Da die Datenschutz-Folgenabschätzung (DSFA) die Beteiligten im Unternehmen regelmäßig vor nicht unerhebliche Herausforderungen stellt, soll in diesem zweiten Beitrag der Schwerpunkt auf die Erfassung der technischen und organisatorischen Maßnahmen (TOM) gelegt werden.
In einem vorangegangenen Beitrag zur DSFA wurde bereits die Ermittlung des Bruttorisikos etwaiger Risikoszenarien beleuchtet, unter Rückgriff auf die Unterlagen zur DSFA des Bayerischen Landesbeauftragten für den Datenschutz (BayLfD). Hieran anschließend soll im zweiten Teil die Erfassung der TOM begleitet werden, um in einem abschließenden dritten Beitrag beide Arbeitsergebnisse zur Ermittlung des Nettorisikos zusammenzuführen.
1. Technische und organisatorische Maßnahmen (TOM) im Unternehmen
Jedes Unternehmen verfügt grundsätzlich über eine oder auch mehrere Dokumentationen zu TOM. Das umfasst sowohl die eigenen Maßnahmen als auch die Maßnahmen etwaiger Dienstleister. Die vorliegenden Informationen haben oft ein unterschiedliches Design und sind auch in der Detailtiefe von unterschiedlicher Qualität. In der Regel sind Darstellungen der TOM auf einem allgemein gültigen und oberflächlichen Level gehalten. Sie befassen sich mit den Vorgaben und Maßnahmen, die für das gesamte Unternehmen gelten und bei Bedarf Dritten zur Verfügung gestellt werden könnten. Bei größeren Projekten oder Systemen werden TOM öfters detaillierter dokumentiert, insbesondere, wenn ein federführendes Programm zum Einsatz kommt und hier durch den Dienstleister umfangreichere Dokumente bereitgestellt werden. Auf Prozessebene sind TOM in nur wenigen Fällen spezifisch dokumentiert, da dies meist einen zu hohen Zeitaufwand mit sich bringt und sich gewisse Sicherheitsmaßnahmen aus den allgemein gültigen Dokumentationen ergeben.
In der DSFA ist genau das jedoch die Herausforderung: In der Dokumentation für die DSFA stehen konkrete Verarbeitungsschritte im Fokus und es gilt, die bereits vorhandene Dokumentation zu zuordnen und bei Bedarf zu ergänzen. Hierbei ist es jedoch notwendig, aus der Summe der bereits vorhandenen Dokumentationen die für die DSFA relevanten Punkte herauszuarbeiten und diese einheitlich zu dokumentieren.
2. Erstellen der Arbeitshilfe
Es gibt verschiedene Herangehensweisen, um die passenden TOM zu ermitteln, welche für die DSFA und den hier beleuchteten Verarbeitungsprozess relevant sind. Ziel ist es, eine nummerierte Aufstellung aller im Projekt umgesetzten Maßnahmen zu erstellen, welche als Anhang zur DSFA beigefügt werden kann.
Wahlweise kann hierfür in enger Zusammenarbeit der Projektverantwortlichen prozessspezifisch eine individuelle Liste der jeweils implementierten Maßnahmen erstellt werden. Sobald alle Listen erstellt wurden, können die Maßnahmen in einer gemeinsamen Dokumentation zusammengetragen werden. Diese Vorgehensweise verlangt jedoch umfassende Kenntnis über die einzelnen TOM der im einzelnen Prozess involvierten Systeme und kommt oft an ihre Grenzen, wenn die verantwortlichen Ansprechpartner für die einzelnen Systeme nicht Teil des DSFA-Teams sind oder selbst Unterstützung benötigen, um diese Informationen zu erhalten.
