-- WEBONDISK OK --

01630 Data Center Compliance – DSGVO im Rechenzentrum

Die Datenschutz-Grundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten in der europäischen Gemeinschaft. In einem Rechenzentrum kommt es naturgemäß zur Verarbeitung großer Datenmengen. Für die Betreiber von Rechenzentren ist es notwendig, unterscheiden zu können, welche Daten welchem Schutzniveau unterliegen bzw. welche Daten unter die rechtliche Handhabe der DSGVO fallen. Dieser Artikel hilft Verantwortlichen von Rechenzentren dabei, DSGVO-relevante Daten zu identifizieren und eine DSGVO-konforme Umgebung zur Datenverarbeitung zu schaffen. Dies gilt sowohl online, für technische Aspekte der Datenverarbeitung, als auch offline, für notwendige Prozesse, Arbeitsanweisungen und Dokumentationspflichten gegenüber betroffenen Personen, Auftraggebern und Behörden.
von:

1 Data Center Compliance: DSGVO und Rechenzentrum – Wie passt das zusammen?

Enorme Verantwortung
Mitarbeiter eines Rechenzentrums tragen viel Verantwortung. Terabyte an Daten werden täglich verarbeitet. Diese Daten müssen geschützt werden – online wie offline. Verantwortliche im Rechenzentrumsbetrieb müssen Angriffe und unberechtigte Zugriffe durch Cyberkriminelle abwehren und gleichzeitig die physische Sicherheit der Serverlandschaft sowie des Gebäudes gewährleisten. Auch regulatorische Anforderungen werden zukünftig eine noch wichtigere Rolle spielen. Diesbezüglich wurden die Anforderungen an den Datenschutz durch Einführung der Datenschutz-Grundverordnung (DSGVO) deutlich erhöht.
Aufgrund der vielseitigen Herausforderungen beim Betrieb eines Rechenzentrums wird die Datenschutz-Grundverordnung bisweilen vernachlässigt oder mit untergeordneter Priorität behandelt. Dies mag einige Zeit gut gehen, doch früher oder später wird diese Vernachlässigung ihren Tribut fordern. Die DSGVO-Konformität im Nachgang herzustellen zieht einen erheblichen Mehraufwand nach sich.
Als Basis geeignet
Doch die gute Nachricht vorweg: Verantwortliche und Mitarbeiter eines Rechenzentrums werden viel Adaptionspotenzial bei der Umsetzung der DSGVO-relevanten Anforderungen finden. Die Basis dazu bilden gängige Sicherheitsstandards wie ISO 27001 oder der BSI-Grundschutz.
Dieser Beitrag dient dazu, einen ersten Einblick in einen DSGVO-konformen Rechenzentrumsbetrieb zu geben. Die wichtigsten Aspekte der DSGVO werden vermittelt und in einen konkreten, praxisnahen Kontext eingeordnet. Darüber hinaus wird anhand von zwei Fallbeispielen gezeigt, welche Anforderungen die Datenschutz-Grundverordnung an Rechenzentrumsbetreiber stellt und wie diese umgesetzt werden können.

2 Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (DSGVO) ist im Mai 2016 in Kraft getreten und ist nach einer Übergangsfrist von zwei Jahren seit Mai 2018 zwingend anzuwenden. Durch die DSGVO soll das Datenschutzniveau auf europäischer Ebene harmonisiert werden. Im Fokus der DSGVO stehen der Schutz von personenbezogenen Daten und die Möglichkeit jeder natürlichen Person, frei über die Verarbeitung ihrer Daten entscheiden zu können.

