Standard-Datenschutzmodell

In den Zeiten fortschreitender Digitalisierung und der aktuellen DSGVO wird es für Unternehmen, Behörden und Organisationen immer wichtiger, sich intensiv mit den Themen Datenschutz und Datensicherheit auseinanderzusetzen, um den Schutz personenbezogener Daten zu gewährleisten. Und das meint nicht nur die Daten der Kunden. Personenbezogene Daten werden durch die eigenen IT-Systeme kontinuierlich gesammelt, verarbeitet und gespeichert. Es bedarf also einem methodischen Vorgehen, mit dem genau dieser Schutz personenbezogener Daten effektiv umgesetzt werden kann. Das Standard-Datenschutzmodell (kurz: SDM) ist genau so eine Methodik, die unseren kommerziellen Institutionen und Behörden ein geeignetes Instrument an die Hand geben soll, mit der es in Zukunft keine Ausreden für unangenehme Datenschutz-Pannen mehr geben soll. Die Betonung liegt auch hier auf „soll“.

Eine Einführung in das Standard-Datenschutzmodell (SDM)

Seit Anbeginn der 1980er Jahre erfährt das Internet eine stetige Entwicklung. Unternehmen und Investoren erkannten schon im Laufe der 1990er und 2000er Jahre das wirtschaftliche Potential der neuen Technologie und lösten durch umfangreiche Investitionen einen regelrechten Boom in der noch jungen Informationstechnologie aus. Im Jahr 2000 fand diese überschwängliche Zeit mit dem Platzen der Dotcom-Blase jedoch ein jähes Ende.

Informationstechnologie wurde seitdem leistungsfähiger, verständlicher, anwenderfreundlicher und vor allem – bezahlbar. Die Nutzerzahlen stiegen, weil die zur Nutzung nötige Hard- und Software unkompliziert beschafft werden konnte. IT-Systeme dienten nunmehr nicht nur als Arbeitsinstrument in Unternehmen und Wissenschaft, sondern als Freizeitinstrument und Arbeitshilfe für Jedermann und Jederfrau.

Damit rückten die Nutzer in den Fokus der Technologie, die auf die Befriedigung der eigenen Bedürfnisse abzielten. Jeder Nutzer, der Informationstechnologie im Internet verwendet, produziert dabei fleißig ein spezifisches Datenmuster und lässt so ein individuelles Nutzerprofil entstehen, sofern die gesammelten Daten systematisch und IT-gestützt ausgewertet und gespeichert werden.

In der damaligen Zeit hieß das Ganze zwar noch etwas anders als Data-Mining und Big-Data, aber eben diese Datenauswertung macht Firmen wie Google, Facebook oder Amazon in der heutigen Zeit so mächtig. Ab sofort war das Kapital nicht mehr der wesentliche Treiber der Informationstechnologie, sondern die Daten, welche die Informationstechnologie produzierte.

Im Jahre 2017 nutzen mehr als 50% der gesamten Weltbevölkerung regelmäßig das Internet und die damit verbundene Informationstechnologie wie Smartphones, Computer, Bezahlsysteme oder IoT-Gerätschften. Die damit einhergehende Flut an autonom generierten Nutzerdaten wird systematisch von IT-Unternehmen gesammelt, ausgewertet und kommerziell verwendet. Kleine und mittelständische Unternehmen profitieren davon genauso, wie die Unternehmen mit einer großen Anzahl an Nutzern.

Sie verwenden die gesammelten Daten, um eigene Produkte oder Dienstleistungen noch besser an die Anforderungen und Interessen der (potentiellen) Nutzer ausrichten und den Verkauf beeinflussen zu können. An diese Formen des Marketings haben wir uns inzwischen längst gewohnt. Wer im Internet tätig ist, schaltet mit hoher Wahrscheinlichkeit ebenfalls Google Werbeanzeigen oder Facebook-Ads.

Der Wettbewerb und seine Datensammlung

Wir erwarten schon fast mit einem selbstverständlichen Automatismus, dass im Anschluss an unsere Google-Suche nach Sonnenbrillen auch die passenden Angebote über Google’s Display-Netzwerk ausgespielt werden, wenn wir uns im nächsten AdSense-finanzierten Reiseblog über unseren bevorstehenden Travel-Trip nach Bora Bora informieren.

Um dieser schnellen Entwicklung entgegenzuwirken und den Schutz personenbezogener Daten wie Namen, Kontaktdaten, Konsumverhalten oder Interessen zu gewährleisten, verstärkt sich seit den 2010er Jahren Bedarf und Ausprägung von Datenschutzmaßnahmen auf nationaler und internationaler Ebene. Der Datenschutz ist längst zum politischen Thema geworden und bildet einen wichtigen Schwerpunkt für Nutzer und Unternehmen gleichermaßen.

