Nachdem in der vergangenen Woche der Datenschutz retroperspektivisch betrachtet wurde, nimmt Patrizio Ziino im Interview Stellung zu relevanten Aspekten des Datenschutzes im Kontext der DSGVO und beantwortet unter anderem die Frage, ob die Einführung der DSGVO in 2018 ein Umdenken bewirkt hat.
Frage: Im Prinzip lässt sich Datenschutz mittlerweile nicht mehr getrennt von der Datensicherheit betrachten, oder?
PZ: Nein – definitiv nicht. Natürlich ist der Grundgedanke beim Datenschutz vorrangig die Grundrechte des Einzelnen vor der unberechtigten Weitergabe und Verwendung seiner personenbezogenen Daten zu schützen. Um dafür ein angemessenes Schutzniveau gewährleisten zu können wurde primär in Artikel 32 DSGVO die Grundlage des technischen Datenschutzes festgelegt – hier ist im Wesentlichen definiert, dass ein Verantwortlicher oder Auftragsverarbeiter alle zu diesem Zwecke notwendigen Maßnahmen umsetzen muss und welche Kriterien hierfür maßgeblich sind.
Mithilfe der Datensicherheit sollen vorhandene Risiken, die durch Bedrohungen auf IT-Systeme und deren Daten wirken, auf ein angemessenes Maß reduziert werden. Daher befasst sich die Datensicherheit mit Sicherheitsmaßnahmen, die Daten auf IT-Systemen vor dem Verlust von Vertraulichkeit, Authentizität, Integrität, Verbindlichkeit, Verfügbarkeit sowie Anonymisierung/ Pseudonymisierung schützt und beinhaltet zusätzlich auch die Aspekte der Softwaresicherheit sowie der Zuverlässigkeit von IT-Systemen. Deshalb sprechen wir oft von Datenschutz durch Datensicherheit, weil mithilfe von Verschlüsselung und starker Authentifikation die personenbezogenen und -beziehbare Daten geschützt werden.
Allerdings lässt sich der Begriff Datensicherheit unabhängig von dem Datenschutz betrachten, denn in diesem Kontext spielt es keine Rolle, ob bei den Daten ein Personenbezug besteht oder nicht. Beispielsweise unterliegen Material- und Fertigungspläne strenger Vorgaben bezüglich der Datensicherheit, obwohl sie keinesfalls unter den Datenschutz fallen.
Frage: Wie lässt sich der Datenschutz im Kontext der IT einordnen?
PZ: Der Zusammenhang ist offensichtlich. In der heutigen Zeit kann der Datenschutz zu 90 Prozent mit den IT-Systemen in Zusammenhang gebracht werden, weil dort die persönlichen Daten von Personen verarbeitet, gespeichert und übertragen werden. Somit lässt sich die IT als ein essenzieller Ort bezeichnen, an dem Datenschutz umgesetzt werden muss.
Frage: Was bedeutet der Datenschutz einerseits für die Gesellschaft und andererseits für die Unternehmen?
PZ: Mit der DSGVO haben wir eine – an ethischen Prinzipien orientierte – Basis geschaffen, die den Weg weist, wie in der digitalen Zukunft mit unseren persönlichen Daten umgegangen werden muss.
Dies wird unter anderem dadurch sichergestellt, dass in der DSGVO sechs Grundsätze für die Verarbeitung personenbezogener Daten festgelegt werden:
- Rechtmäßigkeit: Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindung: Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke
- Datenminimierung: „Dem Zweck angemessen und erheblich sowie auf das notwendige Maß beschränkt“
- Richtigkeit: „Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten unverzüglich gelöscht oder berichtigt werden, wenn sie nicht richtig sind“
- Speicherbegrenzung: Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es erforderlich ist“
- Integrität und Vertraulichkeit: „angemessene Sicherheit der personenbezogenen Daten, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“.
