Obwohl die Datenschutz-Grundverordnung (DSGVO) nun schon seit einiger Zeit in Betrieb ist, fällt es scheinbar vielen Behörden (und Firmen) schwer, ihre Anforderungen korrekt umzusetzen. Das Standard-Datenschutzmodell (SDM) soll hier ein System bieten, anhand dessen beurteilt werden kann, ob man sich DSGVO-konform verhält.

Das SDM erläutert in den ersten zwei Kapiteln zunächst den Hintergrund, die rechtlichen Grundlagen und die Ziele des Dokuments. Dabei werden sieben Gewährleistungsziele definiert, über welche systematisch die datenschutzrechtlichen Anforderungen erfasst und beurteilt werden können. Das SDM erklärt auch, wie diese Ziele aus den Anforderungen der DSGVO entstehen. Aus diesen Zielen werden generische Massnahmen abgeleitet, sowie passende Referenzmassnahmen bereitgestellt. Letztendlich soll damit sichergestellt werden, dass die Verarbeitung rechtskonform ist bzw. zumindest hinreichende Risikominderung betrieben wurde.

Die Gewährleistungsziele sind:

• Datenminimierung
• Verfügbarkeit
• Integrität
• Vertraulichkeit
• Nichtverkettung
• Transparenz
• Intervenierbarkeit

Verfügbarkeit, Integrität und Vertraulichkeit sind dabei die klassischen Anforderungen aus der Informationssicherheit, auch als CIA-Triade von Confidentiality, Integrity, Availability bekannt. Die vier weiteren Punkte sind Anforderungen des Datenschutzes, wobei die Datenminimierung fordert, dass nur die nötigsten Daten gesammelt werden; Nichtverkettung verlangt, dass keine Informationen zu einem umfassenden Profil verkettet werden; Transparenz sowohl gegenüber Betroffenen als auch Kontrollinstanzen gewährleistet sein muss und Intervenierbarkeit Möglichkeiten fordert, in die Resultate der Datenverarbeitung einzugreifen.

Wichtig ist dabei, dass dies keine absoluten Anforderungen sind. Informationen dürfen verkettet werden, wenn dies für einen gerechtfertigten Zweck erforderlich ist. Wurden die Daten aber z.B. für unterschiedliche Zwecke erhoben, so dürfen sie nicht verkettet werden. Dabei wird sinnvollerweise darauf hingewiesen, dass grosse und aussagekräftige Datenbestände Begehrlichkeiten wecken könnten, welche die Rechtsgrundlagen überschreiten. Dass diese Überlegung hier hervorgehoben wird und solche Datensammlungen verhindert werden sollen, ist äusserst positiv.

Dazu kommen auch qualitative Anforderungen, wie z.B. dass Interventionen in automatisierte Entscheide unverzüglich und wirksam gewährt werden müssen. Insgesamt werden die Ziele hier sehr hoch gesteckt.

Generische Massnahmen

Die generischen Massnahmen sind sehr knapp verfasst und kaum mehr als Bulletpoints, wie z.B. “Anfertigung von Sicherheitskopien von Daten, Prozesszuständen, Konfigurationen, Datenstrukturen, Transaktionshistorien u. ä. gemäss eines getesteten Konzepts” bei Verfügbarkeit oder “Massnahmen für differenzierte Einwilligungs-, Rücknahme- sowie Widerspruchsmöglichkeiten” bei Intervenierbarkeit. Als Gedankenstütze und zur Anregung eigener Pläne sind sie dadurch aber gut geeignet.

Das generelle Dokument formuliert ebenfalls einen ausführlichen Prozess zum Datenschutzmanagement sowie zur Risikobewertung, welche beide zwar sinnvolle Fragen stellen, aber letztlich keine besondere Neuerung darstellen.

Referenzmassnahmen

Diese wurden nun zum Teil veröffentlicht, im Rahmen eines öffentlichen Betatests gewissermassen. Dabei sollen Schritt für Schritt die Massnahmen erprobt und verbessert werden, weshalb diese Massnahmenkataloge auch in den Anhang des SDM verschoben wurden. Dieser soll in einem kürzeren Zyklus überarbeitet werden als das Gesamtpaket. Dabei wurden die Massnahmen in verschiedene sogenannte Bausteine verpackt und von den verschiedenen Behörden ausgearbeitet.

Auch die Referenzmassnahmen sind reichlich generisch verfasst, geben aber zumindest vor, mit was für Massnahmen man gegenüber der DSGVO auf der sicheren Seite ist. Allerdings gibt es einerseits Bausteine, welche voneinander abhängen und andererseits sind die Anforderungen zum Teil sehr hoch angesetzt. Als Beispiel für ersteres wird im Baustein Aufbewahrung ausgeführt, dass Daten nur möglichst kurz aufbewahrt werden und bei einem Löschbegehren entfernt werden müssen. Der Baustein nimmt zwar Backups ausdrücklich aus, geht aber nicht auf die Frage ein, was denn geschieht, wenn ein Backup eingespielt werden muss, welches Daten beinhaltet, welche schon “abgelaufen” sind. Die Antwort darauf kann man im Baustein Löschung finden, wo erklärt wird, dass es ausreicht, Daten beim Einspielen wieder zu löschen – ausser, sie sind besonders sensibel, dann muss potenziell das Backup “ausserplanmässig aufgeräumt” werden. Im Baustein Löschung findet sich auch ein Beispiel für den zweiten Fall. So wird dort das Löschen von Daten aus der Datenbank nicht als ausreichend eingestuft, wenn nicht noch eine “Reorganisation” der Datenbank stattfindet, welche dafür sorgt, dass die Daten überschrieben werden und nicht mehr wiederherstellbar sind.

Fazit

Insgesamt bildet sich der Eindruck, dass hier ein wichtiges, ambitioniertes Ziel angepeilt wurde, die DSGVO streng auszulegen und klare Vorgaben wie dies erreicht werden könnte bereitzustellen, aber dieses Ziel letztlich verfehlt wurde. Der grundsätzliche Prozess und die formulierten Anforderungen sind nicht schlecht, aber klarifizieren noch wenig, wie genau diese umzusetzen wären. Die spezifischeren Bausteine sind aber ebenfalls noch zu vage und stellen Ansprüche, die wohl nur die Wenigsten technisch erfüllen können, sodass dieses Dokument wohl kaum zur Verbesserung der Situation beitragen wird.

Über den Autor

Mark Zeman hat seinen Master of Science in Engineering mit Vertiefung Information and Communication Technologies an der Fachhochschule Nordwestschweiz absolviert. Seit 2017 hat er seine Passion im Bereich Information Security zu seinem Fokus gemacht. Unter anderem hat er schon während seinem Bachelorstudium bei einer Email-Sicherheitsfirma gearbeitet. (ORCID 0000-0003-0085-2097)