in den Unternehmensräumen erfassen und auswerten. Um den Zweck der Verarbeitung zu erreichen, sind die Bewegungsdaten nicht notwendig. Dazu brauche ich nur die Ankunfts-, Pausen- und Abfahrtszeiten der Mitarbeiter. Diese kann ich durch ein klassisches Zeiterfassungsterminal oder einen Anruf bei einem Automaten genauso erfassen.
Letzteres würde dem Prinzip der Datenminimierung und der Zweckbindung entsprechen. Die erste Variante nicht – dort besteht die Gefahr selbst das erste Prinzip zu verletzen.
Auf die Einhaltung der Zweckbindung und Datenminimierung darfst Du ganz am Anfang des Service-Designs hinweisen und hinwirken. Bei der Anforderungsaufnahme erfasst Du die Wünsche der Stakeholder und darfst immer hinterfragen, ob die Daten notwendig sind oder ob sie auf anderem Wege erfasst werden können.
Hier braucht es den Schulterschluss mit dem Datenschutzbeauftragten oder der Rechtsabteilung. Es ist immer eine Abwägung zwischen dem was die Stakeholder erreichen wollen, dem was zulässig ist und welches unternehmerische Risiko in einer eventuellen Abweichung steckt.
Es wird sicher zu heftigen Diskussion kommen, wenn Du die Themen aufwirfst. Sei Dir bitte bewusst, Du bist nur der Bote. Ich glaube, dass Unternehmen, die offensiv den Datenschutz einhalten und damit auch werben, langfristig einen Vorteil haben werden.
Richtigkeit
Das vierte Prinzip lautet „Richtigkeit“: Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neusten Stand sein. Des Weiteren sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
Hier steckt vor allem die Frage drin, wie bekommt man mit, dass Daten falsch sind. Zusätzlich die Frage, ob das für den Zweck der Verarbeitung überhaupt relevant ist. Auch das ist ein Punkt, der bei der Anforderungsaufnahme geklärt werden darf. Wenn es für den Service notwendig ist, dass die Richtigkeit der Daten gewährleistet wird, dann darfst Du Dir zusammen mit den Fachbereichen einen Weg überlegen, wie das funktionieren kann.
Speicherbegrenzung
Prinzip fünf ist die „Speicherbrenzung“: Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
Nehmen wir hier als Beispiel Dein internes ITSM-System. Ein Nutzer eröffnet ein Ticket. Die Frage ist nun, wie lange muss der Personendatensatz mit dem Ticketdatensatz verbunden sein? Sprich, wie lange musst Du wissen, wer das Ticket aufgemacht hat. Gleiches gilt für die Kollegen, die das Ticket bearbeitet haben.
Folgen wir dem Grundsatz, kannst Du nach Abschluss des Tickets auf jeden Fall den Namen und die Kontaktdaten des Melders anonymisieren. Brauchst Du die Abteilungszugehörigkeit vlt. noch für Auswertungen oder Abrechnung? Oder kannst Du durch eine andere Maßnahme die Speicherdauer dieser Informationen verkürzen?
Nächste Frage: Wie lange ist es relevant zu wissen, welche Kollegen das Ticket bearbeitet haben? Gibt es einen sinnvollen Zweck (siehe Prinzip 1) der das rechtfertigt?
In gleichem Duktus darfst Du das für jeden Service klären, der personenbezogene Daten verarbeitet.
Dazu gibt es zwei Ausnahmen zu diesem Prinzip, auf die ich hier nicht näher eingehen möchte. Nur so viel: Sie betreffen öffentliche Archivierungszwecke sowie historische Forschungszwecke oder statistische Zwecke gemäß Artikel 89.
Integrität und Vertraulichkeit
Prinzip sechs betrifft „Integrität und Vertraulichkeit“: Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dies umfasst den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.
Hier dürfen sich die technischen Kollegen unter uns austoben. Es geht klassisch um die Sicherheit der gespeicherten Daten. Damit insbesondere um die in Artikel 32 konkretisierten technischen und organisatorischen Maßnahmen. Ich denke damit hast Du in den letzten Monaten genügend Erfahrungen gesammelt.
Rechenschaftspflicht
Das siebente Prinzip ist die „Rechenschaftspflicht“: Der Verantwortliche ist für die Einhaltung der sechs vorgenannten Prinzipien aus Artikel 5 verantwortlich und muss deren Einhaltung nachweisen können.
Der Verantwortliche ist immer dort zu finden, wo die Daten verarbeitet werden. Auch wenn die Verarbeitung durch einen Dienstleister stattfindet, bleibt Dein Unternehmen gegenüber den Betroffenen verantwortlich.
Es gilt hier Artikel 82 Abschnitt zwei. In dem steht: Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.
Die Haftung für Datenschutzvergehen geht bis zur persönlichen Haftung des oder der Geschäftsführer. Hat dieser grob fahrlässig gehandelt oder rechtswidrige Anweisungen gegeben, ist er gegenüber der Gesellschaft haftbar. Gleiches gilt für andere Führungskräfte im Unternehmen – inklusive des CIO oder IT-Leiters.
Das erklärt auch, warum letztes Jahr plötzlich Geld für DSGVO-Projekte da war. Genau hier siehe ich das Problem – die Einhaltung der DSGVO wird meist nur als Projekt gesehen. Wie Du weißt, hat so ein Projekt einen Anfang, ein Ende und ist einmalig. Genau das ist Datenschutz eben nicht. Es ist eine kontinuierliche Aufgabe eines jeden Unternehmens.
Dabei haben wir bis jetzt erstmal über die Prinzipien gesprochen. Wir dürfen uns noch über die „Betroffenenrechte“ unterhalten und was das für Auswirkungen auf das Design Deiner Services hat. Da die Betroffenenrechte auch umfangreich sind, möchte ich für heute hier, zumindest mit der DSGVO an sich, Schluss machen.
Ich möchte gern noch den Gedanken aus dem Podcast „4 Chancen, die Dir die DSGVO bietet“ aufgreifen und bei Dir verfestigen:
Viel mehr als Datenschutz!
Damit Du effektiv den Prinzipien und Pflichten der DSGVO nachkommen kannst, brauchst Du die Transparenz, wie die Daten durch Dein Unternehmen fließen und wo sie gespeichert sind. Das heißt, Du brauchst die Abbildung welche Geschäftsprozesse durch welche Anwendungen abgedeckt werden und welche Daten die Geschäftsprozesse verarbeiten.
Da wir unseren Kunden nicht einzelne Anwendungen, sondern ganze Services zur Verfügung stellen, haben wir die Abbildung schon. Wir pflegen diese Daten in unserer CMDB. Dein Unternehmen kann darauf aufsetzen.
Es wird noch viel besser: Wir haben mit dem Change-Management auch einen Pflegeprozess dazu. Bei Änderungen wird der Datenbestand aktualisiert. Bei größeren Veränderungen ist eine Datenschutzfolgeabschätzung viel leichter möglich.
Die gleiche Argumentation trifft auf das Informationssicherheitsmanagement an sich zu. Datenschutz ist aus meiner Sicht nur ein Teil der Informationssicherheit. Die gleiche Argumentation trifft auf das Risikomanagement zu.
Ich möchte bei Dir dafür werben, dass es nur eine Datenbasis für alle drei Disziplinen gibt. Diese Datenbasis ist Deine CMDB. Die Daten und Zusammenhänge entstehen durch Service-Management mit den entsprechenden Praktiken für Service-Design und Change-Management.