Für unsere Gesellschaft ist die Einhaltung des europäischen Wertekanons – in dem zum Beispiel die informationelle Selbstbestimmung ein hohes Gut darstellt – ein relevanter Aspekt, nicht zuletzt auch um das Vertrauen in IT-Lösungen und allgemein in die Digitalisierung auf- und auszubauen. Das mag vielleicht einer der Gründe dafür sein, warum die DSGVO auch weltweit eine so hohe Anerkennung erfährt und sogar von einigen amerikanischen Bundesstaaten, wie beispielsweise Kalifornien (Silicon Valley) übernommen wurde.
Dieser vertrauensbildende Aspekt sollte in der Zukunft insbesondere für die Unternehmen deutlicher herausgestellt werden, wenn das Thema Datenschutz – auch in der Öffentlichkeit – mal wieder heiß diskutiert wird. Denn gerade von Unternehmern wird Datenschutz noch zu häufig als Hemmnis bei der Entwicklung innovativer IT-Lösungen gesehen, obwohl dem gar nicht so ist – im Prinzip muss kein Vorhaben am Datenschutz scheitern, es bedarf nur einer geeigneten Umsetzung, um diese sensiblen Daten vor missbräuchlicher Nutzung zu schützen.
Im Endeffekt kann Datenschutz – gerade weil Kunden wissen, dass dies der einzige Weg ist, um die Kontrolle über die eigenen Daten zu bewahren – also ein wichtiges Verkaufsargument sein.
Frage: Hat die Einführung der DSGVO in 2018 in dem Sinne (noch) kein Umdenken bewirkt?
PZ: Das lässt sich so pauschal nicht beantworten. Natürlich kamen mit der Einführung der DSGVO die Unternehmen nicht umhin sich mit dem Datenschutz zu beschäftigen – mit positiven Auswirkungen für die Kunden, da diese massiv in ihren Rechten gestärkt wurden und dem Datenschutz seitdem insgesamt ein höherer Stellenwert beigemessen wird. Vorher waren ja lediglich Konzerne und Unternehmen ab einer gewissen Größe dazu verpflichtet.
Wir als Unternehmen haben mit der Einführung der DSGVO eine erhöhte Anzahl an Anfragen diesbezüglich vermerken können. Plötzlich stand bei einigen unserer Kunden das Thema auf der Agenda, bei denen die Umsetzung bis dato eher schleppend angegangen worden war.
Frage: Was steht bei HEGO im Kontext des Datenschutzes im Vordergrund – die Beratung bezüglich rechtlicher Aspekte oder technischer Datenschutz?
PZ: Der Fokus liegt bei uns eher auf dem technischen Datenschutz. Bei expliziten rechtlichen Fragen ziehen wir einen Rechtsanwalt hinzu, der das notwendige Fachwissen einbringt. Der technische Datenschutz ist aus unserer Sicht jedoch ein sehr umfangreiches Thema, bei dem die Anforderungen exakt zu erfüllen sind: etwa beim Erfassen von Mitarbeiterdaten oder bei der Weitergabe von personenbezogenen Daten bis hin zu der technischen Umsetzung von Cookie-Richtlinien und Betroffenen-Rechten.
Das Vorgehen ist hierbei angelehnt an unseren Beratungsprozess. Jeder Prozess beginnt mit der Festlegung der Zielsetzung sowie einer anschließenden Analyse – dies bieten wir als Paket in dem „Datenschutz-Initial-Workshop“ an. In diesem Rahmen wird die Ist-Situation des Datenschutzes im Unternehmen analysiert und festgehalten. Ausgehend davon leiten sich die notwendigen Maßnahmen ab, die sowohl technischer, organisatorischer oder rechtlicher Art sein können. Mit unserer Bestellung als externer Datenschutzbeauftragter werden alle bestehenden Missstände sukzessive behoben und mit regelmäßigen Audits die kontinuierliche Aktualität überprüft, gewährleistet und gegebenenfalls weiter angepasst.
