Die Verschränkung von Datenschutz und IT-Sicherheit ist für Roland Marko, Partner bei Wolf ­Theiss Rechtsanwälte, das große Thema. Der Experte mit Beratungsschwerpunkt IT-Recht spricht über ­sichere Geschäftskommunikation und Zertifizierungen.

(+) plus: Welcher Zusammenhang besteht zwischen Datenschutz und Informationssicherheit?

Roland Marko: Diese Verschränkung ist zum einen gesetzlich vorgegeben. Personenbezogene Daten sind eine Unterkategorie aller Informationen, die in Unternehmen verarbeitet werden. Die Datenschutz-Grundverordnung schreibt insofern auch technische und organisatorische Maßnahmen vor, um ein angemessenes Sicherheitsniveau für die Daten vorzukehren. Man spricht hier von der Trias »Confidentiality, Integrity und Availability«, also von Vertraulichkeit, Integrität und Verfügbarkeit. Dies sind die Eckpfeiler der Daten- und Informationssicherheit. Letztere schließt neben personenbezogenen Daten auch sonstige Unternehmensinformationen, wie insbesondere Geschäfts- und Betriebsgeheimnisse ein, die ebenfalls von einem hohen Wert für Unternehmen sein können.

Zum anderen sehen wir den Zusammenhang auch in den täglichen Abläufen und Systemen in Unternehmen: Von der Stechuhr der Mitarbeiter über diverse Monitoring-Maßnahmen für die IT-Sicherheit im Hintergrund, bis hin zur eigentlichen Personalverarbeitung – das alles ist mittlerweile stark datengetrieben. Und es wird weiter zunehmen, auch in Branchen, die bislang nicht klassisch digitalisiert waren. Der Datenhunger wächst etwa auch in der Bauwirtschaft, wenn zum Beispiel ein Generalunternehmen die Einhaltung rechtlicher Vorgaben durch die Subunternehmer auf der Baustelle dokumentieren muss und selbst dort zunehmend IT-Plattformen und Applikationen eingesetzt werden. Betroffene Unternehmen, die dazu Daten liefern müssen, haben sich dann der Frage zu stellen, was davon aus Datenschutzgründen legitim ist und auch Informationssicherheitsanforderungen genügt.

Übrigens gelten für die Geschäftskommunikation die großen Messenger-Dienste wie WhatsApp nicht ohne Einschränkung als sicher. Wir haben schon beobachtet, dass Unternehmen hier einseitig diesen Kommunikationsweg vorgeben. Wichtig ist, dieses Thema mit Richtlinien oder Arbeitsanweisungen für alle Mitarbeiter greifbar und lebbar zu machen. Die sicheren alternativen IT-Werkzeuge dazu gibt es jedenfalls.

(+) plus: Personenbezogene Daten einfach per Mail schicken – das geht nicht?

Marko: Die Frage ist, ob das Sicherheitsniveau des Kommunikationsmittels der Sensibilität der übermittelten Information angemessen ist. Je sensibler die Information, umso höher der anzulegende Sicherheitsmaßstab. Wenn man für sensible Information E-Mail-Kommunikation vermeiden kann, sollte man andere Kanäle nutzen. Es gibt Systeme, die mit Upload- und Download-Schnittstellen einen vollständig sicheren Datenverkehr ermöglichen – beispielsweise auch für einen Arzt, der Befunde mit einem Labor austauscht. Wenn aber Mails oder Dateianhänge zumindest verschlüsselt werden, wird schon ein wesentlich höherer Sicherheitsgrad geschaffen. Es gibt auch Messenger-Dienste, die durch Verschlüsselung aber auch hinsichtlich des Datenstandorts »sicherer« als andere sind. Das betrifft nicht nur die Herkunft des IT-Dienstleisters sondern auch die vor Ort vorherrschenden gesetzlichen Rahmenbedingungen für behördliche Zugriffe auf Daten.

(+) plus: Sind hier europäische IT-Dienstleister gegenüber etwa Cloud-Providern aus den USA im Vorteil? Wird das Thema Datenschutz von Grund an anders gehandhabt?

Marko: Die Datenschutz-Grundverordnung hat zwei neue Aspekte eingebracht: »Privacy by Design« und »Privacy by Default«. Übersetzt bedeutet das datenschutzfreundliche Grundeinstellungen und Datenschutz durch Technikgestaltung, die in Diensten und Services von Anfang an mitbedacht sein müssen. Demnach müssen Hersteller und Provider ihre Produkte und Services letztlich so gestalten, dass die Anwender damit rechtskonform arbeiten können, andernfalls diese nicht marktfähig sein werden.

Hier sind die Anforderungen zweifellos in die Höhe geschraubt worden. Der Druck auf die Einkaufsabteilungen, die über den Kauf von Software entscheiden, die Datenschutzkonformität richtig einzuschätzen, ist hoch. Sie müssen sich gemeinsam mit der Rechts- oder Compliance-Abteilung dazu Gedanken machen.

(+) plus: Behaupten kann man so etwas leicht – aber wie kann ein Anbieter nachweisen, dass sein Produkt oder Service DSGVO-konform gestaltet ist?

Marko: Es gibt Zertifizierungen, die durch die DGSVO nunmehr auch rechtlich verankert werden. Sie entlasten bis zu einem gewissen Grad die Einkaufsabteilungen, da hier ein unabhängiger Dritter – das können eine Datenschutzbehörde, der TÜV oder andere privatwirtschaftliche Organisationen sein – eine entsprechende Prüfung durchgeführt hat.

Unterschieden wird zwischen reinen IT-Sicherheitszertifikaten, die klassischen ISO-Normen wie 27001, 27002 und auch ISO 27018 für die Verarbeitung personenbezogener Daten in Public Clouds. Die ISO-Normen sind zwar noch nicht rechtlich als DSGVO-Norm anerkannt, haben aber prinzipiell eine hohe Anerkennung im Markt. Wir gehen davon aus, dass diese und andere Standards jedenfalls wichtiger werden.

Im Bereich Datenschutz bietet auch unsere Kanzlei Audits nach dem europäischen Datenschutz-Gütesiegel »European Privacy Seal – EuroPriSe« an. Der Vorteil liegt hier in den Zertifizierungskriterien, die ein Softwareprodukt oder einen IT-Service technisch und rechtlich durchleuchten und damit sowohl Datenschutz als auch Datensicherheit gleichermaßen berücksichtigen.