Aufgrund der Zentralisierung und Konsolidierung von dezentralen Datenverarbeitungsprozessen sowie aus kosteneffizienten Gründen greifen Organisationen, die Daten verarbeiten, vermehrt auf kooperative Betriebsmodelle zurück. Diese Modelle ermöglichen die gemeinsame Nutzung von Systemen und Programmen zur automatisierten Verarbeitung personenbezogener Daten.
Die gemeinsame Nutzung solcher Infrastrukturen stellt erhöhte Anforderungen an die Trennung personenbezogener Daten, um die entstehenden Risiken für informationelle Gewaltenteilung, Zweckbindung und Vertraulichkeit angemessen zu reduzieren. Der Verantwortliche hat die erforderlichen Schritte zur Überprüfung einer ausreichenden Trennung automatisierter Verfahren bei der Nutzung einer gemeinsamen IT-Infrastruktur (Mandantenfähigkeit) zu prüfen.
Denn die Mandantentrennung in der Datenverarbeitung spielt eine entscheidende Rolle, insbesondere wenn es um den Schutz personenbezogener Daten geht. Dieser Artikel beleuchtet die rechtlichen Anforderungen und bietet Einblicke in verschiedene technische Ansätze zur Umsetzung.
Technische Ansätze zur Umsetzung der Mandantentrennung (Baustein „Trennen“)
Die technische Umsetzung der Mandantentrennung kann auf verschiedenen Ansätzen beruhen:
- Applikationsseitige Trennung: Diese Methode entscheidet bereits auf der Programmcode-Ebene, welche Daten für welchen Nutzer zugänglich sind. Allerdings birgt sie Risiken, da Fehler auf der Implementierungsebene zu ungewollten Zugriffen führen können.
- Trennung in der Datenhaltung: Daten verschiedener Mandanten werden in separaten Datenspeichersystemen gehalten, was potenzielle Risiken reduziert. Hierbei werden mandantenspezifische Accounts und Berechtigungskonzepte eingesetzt.
- Trennung der Umgebungen: Durch physische oder virtuelle Trennung der Systeme wird eine Mandantentrennung erreicht. Dies umfasst Zugriffskontrollen und Authentifizierungsverfahren.
- Mandantenspezifische Verschlüsselung: Dateien werden mandantenspezifisch verschlüsselt, wobei ein ausgereiftes Schlüsselmanagement erforderlich ist. Dieser Ansatz bietet eine hohe Sicherheit, schränkt jedoch den Nutzungskomfort ein.
Die individuellen Anforderungen an die Mandantentrennung hängen vom Schutzbedarf der Daten ab. Die gesetzlichen Vorgaben legen nahe, dass Zugriffsrechte, Verarbeitungsfunktionen und Konfigurationseinstellungen je Mandant eigenständig festgelegt werden müssen. Eine Verhältnismäßigkeitsbetrachtung ist entscheidend: Je höher der Schutzbedarf, desto anspruchsvoller sollten die Trennungsmaßnahmen sein, bis hin zur physischen Trennung. Das Informationssicherheitsmanagementsystem (ISMS) spielt eine Schlüsselrolle bei der Umsetzung der gesetzlichen Vorgaben im Einklang mit dem Stand der Technik.
Datenschutzkonforme Nutzung einer gemeinsamen IT-Infrastruktur
Häufig werden in Konzernen gemeinsame IT-Strukturen und -systeme genutzt, wobei hier eine „echte“ Mandantentrennung häufig nicht umgesetzt werden kann, sei es aus kostentechnischen oder administrativen Gründen. In diesen Fällen sieht die Orientierungshilfe Mandantenfähigkeit oder Baustein 50 des Datenschutzmodells eine Risikoprüfung, sowie die Umsetzung bestimmter Maßnahmen vor. Die nachfolgenden Prüfpunkte sollten herangezogen werden, um eine datenschutzkonforme Nutzung gemeinsamer IT-Infrastruktur zu gewährleisten:
Schritt 1: Rechtliche Grundlagen
Die Festlegung, welche technischen und organisatorischen Maßnahmen erforderlich sind, um eine ausreichende Trennung von Verarbeitungen entsprechend unterschiedlicher Zwecke zu erreichen, setzt eine rechtliche Beurteilung voraus.
- Analyse der spezialgesetzlichen Bestimmungen für das Fachverfahren.