Für den Nutzer geht es um die Bewahrung der individuellen Persönlichkeitsrechte, den Schutz der eigenen Daten und der Intimsphäre, für die Unternehmen um die Einhaltung der geschaffenen Datenschutzgesetze und die Vermeidung empfindlicher Strafen, die in Zeiten der DSGVO auch existenzbedrohend ausfallen können.

Cyber-Kriminalität, Wettbewerbsdruck und sozioökonomische Entwicklung in Gesellschaft und Politik machen einen Ansatz nötig, der den Datenschutz noch weiter in den Interessenschwerpunkt der Unternehmen und Organisationen rückt und die Umsetzung von Datenschutzmaßnahmen mit gesetzlicher Grundlage gezielt vorantreibt.

Genau hier setzt das Standard-Datenschutzmodell ein, das als Konzept und Methode zur Sicherstellung von Datenschutz in Unternehmen eingesetzt wird, um die Risiken durch den Missbrauch von Daten zu minimieren und um die personenbezogenen Daten der Betroffenen zu schützen.

Sogar das SDM hat Geschichte

Der Schutz der Privatsphäre ist nicht erst seit Gründung von Google und Co. ein Thema in Gesellschaft, Politik und Wirtschaft. Seit langer Zeit existieren Richtlinien und Gesetze, wie die ärztliche Schweigepflicht, das Postgeheimnis oder auch das Beichtgeheimnis, mit dem Ziel, den Schutz der Privatsphäre zu gewährleisten und damit auch die personenbezogenen Daten eines jeden Individuums zu schützen. Das mit dem Datenschutz klappt zwar seit jeher mehr oder weniger Gut und lässt sich oftmals durch ausreichend hohe Buchgeldsummen umgehen – im Grunde ist die Idee vom Schutz der Daten aber ja nicht verkehrt.

Auch wenn in den USA in den 1960er Jahren mit dem Aufkommen der Computer-Technologie bereits über die Risiken und Reglementierungen bei der Datenverarbeitung diskutiert wurde, war es das konservativ geprägte Bundesland Hessen, das am 7. Oktober 1970 die erste Fassung eines Deutschen Datenschutzgesetzes verabschiedete. Ziel dieses BSDG-Vorläufers war es, die Verarbeitung von personenbezogenen Daten in Behörden und angrenzenden Institutionen zu reglementieren, um die Wahrung der informationellen Selbstbestimmung zu gewährleisten.

Personenbezogene Daten sind dabei als Einzelangaben über die persönlichenund sachlichen Verhältnisse einer betreffenden natürlichen Person einzustufen (vgl. § 2 Abs. 1 HDSG). Der Begriff der personenbezogenen Daten umfasst alle Informationen, die über die jeweilige Bezugsperson eine explizite Aussage ermöglichen oder sie in Verbindung mit bestimmten Handlungen oder Interessen bringen. Das zeitliche Datum ist dabei irrelevant.

1977 veröffentlichte der Bund aufbauend auf dem hessischen Datenschutzgesetz eine erste Fassung des Bundesdatenschutzgesetzes, das aber 1990 im Zuge des Volkszählungsurteils novelliert wurde und sich datenschutzrechtlich an der Grundsatzentscheidung des Bundesverfassungsgerichts vom 15. Dezember 1983 orientierte. Im Volkszählungsurteil wurde erstmals das Grundrecht auf informationelle Selbstbestimmung als direkter Ausfluss des allgemeinen Persönlichkeitsrechts und der Menschenwürde etabliert (vgl. Datenschutz Hessen).

Das Urteil kann somit als Grundsteinlegung für den modernen Datenschutz angesehen werden und hat dazu geführt, dass die Volkszählung erst im Jahre 1987 unter Berücksichtigung der neuen Datenschutzgesetze durchgeführt wurde. Nach Ansicht des Europäischen Parlamentes leitet sich das Recht auf informationelle Selbstbestimmung aber auch aus Art. 8 Abs. 1 der Europäischen Menschenrechtskonvention ab. Darin heißt es: „Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz.“ (Art.8 Abs.1 EMRK).

Die kontinuierliche Weiterentwicklung in der Informationstechnologie und der rasche Anstieg der Nutzerzahlen aller technologischen Ebenen führte in der Zeit von 2000 bis 2010 zu einigen Novellierungen der Gesetzgebung auf nationaler Ebene im Bundesdatenschutzgesetz sowie im Europäischen Datenschutzrecht.

Mit dem Inkrafttreten der neuen EU-Datenschutz-Grundverordnung (DSGVO) zum 25. Mai 2018 löst die umfangreiche DSGVO die bisherige Datenschutzrichtlinie 95/46/ EG von 1995 ab und etabliert einen umfangreichen Katalog an Vorschriften, der im Unterschied zur ehemaligen EU-Datenschutzrichtlinie unmittelbar in der gesamten Europäischen Union gilt und von jedem EU-Mitgliedsstaat umzusetzen ist (vgl. Art 288 Abs. 2 AEUV).

