Standards während der aktuellen Krise und darüber hinaus
Unter Privacy by Design, oder zu deutsch “Datenschutz durch Technik”, wird die Berücksichtigung des Datenschutzes über den gesamten technischen Prozess verstanden. Es handelt sich dabei um ein Konzept, das vor 10 Jahren von der ehemaligen Informations- und Datenschutzbeauftragten von Ontario, Ann Cavoukian, entwickelt wurde. Im Jahr 2018 trat die Datenschutzgrundverordnung (“DSGVO”) in Kraft. Mit der DSGVO ist Privacy by Design zum ersten Mal ein durchsetzbares Konzept in der Europäischen Union (EU) und den Mitgliedsstaaten des Europäischen Wirtschaftsraums (EWR) geworden. Aufsichtsbehörden können Verstöße mit Bußgeldern von bis zu 10.000.000 EUR oder bis zu 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres ahnden.
Trotz dieser harten Sanktionen scheinen die Verpflichtungen der Verantwortlichen zur Einhaltung des Privacy by Design Prinzips nicht gleichermaßen im Fokus zu stehen, wie beispielsweise die datenschutzrechtlichen Informationspflichten. Dieser Beitrag erläutert, warum man die sich aus dem Privacy by Design Prinzip ergebenden Pflichten nicht unterschätzen sollte.
Die Mehrheit arbeitet im Home Office
Der überwiegende Anteil der deutschen Unternehmen hat seine internen Vorschriften für das Home Office, soweit möglich, gelockert. Manche Firmen, wie wir bei eyeo, haben in der aktuellen Krise sogar auf “remote only” umgestellt. Das hat zur Folge, dass viel mehr Remote-Meetings gibt als noch zu Beginn des Jahres.
Ich einen Bereich mit Mitarbeitern aus unterschiedlichen (europäischen und US-amerikanischen) Städten. Daher bin ich Remote-Meetings gewohnt. Dennoch haben sich die Videokonferenzen für mich aktuell mindestens verdreifacht. An manchen Tagen verbringe ich sogar den ganzen Tag in einer oder mehreren Videokonferenzen. Um diese Meetings effizient und fokussiert zu gestalten und das Teambuilding trotz der fehlenden Nähe nicht zu vernachlässigen, verwenden wir jetzt zusätzlich zu unserer Videokonferenz-Software verschiedene Remote Software-Tools. All diese Tools verarbeiten personenbezogene Daten unserer Mitarbeiter*innen. Bei Terminen mit Externen verarbeitem diese Tools auch personenbezogene Daten von Partnern und/oder Dienstleistern. Da wir nicht alle diese Tools auf unseren Servern hosten (können), haben wir nicht die volle Kontrolle über die Datenverarbeitung durch die Anbieter dieser Tools.
Erhöhte Risiken für personenbezogene Daten und Geschäftsgeheimnisse
Mehr Home Office und die dadurch erhöhte Zahl an Tools zur Erleichterung von Remote-Meetings führen wiederum zu mehr Datenverarbeitungen. Diese wiederum erfolgen häufig durch Dritte, die diese Tools auf ihrer Infrastruktur anbieten. Das wiederum hat weniger Kontrolle durch Unternehmen und damit höhere Risiken für personenbezogene Daten zur Folge. Je populärer solche Tools werden, desto größer sind auch die Risiken, dass die Daten Ziel von Angreifern werden. Angreifer nutzen etwaige Sicherheitslücken und Schwachstellen aus, um an Information und Daten der Nutzer*innen zu gelangen.
Ein Paradebeispiel dafür ist das beliebte Videokonferenz-Tool Zoom. Bereits vor der Corona Krise haben die Macher in ihren Tool zahlreiche Funktionen angeboten, die Remote-Meetings effizienter, einfacherer und angenehmer gestalten. Dabei war es in der Vergangenheit für die Nutzer*innen offensichtlich nebensächlich, dass Standardeinstellungen nicht datenschutzfreundlich sind und das Design des Videokonferenz-Tools weder auf Privatsphäre noch auf Sicherheit ausgerichtet ist. Seit Beginn der Corona-Krise kann Zoom einen starken Zuwachs von Nutzer*innen verbuchen. Dies führte aber auch zu deutlich mehr Aufmerksamkeit. Und das nicht nur bei potenziellen Nutzer*innen und Sicherheits- und Datenschutzexpert*innen, sondern auch bei Angreifern.