2.1 Überblick

Verbot mit Erlaubnisvorbehalt
Die DSGVO basiert auf einem Verbot mit Erlaubnisvorbehalt. D. h., es ist grundsätzlich verboten, personenbezogene Daten zu verarbeiten, es sei denn, eine Rechtsnorm erlaubt die Verarbeitung.
Rechtmäßigkeit
Vor jedem Verarbeitungsprozess steht somit die Rechtmäßigkeit. Die für die Praxis relevantesten Möglichkeiten zur Herstellung der Rechtmäßigkeit sind (vgl. dazu Art. 6 Abs. 1 DSGVO):
die Anbahnung und/oder Durchführung eines Vertrags,
die Einwilligung durch eine betroffene Person,
das berechtigte Interesse des Verantwortlichen,
die Pflicht zur Verarbeitung aufgrund einer Rechtsnorm.
Grundsätze
Ist die Rechtmäßigkeit der Verarbeitung hergestellt, muss sich die verantwortliche Stelle bei jedem Verarbeitungsvorgang an den Grundsätzen der Verarbeitung orientieren (vgl. dazu Art. 5 Abs. 1 DSGVO):
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz,
Zweckbindung,
Datenminimierung,
Richtigkeit,
Speicherbegrenzung,
Integrität und Vertraulichkeit.
Rechenschaftspflicht
Die Einhaltung dieser Grundsätze muss von der verantwortlichen Stelle nachgewiesen werden, woraus sich eine umfangreiche Pflicht zur Rechenschaft ableiten lässt. Diese Rechenschaftspflicht impliziert neben umfangreichen Dokumentationspflichten vor allem die Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten, in dem sämtliche Verarbeitungsprozesse beschrieben und begründet sein müssen (s. Kap. 01620). Darüber hinaus müssen technische und organisatorische Maßnahmen beschrieben und implementiert werden, um die Integrität und Vertraulichkeit gewährleisten zu können (vgl. dazu Art. 5 Abs. 2 DSGVO).
Rechte Betroffener
Des Weiteren ergeben sich durch die DSGVO umfangreiche Rechte für betroffene Personen. Um diesen Personen die Inanspruchnahme ihrer Rechte zu ermöglichen, steht an erster Stelle die Informationspflicht des Verantwortlichen. Denn nur wenn eine Person darüber informiert ist, dass ihre personenbezogenen Daten verarbeitet werden, kann sie auch von ihren diesbezüglichen Rechten Gebrauch machen (vgl. dazu Art. 13 Abs. 1 und 2 DSGVO).

3 Einordnung der Rechenzentren

Für Betreiber von Rechenzentren ergeben sich unterschiedliche Anforderungen, und es gelten verschiedene Rahmenbedingungen bei der Umsetzung der Datenschutz-Grundverordnung, abhängig von der gesellschaftsrechtlichen bzw. organisatorischen Einordnung eines Unternehmens.
Konstellationen
Im Folgenden werden die drei häufigsten Konstellationen kurz beschrieben:
betriebseigenes Rechenzentrum,
Rechenzentrum innerhalb einer Unternehmensgruppe,
Rechenzentrum als Colocation-Anbieter oder Hosting Provider.
In Deutschland betreiben mehr als 40 % der kleinen und mittelständischen Unternehmen eigene Rechenzentren. Dies ist mehr als in den meisten anderen Ländern der Welt. Daher werden im Weiteren vor allem die Herausforderungen des Verantwortlichen eines Unternehmens mit betriebseigenem Rechenzentrum betrachtet.

3.1 Betriebseigenes Rechenzentrum

Ausgangslage
Ein Unternehmen betreibt ein Rechenzentrum, in dem ausschließlich Daten aus der eigenen Geschäftstätigkeit verarbeitet werden. Das Rechenzentrum ist in den Betrieb eingegliedert und stellt keine eigenständige Gesellschaft dar (vgl. Abbildung 1).
Abb. 1: Betriebseigenes Rechenzentrum
Einfachste Konstellation
Diese Konstellation ist im Kontext der DSGVO die trivialste, da ausschließlich Daten aus den eigenen Geschäftstätigkeiten verarbeitet werden. Verantwortlichkeiten lassen sich klar abgrenzen, benötigte neue Prozesse in die vorhandenen Strukturen integrieren und Rechenschafts- und Dokumentationspflichten fallen im Vergleich zu anderen Konstellationen geringer aus.