DSGVO löst das Bundesdatenschutzgesetz ab

Dabei löst die DSGVO auch die nationalen Gesetze wie das Bundesdatenschutzgesetz (auf Basis der Richtlinie 95/46/ EG) vollständig ab und dient so zur „Harmonisierung“ sämtlicher Datenschutzgesetze in der gesamten Europäischen Union. Gleichzeitig tritt jedoch auch eine neue Fassung des Bundesdatenschutzgesetzes in Kraft.

Im Zuge der Modernisierung des Datenschutzrechts hat die Konferenz der Datenschutzbeauftragen des Bundes und der Länder 2010 ein Konzept zur Umsetzung der Datenschutzrechtlichen Schutzziele vorgestellt, die sich durch die technische Entwicklung der letzten Jahrzehnte manifestiert haben. Darin wurden Maßnahmen zur Operationalisierung und Umsetzung der Schutzziele vorgestellt, die mit der endgültigen Veröffentlichung im Oktober 2015 als Standard-Datenschutzmodell (kurz: SDM) bekannt wurde und Unternehmen bei der Umsetzung von Bundesdatenschutzgesetz (und in Zukunft der DSGVO) unterstützen soll. Die Methodik hinter dem SDM schauen wir uns im weiteren Verlauf dieses Themas detaillierter an.

Das Problem mit der Datenverarbeitung

Datenverarbeitende Prozesse sind dabei einer immer stärker werdenden gesetzlichen Regulierung unterstellt, die darauf abzielt, die Datenverarbeitung einheitlich, transparent und möglichst sicher zu gestalten. So soll der Missbrauch von Daten durch Dritte (insbesondere kriminelle Organisationen) erschwert und möglichst unterbunden werden.

Gesetzliche Rahmenwerke, wie das Bundesdatenschutzgesetz (BDSG) oder die EU-Datenschutz-Grundverordnung (DSGVO), geben den international tätigen Unternehmen eine gesetzliche Grundlage für die Umsetzung von Datenschutzmaßnahmen in den datenverarbeitenden Prozessen an die Hand. Doch diese vielfach erschlagenden Gesetzes-Kataloge bringen den meisten CEOs und CIOs nur schlaflose Nächte und halbgare innerbetriebliche Maßnahmenverordnungen, mit denen die oftmals fahrlässig interpretierten Gesetze dann im eigenen Unternehmen durchgebracht werden sollen.

Das ist problematisch, weil der Fokus in vielen Unternehmen lediglich auf der Verhinderung von Bußgeldern durch Verstöße gegen die Datenschutzgesetze gelegt wird und nicht etwa auf den Datenschutz der betroffenen Personen an sich.

Die rechtskonforme Umsetzung von Maßnahmen für den Schutz personenbezogener Daten erfordert aber vielmehr als eine individuelle Interpretation durch einen Vorstand oder Geschäftsführer mit etwas Hintergrundwissen in Sachen Digitalisierung. Viel wichtiger ist ein systematischen Ansatz, mit dem Unternehmen die für sie individuellen Maßnahmen planen und gezielt umsetzen können, ohne dabei ständig in rechtlichen Grauzonen balancieren zu müssen, die durch schlichte Unklarheit auf gesetzlicher Ebene entstehen.

Das Standard-Datenschutzmodell (SDM) ist genau so ein methodischer Ansatz, mit dem Unternehmen, Behörden und Organisationen in Zukunft ein Werkzeug erhalten, das mit Hilfe geeigneter Konzepte zur Datenschutzberatung, Datenschutzprüfung und Datenschutzgewährleistung auf der Basis einheitlicher und vergleichbarer Gewährleistungsziele den Schutz personenbezogener Daten sicherstellen soll.

Das Modell stellt also ein Konzept zur Verfügung, das die in der Informationstechnologie gängigen Gewährleistungsziele Vertraulichkeit, Verfügbarkeit und Integrität um die vier Ziele Datenminimierung, Transparenz, Nichtverkettung und Intervenierbarkeit erweitert.

Diese einheitlichen und vergleichbaren Gewährleistungsziele ermöglichen es einerseits, dass die Prüfung auf Einhaltung der Datenschutzgesetze in den Unternehmen durch Behörden transparent und fair erfolgen kann, auf der anderen Seite können sich Unternehmen oder Organisationen bei der Umsetzung technischer Maßnahmen eng an dem Handlungsrahmen des Standard-Datenschutzmodells orientieren.

In der Theorie führt das SDM nicht nur zu einem ruhigeren Schlafverhalten in der Vorstandsetage. Auch die  rechtssichere Gestaltung der datenverarbeitenden Prozesse, die im Zeitalter der Digitalisierung eine wichtige Grundlage für effiziente Arbeitsweisen im Markt und in Gesellschaft darstellen, hat Vorteile für die datenverarbeitenden Unternehmen und Betroffenen gleichermaßen. Man könnte meinen, dass Datenschutz in Zukunft ein Wettbewerbsvorteil sein kann, sobald sich das Denken in Wirtschaft und Gesellschaft erst einmal breit gemacht hat.