Die relativ laxen Standardeinstellungen und der fehlende Fokus auf Datenschutz und Datensicherheit im Design des Tools stellen aufgrund dieser Gemengelage nunmehr aber nicht nur eine größere Gefährdung der Privatsphäre dar. Sie bergen auch erhebliche Sicherheitsrisiken, insbesondere für Windows-Benutzer*innen: Die Funktionsweise von Zoom führte dazu dass der Windows-Anmeldename das NTLM-Passwort-Hash der Nutzer*in bei Anklicken des URL-Links an den Server gesendet werden. Diese Daten können wiederum abgefangen werden und der Hash des Passworts kann mit frei erhältlichen Tools geknackt werden . Somit gibt die Nutzer*in das Passwort unfreiwillig preis. Auch mit wenig Fantasie kann man sich gut vorstellen, was dies für (vertrauliche) Unternehmensdaten, wie Betriebs- und Geschäftsgeheimnisse, bedeuten kann.
Die DSGVO verpflichtet den Verantwortlichen…
… Datenschutz durch Technik zu implementieren, nicht die Entwickler*in und/oder den Produzenten. Das ursprüngliche Konzept von Ann Cavoukian verlangt, dass Datenschutz durch Technik bereits in das Design und die Architektur von IT-Systemen (wie auch in die Geschäftspraktiken) eingebettet sein muss. Insofern klafft eine Lücke zwischen dem ursprünglichen Konzept und dem durch die DSGVO umgesetzten Privacy by Design Prinzip. Zu Recht kritisierten Datenschutzexpert*innen diese fehlende Verpflichtung der Entwickler*innen und Hersteller*innen. Denn der Einfluss der für die Datenverarbeitung verantwortlichen Firmen als Nutzer von proprietären Tools auf die Einhaltung des Privacy by Design Prinzips ist tatsächlich stark begrenzt.
Dennoch gehört es nach der DSGVO zu den Kernverpflichtungen des Verantwortlichen, “geeignete technische und organisatorische Maßnahmen um[zusetzen], um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt” (Art. 24 Abs. 1 DSGVO). Diese ziemlich vage Formulierung wird durch die Verpflichtungen der Berücksichtigung des Datenschutz durch Technik und auf Umsetzung von datenschutzfreundlichen Vorseinstellungen (Privacy by Default) näher definiert (Art. 25 DSGVO). Danach ist der Verantwortliche verpflichtet, Maßnahmen zu ergreifen, die diese Grundsätze erfüllen. Maßnahmen sind beispielsweise die Verarbeitung personenbezogener Daten zu minimieren oder personenbezogene Daten so rasch wie möglich zu pseudonymisieren. Geeignete Maßnahmen können unter anderem sein:
- Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten schaffen,
- der betroffenen Person die Möglichkeit geben, die Datenverarbeitung zu überwachen oder
- dem für die Verarbeitung Verantwortlichen die Möglichkeit geben, Sicherheitsfunktionen zu schaffen und zu verbessern.
Sorgfalt bei der Auswahl eines Tools
Die Datenschutzgrundverordnung enthält keinen abschließenden Katalog, welche Maßnahmen implementiert werden müssen, um den Anforderungen von Privacy by Design gerecht zu werden. Der Gesetzgeber verlangt jedoch, dass die Maßnahmen “geeignet“ sind. Die Geeignetheit ist “unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen” (Privacy by Design) zu beurteilen. Ferner muss der Verantwortliche “sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden” (Privacy by Default).
