Die digitale Produkt-DNA
Produktdatenschutz gewinnt zunehmend an Bedeutung. Von großer Relevanz ist insbesondere der Umgang mit sensiblen Daten. Mit der Europäischen Datenschutz Grundverordnung (EU-DSGVO) wurde ein einheitlicher Rechtsrahmen für die Verarbeitung und Speicherung personenbezogener Daten geschaffen. Mit einer neuen Stelle legen wir ein stabiles Fundament für einen soliden Datenschutz. Als Referent für Produktdatenschutz richtet Volker Schade seit dem 1. April sein Augenmerk auf die „Einhaltung des Datenschutzes in der Software“.
Frühe Einbindung ist wichtig
Die späte Einbindung des Datenschutzes und die Folgen daraus hat Volker Schade in seiner langjährigen Tätigkeit im Bereich Rollout selbst vor Kurzem erfahren. Unmittelbar vor der Einführung eines Softwarepaketes wurde der Datenschützer des Kunden einbezogen. Prompt stoppte er die Einführung, um die Aspekte des Datenschutzes ausreichend prüfen zu können. „Da bin ich hellhörig geworden“, berichtet Volker Schade, der seit 2002 bei uns beschäftigt ist, „welche Bedeutung fehlende Nachweise für die Produkteinführung seit Einführung der DSGVO haben.“ Denn besonders diese zwei Aspekte sind zu bedenken: Zum einen ist im Rollout der Datenschützer des Kunden frühzeitig mit einzubinden, zum anderen sollte der Datenschutz bereits in der Konzeptionsphase der Softwareentwicklung intensiv beleuchtet werden. Im Zuge der Umstrukturierung in unserem Unternehmen bekam Volker Schade die Chance, sich auf die neu ausgeschriebene Stelle zu bewerben. „Jetzt kann ich das Verständnis für Datenschutz viel stärker in die Entwicklung hineintragen, im Unternehmen verankern und mich im Netzwerk austauschen“, betont er. „Das Know-how ermöglicht uns einen professionellen Umgang mit sensiblen Daten. So können wir unsere neuen Produkte vorausschauend auf Herz und Nieren prüfen, datenschutz-ready machen und so immer ein bisschen besser werden.“
Anforderungen müssen erfüllt werden
Wer bei der Entwicklung DSGVO-konformer Software-Lösungen auf Nummer sicher gehen will, muss begleitend zur Herstellung Maßnahmen zur Absicherung der Schutzmaßnahmen berücksichtigen. Mit dem „Standard-Datenschutzmodell“ (SDM) haben die Datenschutzaufsichtsbehörden ein Werkzeug bereitgestellt, mit dem für den Bereich des operativen Datenschutzes sichergestellt ist, dass eine einheitliche Datenschutz-Beratungs- und Prüfpraxis erreicht werden kann und die Verarbeitung personenbezogener Daten nach den Vorgaben der DSGVO erfolgt. „Technische und organisatorische Maßnahmen“ (TOM) sind dabei zentral für die Datenschutzpraxis. Nach einer Risikoanalyse sind geeignete Maßnahmen zu ergreifen, damit alle im Unternehmen verarbeiteten personenbezogenen Daten auch hinsichtlich bestehender Risiken gemäß ihres Schutzbedarfes ausreichend geschützt werden. Konkret bedeutet das an einem Beispiel: Die Daten müssen nach einem technischen Zwischenfall wiederherstellbar sein. Geht also eine Festplatte kaputt und ist nicht reparierbar, muss sichergestellt werden, dass es von allen Daten auf der Festplatte ein Backup gibt.
Das verhindert Verzögerungen
Für TOM definiert das SDM sieben Gewährleistungsziele, die dazu dienen, eine Software datenschutzkonform zu erstellen. Dabei handelt es sich um die klassischen Schutzziele der Informationssicherheit: Vertraulichkeit, Integrität und Verfügbarkeit, die um die speziell datenschutzbezogenen Gewährleistungsziele Datenminimierung, Transparenz, Intervenierbarkeit und Nichtverkettung ergänzt werden. „Wenn diese Gewährleistungsziele erfüllt und entsprechende Maßnahmen dafür in der Software oder als organisatorische Maßnahme realisiert werden, können wir die Vorgaben der DSGVO erfüllen“, bekräftigt Volker Schade. Genau auf diesen Punkten fußt der Produktdatenschutz, den er seit dem 1. April innerhalb der Stabsstelle Informationssicherheit und Qualitätsmanagement, in enger Abstimmung mit seinem Kollegen von der IT-Security, für die AOK Systems verantwortet. Schade hat sich zum Ziel gesetzt, in den nächsten Wochen und Monaten innerhalb des Unternehmens insbesondere bei den Software-Architekten, Entwicklern und Beratern ein Grundverständnis zum Thema Datenschutz zu schaffen und mit Wissen zu unterfüttern. Dazu hat er zweistündige Workshops konzipiert. Volker Schade ist sicher, dass es im Unternehmen immer Anforderungen geben wird, die datenschutzrechtlich beleuchtet werden müssen. „Wenn es dabei Fragen oder Unklarheiten gibt, haben die Kolleginnen und Kollegen jetzt mit mir einen Ansprechpartner, der verbindlich Auskunft darüber geben kann, wie wir die Software gestalten und datenschutzkonform beschreiben können.“ Und davon ist Volker Schade felsenfest überzeugt: „Kein Projekt sollte sich künftig mehr wegen einer Datenschutzunklarheit im Softwarepaket verzögern.“
Schutz persönlicher Daten
Die DSGVO erweitert die Anforderungen an die Sicherheit der Verarbeitung personenbezogener Daten durch erweiterte Dokumentations- und Nachweispflichten. Damit hat der Gesetzgeber bei personenbezogenen Daten klar definiert, wann, wie und ob Daten erhoben, gespeichert und verwendet werden dürfen. Unternehmen müssen seit dem 25. Mai 2018 jederzeit in der Lage sein, die Rechtmäßigkeit ihrer Datenverarbeitungstätigkeiten gegenüber Aufsichtsbehörden nachzuweisen. Das bedeutet, dass alle ergriffenen Maßnahmen dokumentiert werden müssen, um im Schadensfall Aufzeichnungen über die getroffenen Vorkehrungen zu haben. Generell muss bei der Verarbeitung von personenbezogenen Daten sichergestellt sein, dass von Unternehmensseite die Daten weder verloren gehen, zerstört oder verfälscht werden. Sollte es dabei zu Versäumnissen oder Verstößen kommen, kann das empfindliche Bußgelder nach sich ziehen.