Synergien Datenschutz und IT-Sicherheit So hilft die Security bei der Auskunftspflicht nach DSGVO
Anbieter zum Thema
Die Kritik an den Aufwänden für den Datenschutz reißt nicht ab. Umso wichtiger ist es, Synergien zwischen Datenschutz und IT-Sicherheit zu nutzen. Gerade bei der Umsetzung des Auskunftsrechts kann die IT-Sicherheit unterstützen und Zusatzaufwände vermeiden. Das betrifft die Zusammenstellung der angefragten Daten, aber auch die notwendigen Identitätsprüfungen.

Wenn Unternehmen ein Auskunftsersuchen nach DSGVO (Datenschutz-Grundverordnung) erhalten, eine Person also wissen will, welche Daten über sie verarbeitet und gespeichert werden, kann es zu vielen Fehlern und Problemen kommen.
So antworten Unternehmen auf ein solches Auskunftsersuchen mitunter zu spät, also nicht innerhalb der Monatsfrist, die Auskunft ist womöglich unvollständig, vielleicht sind in der Auskunft aber auch Daten, die nicht enthalten sein sollten, oder aber die Auskunft geht an eine Person, die gar nicht berechtigt ist, nach diesen Daten zu fragen.
Diese Fehler sind nicht theoretischer Natur, sondern sie passieren in der Praxis. Dabei können durchaus ein Bußgeld und andere Sanktionen der zuständigen Datenschutzaufsichtsbehörde die Folge sein.
Umsetzung der Auskunftspflicht bereitet Schwierigkeiten
Nun ist es nicht etwa so, dass die Unternehmen das Auskunftsersuchen bewusst missachten oder dass sie gar nicht wüssten, was es mit dem Auskunftsrecht der betroffenen Person (Artikel 15 DSGVO) auf sich hat.
Ein wesentliches Problem ist stattdessen, dass es keine umfassende und zuverlässige Transparenz zu den Daten gibt. Die Suche nach den gewünschten Daten dauert dann zu lange und ist nicht von Erfolg gekrönt, jedenfalls mit Blick auf eine fristgerechte und vollständige Erteilung der Auskunft.
Zusätzlich fehlt häufig ein internes Verfahren, wie korrekt mit einem solchen Auskunftsersuchen nach DSGVO umzugehen ist. Es ist nicht immer klar, wer zuständig ist und wie die Anfrage zu prüfen ist.
Identitätsprüfung bei Auskunftsersuchen
Die Aufsichtsbehörden für den Datenschutz haben ausdrücklich darauf hingewiesen, dass sichergestellt werden muss, dass die zu beauskunftenden Daten nicht unbefugten Dritten zur
Verfügung gestellt werden. Hierauf ist auch insbesondere bei mündlicher oder elektronischer Auskunftserteilung zu achten.
Hat die verantwortliche Stelle im Unternehmen begründete Zweifel an der Identität eines Antragstellers auf Datenauskunft, so können zusätzliche Informationen zur Bestätigung der Identität nachgefordert werden, so die Aufsicht.
Wie aber kann die Identitätsprüfung konkret aussehen? Anstatt alles neu zu überlegen und zu organisieren, lohnt es sich, an die bereits vorhandenen Methoden zur Identitätsprüfung anzuknüpfen.
Hier bietet die IT-Sicherheit mit den zum Beispiel für Kunden etablierten IAM (Identity and Access Management) und damit genauer dem CIAM (Customer IAM) bereits vorhandene Verfahren und Funktionen an, die in vielen Fällen dabei helfen können, die Identität eines Kunden oder einer Kundin zu überprüfen, die oder der eine Datenauskunft nach DSGVO wünscht.
Doch die IT-Sicherheit kann noch mehr leisten, wenn es um die Umsetzung der Auskunftspflichten nach DSGVO geht.
Nicht nur das Verfahrensverzeichnis kann helfen
Schaut man sich an, was eine Datenauskunft enthalten soll, kann es sich zum einen um eine Negativauskunft handeln, für den Fall, dass das Unternehmen keine Daten dieser Person verarbeitet oder die Daten dieser Person zuverlässig anonymisiert wurden.
Bevor man aber diese Negativauskunft macht, muss man auch ganz sicher sein, dass es nicht doch Daten der Person gibt, die in der IT-Infrastruktur des Unternehmens gespeichert sind. Dazu gehören auch die Cloud-Dienste und die mobilen Endgeräte, die betrieblich genutzt werden. Leider werden aber Daten schnell übersehen und womöglich eine Negativauskunft erteilt, weil man nicht alle möglichen Orte der Verarbeitung in Betracht gezogen hat.
Nicht ohne Grund erinnert dies an typische Herausforderungen der IT-Sicherheit. Will man in der IT-Sicherheit die Daten schützen, muss man auch eine Übersicht haben, wo welche Daten zu finden sind, um sie dem Schutzbedarf entsprechend abzusichern.
Während das Verzeichnis der Verarbeitungstätigkeiten Informationen für die Auskunft liefern kann, wenn es zum Beispiel um Verarbeitungszwecke oder Aufbewahrungsfristen geht, können Lösungen aus dem Bereich Data Loss Prevention (DLP) ihre Funktionen zur Datensuche und zur Datenklassifizierung anbieten.
So gehört es zur Auskunft nach DSGVO, welche Kategorien personenbezogener Daten verarbeitet werden, mit Gruppenbezeichnungen wie Gesundheitsdaten, Bonitätsdaten, dies aber kann eine IT-Sicherheitslösung zur Klassifizierung der Daten liefern.
Ebenso ist es für die IT-Sicherheit und auch für den Datenschutz wichtig, woher Daten kommen und wohin sie gegangen sind, um den Datenfluss und auch den möglichen, ungewollten Datenabfluss aufspüren zu können.
IAM und DLP zeigen, wie Synergien zwischen Datenschutz und IT-Sicherheit genutzt werden können
Anstatt also für den Datenschutz komplett neue Verfahren zu überlegen, wie die Identität bei einem Auskunftsersuchen geprüft werden kann, wie man Transparenz in die Datenhaltung bekommt und wie sich die Datenkategorien bestimmen lassen, sollten Unternehmen den reichen Fundus an Security-Funktionen einsetzen, wie die Beispiele IAM und DLP zeigen.
Davon profitieren Datenschutz und Security, denn Zusatzaufwände für den Datenschutz lassen sich verringern, und umgekehrt kann der Datenschutz weitere gute Argumente liefern, warum man zum Beispiel eine professionelle DLP-Lösung anschaffen sollte.
Ein Unternehmen muss (vorbereitend) geeignete organisatorische Maßnahmen treffen, damit die betroffene Person eine beantragte Auskunft zeitnah und in verständlicher Form erhalten kann, so die Aufsichtsbehörden. Da macht es mehr als Sinn, bereits vorhandene Maßnahmen der IT-Sicherheit zu berücksichtigen.
IT-Sicherheit und Datenschutz gehören eng zusammen und sollten auch noch stärker zusammenarbeiten, um Synergien zu nutzen, wie das Beispiel Auskunftspflichten zeigt.
(ID:48938622)