Wie bereits erwähnt, ist der für die Verarbeitung Verantwortliche in der Regel nicht der Entwickler von Remote-Tools. Zudem sind die meisten solcher Tools proprietäre Software, die keine eigenständigen Codeänderungen durch Anwender*innen zulassen. Daher sind die Maßnahmen zur Gewährleistung von Privacy by Design durch Anwender*innen begrenzt. Jedoch kann und sollten Unternehmen diese Tools und/oder den Anbieter sorgfältig vorab auswählen. Dabei ist zu prüfen, ob der Anbieter geeignete technische und organisatorische Maßnahmen implementiert hat. Nur Tools mit bereits implementierten, geeigneten Maßnahmen sollten auch ausgewählt werden.
Geeignetheit eines Tools
Die DSGVO verlangt nicht die Auswahl des datenschutzfreundlichsten Tools, sondern lediglich eines Tools, das
- “ unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen” geeignete Maßnahmen zum Schutz personenbezogener Daten umgesetzt hat und
- dem Unternehmen die Möglichkeit gibt, Standardeinstellungen zum Schutz personenbezogener Daten zu ändern oder anzupassen.
Zusammenfassend lässt sich festhalten, dass das Privacy by Design Prinzip Entwickler*innen und Hersteller zwar nicht direkt verpflichtet, diese sich aber daran orientieren sollten. Denn zur Vermeidung von Sanktionen nach der DSGVO sollte der Verantwortliche seinerseits nur ein geeigntes Werkzeug wählen. Das heißt, eines das bereits ausreichende technische Maßnahmen zum Schutz von personenbezogenen Daten und zur Ermöglichung datenschutzfreundlicher Voreinstellungen implementiert hat.
Einführung eines Prozesses zur Auswahl von externen Software-Tools
Unternehmen müssen ihre/n Datenschutzbeauftragt*e muss ohnehin in neue Datenverarbeitungsverfahren einbeziehen (Art. 38 Abs. 1 DSGVO). Daher ist zu empfehlen, einen einheitlichen Prozess aufzusetzen, der sowohl die Prüfung des Tools als auch die Einbeziehung des Datenschutzbeauftragten umfasst. Die verantwortlichkeit für die Durchführung eines solchen Prozesses richtet sich nach der internen Struktur eines Unternehmen. Bei eyeo trägt beispielsweise das Datenschutz- und Datensicherheits-Team die Verantwortung für den Prozess. Gibt es kein dezidiertes Team, kann der Prozess auch in gemeinschaftlicher Verantwortlichkeit mit unterschiedlichen Stakeholdern, wie der/m Datenschutzbeauftragten, der Rechts- sowie die IT-Abteilung, erfolgen.
Prüfungsgegenstand sollten dabei insbesondere die folgenden Dingen sein:
- Die Prüfung der durch den Anbieter zur Verfügung gestellten Dokumentation und der rechtlichen Dokumente.
- Recherchen zu aktuellen und vergangenen Schwachstellen, Datenschutzverstößen und allgemeinen Werten eines Unternehmens in Bezug auf Datenschutz und Sicherheit.
- Vor-Ort Kontrollen wären natürlich optimal, sind aber praktisch, insbesondere in der aktuellen Situation, häufig nicht umsetzbar.
Selbstverständlich garantiert auch der sorgfältigste Auswahlprozess keine absolute Sicherheit. Ein entsprechender Prozess reduziert die verbleibenden Risiken, personenbezogene Daten oder vertrauliche Informationen wie Betriebs- und Geschäftsgeheimnisse preiszugeben, jedoch erheblich.
Über die Autorin:
Dr. Judith Nink leitet den Bereich Corporate Affairs und ist Datenschutzbeauftragte der Kölner Softwarefirma eyeo GmbH. Zuvor war sie als Rechtsanwältin bei internationalen Wirtschaftskanzleien und als Justiziarin bei IKB Deutsche Industriebank AG jeweils mit Schwerpunkt im Datenschutz- und IT-Recht tätig. Sie veröffentlicht regelmäßig zu datenschutzrechtlichen Themen und ist Dozentin an der Europäischen Fachhochschule Brühl sowie der Fernuniversität Hagen.