Sie sind hier: Startseite Artikel Nachrichten Prozess für Vorfälle

Prozess für Vorfälle

erstellt von Jan Leendertse Veröffentlicht 12.03.2019 10:27, zuletzt verändert: 12.03.2019 10:27
Die Datenschutz-Grundverordnung (DSGVO) ist seit dem 25. Mai 2018 anzuwendendes Recht. Für Aufregung und Verunsicherung hat sie genügend gesorgt, doch was sind die Schlussfolgerungen für den Umgang mit Daten und die Reaktionen auf Vorfälle?
Prozess für Vorfälle

Prozess für Vorfälle im RZ

Schutzwürdigkeit

Die Schutzwürdigkeit von personenbezogenen Daten hat sich gegenüber der Zeit vor der DSGVO weniger geändert, als das mediale Echo es vermuten lässt. Vorher galt für Universität Freiburg das Landesdatenschutzgesetz (LDSG), das im Zuge des endgültigen Inkrafttreten der DSGVO aktualisiert wurde. Sowohl das LDSG als auch die DSGVO haben zum Ziel, die informationelle Selbstbestimmung zu stärken und Daten im Interessensgegensatz zu großen Unternehmen und öffentlichen Einrichtungen besser zu schützen.


Pflichten der Datenverarbeitenden

In einigen Punkten geht die DSGVO über das bis 2018 geltende LDSG hinaus. Das betrifft vor allem die Pflichten derjenigen, die mit personenbezogenen Daten arbeiten. Systeme sind beispielsweise auf minimale Datenerfassung zu auszulegen. Verarbeitung von Daten ist nur gestattet, wenn eine Einwilligung vorliegt oder eine Rechtsgrundlage vorhanden ist. Das Sammeln von Daten auf Vorrat ist nicht gestattet.

Die Verantwortung besonders der Leitungen in datenerfassenden Stellen rückt viel stärker in den Fokus. Die Rechenschaftspflicht – bei Verstößen muss der oder die Datenverarbeitende belegen, alles Notwendige getan zu haben – bewirkt, dass ein Ignorieren von Datenschutzverstößen nicht mehr zuverlässig vor negativen Folgen für die Institution oder Personen in deren Auftrag schützt.

Eine Vertreterin der Aufsichtsbehörde des Landes Baden-Württemberg hat anlässlich eines Vortrages, Anfang März 2018 von der Internen Weiterbildung organisiert, deutlich gesagt, dass nicht beabsichtigt ist, Mitglieder der Universität zu kriminalisieren. Bedrohungsszenarien sind also fehl am Platz. In ein ähnliches Horn hat die EU-Kommissarin Věra Jourová (Justiz, Verbraucherschutz und Gleichstellung) gestoßen, die als politische Verantwortliche bei der Umsetzung auf den gesunden Menschenverstand setzt.

Als Universität geht es darum, die Pflichten als Provider mit Datenverarbeitung, der sie und die nachgeordneten Instanzen nunmal auch sind, anzunehmen. Die IT-Systeme der Universität wimmeln vor personenbezogenen Daten. Forschung, Lehre und Verwaltung tun sich in dieser Hinsicht nicht viel.

Übersicht gewinnen

Eine Gesamtübersicht, welches System welche Daten über Personen verwaltet, hat niemand. Eine solche Übersicht herzustellen ist Arbeit, die jedoch schon nach dem vorherigen LDGS verpflichtend war. Neue Pflichten gibt es bei der Bearbeitung von Vorfällen, die personenbezogene Daten in Gefahr bringen. Die DSGVO verpflichtet datenverarbeitende Stellen zu einer proaktiven Meldung an die zuständige Aufsichtsbehörde. Nichtbefolgen dieser Vorschrift wird von der DSGVO als strafrechtlich relevant bewertet. Weil es so viele unabhängige Systeme an der Universität Freiburg gibt, sind alle Betreibende in der Pflicht mitzuarbeiten. Jede Einrichtung der Universität sollte eine Übersicht der Daten haben, die Personenbezug haben.

Meldewege

Dem Rechenzentrum kommt insofern eine herausgehobene Bedeutung zu, weil es in der Regel als erstes informiert wird, besonders wenn nur eine IP-Adresse bekannt ist und zuerst eine Zuordnung innerhalb der Universität zu machen ist. In solchen Fällen reicht das Rechenzentrum die Vorfallsmeldung, möglicherweise durch eigene Nachforschungen erweitert, an die Einrichtung auf dem Campus weiter.

Es kann aber in der Mehrzahl nicht beurteilen, ob personenbezogene Daten von dem Vorfall betroffen sind. Das müssen die Betreibende vor Ort selbst feststellen. Falls das Rechenzentrum von Externen, wie beispielsweise Strafvollzugsbehörden, um Herausgabe von Daten gebeten wird, reicht es die Bitte als „Amtshilfe“ weiter.

Die DSGVO setzt auch öffentlichen Einrichtungen eine Frist von 72 Stunden, um Vorfälle zu melden. Dies ist unabhängig davon, ob sie von außen gemeldet, durch regelmäßige Scans oder per Zufall aufgedeckt wurden. Sie wird nicht verlängert durch Wochenenden, Urlaube oder Feiertage, sondern gilt immer für die Organisation als Ganzes. Das heißt, nach dieser Zeit muss der Datenschutzbeauftragte oder andere juristisch Bevollmächtigte der Universität den Vorfall der Aufsichtsbehörde in Baden-Württemberg gemeldet haben. Um solche zeitlichen Vorgaben halten zu können, muss an Stelle von zeitraubenden Ad-Hoc-Maßnahmen ein vorbestimmter Ablauf treten.

Prozess im Rechenzentrum

Das Rechenzentrum hat einen Prozess festgelegt, wie intern auf sicherheitsrelevante Vorfälle reagiert werden soll. Mit ihm soll sichergestellt werden, dass sofort nach Bekanntwerden ein gültiger Zeitstempel für den Beginn der Frist von 72 Stunden gesetzt wird, schnellstmöglich die technischen und vor allem organisatorischen Details des Vorfalls erfasst werden und zügig beurteilt wird, ob personenbezogene Daten gefährdet sind. Falls von einer solchen Gefährdung auszugehen ist, wird das Rechenzentrum die Angelegenheit an den Datenschutzbeauftragten übergeben. Unabhängig von einem möglichen Personenbezug wird der Vorfall in einem Informationssicherheitsmanagementsystem (ISMS) erfasst.

Jan Leendertse