Eine andere Herangehensweise sammelt die vorliegenden Informationen zu den TOM auf der Programm- oder Anwendungsebene. Dabei werden vorrangig die vorhandenen Dokumente zusammengetragen, die es bereits für die einzelnen Programme oder Systeme gibt, die bei den jeweiligen Datenverarbeitungsprozessen zum Einsatz kommen. Beim Zusammenstellen der Informationen kann auf eine bereits vorhandene Dokumentation zurückgegriffen werden, ohne dabei weitere Kapazitäten der Kollegen in Anspruch zu nehmen. Die Zuordnung kann dann durch das DSFA-Team mit Unterstützung der IT erfolgen. Aus der Summe dieser Informationen kann unter Zuhilfenahme der jeweiligen Schutzziele konkret ausgewählt werden, welche Maßnahmen für den jeweiligen Prozess relevant sein könnten. In einer separaten Auflistung werden diese Maßnahmen anschließend zusammengetragen. Bei dieser Vorgehensweise ist eine ausführliche Dokumentation sehr nützlich, welche ggf. einen gewissen zeitlichen Vorlauf benötigt. Diese dokumentenbasierte Vorgehensweise ist hilfreich, wenn es den Beteiligten, die nicht Teil der IT-Abteilung sind, schwerfällt, konkrete Maßnahmen zu benennen. Hilfsweise kann aus der vorhandenen Dokumentation auch vorab nur aussortiert werden, um die für den Prozess nicht relevanten Maßnahmen auszuschließen.
So wäre bspw. eine Beschreibung der Zutrittskontrolle beim Verantwortlichen als Maßnahme nicht relevant, wenn die Daten auf einem Server beim Dienstleister liegen und niemand von vor Ort auf die Daten zugreifen würde.
3. Ergänzung und Anpassung der Liste
Unabhängig davon, wie man sich dieser Auflistung nähert, ist es für eine DSFA notwendig, etwaige oberflächlich und allgemein gehaltene Darstellungen noch zu konkretisieren, damit diese auf den einzelnen Prozessschritt zutreffend formuliert werden können. Diese Konkretisierung kann mit den Fachbereichen vorgenommen werden, ohne dabei zu große Kapazitäten zu binden.
Um die bis dahin bereits erstellte Liste weiter zu ergänzen, können die einzelnen Schutzziele der Bereiche Informationssicherheit und Datenschutz herangezogen werden. Aus datenschutzrechtlicher Sicht muss die Datenverarbeitung bspw. transparent stattfinden. Um diesem Transparenzerfordernis zu entsprechen, ist es notwendig, dass der Verantwortliche selbst die Prozesse dokumentiert nachvollziehen kann. Die dahinterstehende Maßnahme wäre somit der Vorgang zur Dokumentation des Datenverarbeitungsprozesses und die Bereitstellung der entsprechenden Informationen gegenüber den Betroffenen.
Es ist wichtig zu berücksichtigen, dass die so erstellte TOM-Liste für die Beteiligten verständlich ist. Was nicht bedeuten soll, dass diese nicht auch detailliert dargestellt werden darf. Jedoch sollten ergänzende Informationen zur Verfügung stehen, damit die Maßnahmen später ohne Aufwand auch den einzelnen Schutzzielen und Prozessen zugeordnet werden können, und auch ohne dabei auf die fachliche Expertise des Informationssicherheits-Beauftragten angewiesen zu sein. Es ist ferner wichtig, dass die Auflistung durchgehend einen Bezug zu den in der DSFA thematisierten Projekten oder Prozessen aufweist. Es ist empfehlenswert, die ermittelten Maßnahmen nach „technischen“ und „organisatorischen“ Maßnahmen zu trennen. Eine fortlaufende Nummerierung der einzelnen Maßnahmen erleichtert später die Zuordnung zu den Datenverarbeitungen.
Bei der Erstellung dieser Dokumentation und der Anhänge für die DSFA kann unterstützend auf die eingangs bereits erwähnten Unterlagen des BayLfD, insbesondere auf die Orientierungshilfe Risikoanalyse und DSFA, verwiesen werden.
4. Die TOM-Liste
Im Ergebnis sollte in diesem Prozessschritt eine Auflistung als Anhang für die DSFA entstanden sein, welche die TOM abbildet. Diese Auflistung beschränkt sich auf die für die DSFA notwendigen Informationen und dokumentiert diese auf prozessspezifischer Ebene in einem einheitlichen Design und Informationsniveau.
Wie diese Aufstellung in einem dritten Arbeitsschritt verwendet wird, um das Nettorisiko der DSFA zu ermitteln, lesen Sie in Teil 3 unserer Reihe.