- Berücksichtigung datenschutzrechtlicher Grundsätze und allgemeiner datenschutzrechtlicher Bestimmungen.
Schritt 2: Ausgestaltung von Übermittlungen zwischen Mandanten
- Überprüfung der Rechtsgrundlagen und Anforderungen an die Zulässigkeit von Datenübermittlungen.
- Festlegung von zulässigen Kriterien für Übermittlungen.
- Sicherstellung der Protokollierung und Zuordnung übermittelter Daten.
Schritt 3: Abgeschlossenheit der Transaktionen innerhalb eines Mandanten
- Prüfung der transaktionsbasierten Abgeschlossenheit der Datenverarbeitung in einem Mandanten.
- Sicherstellung, dass Transaktionen gültige Datenbestände innerhalb eines Mandanten erzeugen und nicht von anderen Mandanten abhängen.
- Betrachtung der Abgeschlossenheit im Hinblick auf Datenschutz- und Datensicherheitsrisiken.
Schritt 4: Unabhängigkeit der Konfiguration
- Sicherstellung, dass Zugriffsberechtigungen, Verarbeitungsfunktionen und Konfigurationseinstellungen mandantenunabhängig festgelegt werden.
- Mandantenspezifische Anforderungen an Berechtigungsvergabe, Nutzungsprotokollierung und administrative Protokollierung beachten.
Schritt 5: Beschränkung der mandantenübergreifenden Verwaltung der Datenverarbeitung
- Ausschluss der Verarbeitung personenbezogener Daten durch mandantenübergreifende Verwaltungsfunktionen.
- Zulässige Ausnahmen, z.B. für das Einrichten von Mandanten, klar definieren und dokumentieren.
- Sicherstellung der revisionssicheren Protokollierung der mandantenübergreifenden Verwaltung.
Im Anschluss an diese fünf Prüfschritte sind noch folgende Maßnahmen durchzuführen:
Konzeption und Umsetzung des Datenschutzmanagements
- Durchführung einer Risikoanalyse unter Berücksichtigung spezieller Risiken bei der getrennten Datenverarbeitung.
- Nachweis ausreichender Sicherheits- und Datenschutzmaßnahmen, insbesondere in Bezug auf die Datentrennung.
- Dokumentation der Datensicherheits- und Datenschutzmaßnahmen sowie des Nachweises der Datentrennung.
Restrisikobetrachtung
- Explizite Ausweisung von Restrisiken, die nicht durch Sicherheitsmaßnahmen ausreichend reduziert wurden.
- Schriftliche Übernahme der Restrisiken durch den Leiter der jeweiligen datenverarbeitenden Stelle.
Datenschutz- und Sicherheitsmanagement
- Einrichtung eines mandantenübergreifenden Datenschutz- und Sicherheitsmanagements.
- Benennung von Ansprechpartnern für Datenschutz und Datensicherheit in jeder datenverarbeitenden Stelle.
- Regelmäßige Prüfung der gemeinsamen Infrastruktur durch das mandantenübergreifende Datenschutz- und Sicherheitsmanagement.
Fazit
Die ordnungsgemäße und getrennte Verarbeitung personenbezogener Daten in einer gemeinsamen IT-Infrastruktur erfordert zusätzliche technische und organisatorische Sicherheitsmaßnahmen, die auf einer rechtlichen Betrachtung basieren. Um die korrekte Verfahrenstrennung nachzuweisen, sind die oben genannten Prüfpunkte durchzuführen.
Auf Grundlage dieser Überlegungen muss zudem das Datenschutz- und Sicherheitsmanagement entsprechend angepasst werden, um den Anforderungen dieser speziellen Form der Datenverarbeitung gerecht zu werden.
14. Februar 2024 @ 17:01
Hallo liebes Team, die Referenz bezieht sich auf das SDM V.2 mit dem bezeichneten Baustein. Müsste dies nicht nach der V.3 bereits überholt sein?
15. Februar 2024 @ 11:07
Vielen Dank für den Kommentar. Sie liegen richtig damit, dass es eine neue Version des SDM gibt. Der Baustein wurde allerdings nicht aktualisiert und dient auch nicht als rechtsverbindliche Vorgabe, sondern als Orientierung. Bis der Baustein selbst noch einmal überarbeitet wird, ist es unsere Empfehlung sich als Unternehmen weiterhin daran zu halten oder die Orientierungshilfe zu Rate zu ziehen, die allerdings inhaltlich fast identisch mit dem Baustein ist.