3.2 Rechenzentrum innerhalb einer Unternehmensgruppe

Ausgangslage
Eine Unternehmensgruppe aus mehreren rechtlich eigenständigen Gesellschaften betreibt ein gemeinsames Rechenzentrum. Das Rechenzentrum ist in eine der Gesellschaften eingegliedert oder firmiert als eigenständige Gesellschaft (vgl. Abbildung 2).
Abb. 2: Rechenzentrum innerhalb einer Unternehmensgruppe
Aufwand steigt
Im Kontext der Datenschutz-Grundverordnung ergeben sich nur wenige Synergieeffekte bei der Nutzung eines gemeinsamen Rechenzentrums innerhalb einer Unternehmensgruppe. Der administrative Aufwand hingegen steigt bei dieser Konstellation.
Die DSGVO behandelt die Gesellschaften einer Unternehmensgruppe so wie einzelne Gesellschaften. Das heißt, jede Gesellschaft verantwortet die Einhaltung der Datenschutz-Grundverordnung im Innen- und Außenverhältnis selbst.
Rechenzentrum wird Auftragsverarbeiter
Die Gesellschaft, die das Rechenzentrum betreibt, tritt gegenüber den angegliederten Gesellschaften, also gegenüber den Nutznießern des Rechenzentrums, als Auftragsverarbeiter auf. Dies führt dazu, dass für jede Verarbeitungstätigkeit mit Bezug zu personenbezogenen Daten ein Auftragsverarbeitungsvertrag zwischen den Einzelgesellschaften geschlossen werden muss. Alternativ kann auch ein Intercompany Agreement ausgearbeitet werden. Dieses stellt im Prinzip eine Sammlung bzw. Vereinheitlichung der benötigten Auftragsverarbeitungsverträge dar. Die Mindestanforderungen an Auftragsverarbeitungen haben dabei nach wie vor Bestand (vgl. dazu Art. 28 DSGVO).
Problem gewachsene Strukturen
Aufgrund von gewachsenen Prozessen und Organisationsstrukturen der Gesellschaften ist in der Praxis oftmals eine trennscharfe Abgrenzung zwischen der auftraggebenden Gesellschaft und dem Rechenzentrumsbetreiber schwierig zu realisieren, was wiederum zu Herausforderungen bei der rechtssicheren Umsetzung der DSGVO führen kann.

3.3 Rechenzentrum als Colocation-Anbieter oder Hosting Provider

Klassischer Auftragsverarbeiter
Ein Rechenzentrumsbetreiber, der ausschließlich als Colocation-Anbieter oder Hosting Provider auftritt, ist im Kontext der Datenschutz-Grundverordnung ein klassisches Beispiel für einen Auftragsverarbeiter (vgl. Abbildung 3).
Abb. 3: Rechenzentrum als Colocation-Anbieter und/oder Hosting Provider
Für diese Konstellation lassen sich die bereits beschriebenen DSGVO-relevanten Sachverhalte übernehmen (s. Abschnitt 3.2).
Scharfe Abgrenzung gegeben
Da es sich jedoch in der Regel um ein klassisches Verhältnis von Auftraggeber (Kunde) und Auftragnehmer (Colocation/Hosting) handelt und es keine gesellschaftsrechtlichen und organisatorischen Verflechtungen gibt, lässt sich in der Praxis eine scharfe Abgrenzung der Verantwortlichkeiten und Verpflichtungen schaffen. Die Einhaltung sowie die Umsetzung der Datenschutz-Grundverordnung sind somit deutlich einfacher zu realisieren.

4 Verantwortlichkeiten

Drei Akteure
Die DSGVO beschreibt im Wesentlichen drei Akteure. Neben den betroffenen Personen sind besonders der Verantwortliche und der Auftragsverarbeiter gesondert zu betrachten. Denn nur eine klare Zuteilung der Rollen innerhalb eines Verarbeitungsprozesses schafft die Grundlage für eine rechtssichere Umsetzung der DSGVO im Rechenzentrumsbetrieb. Maßgeblich bestimmt wird diese Rollenzuteilung durch die bereits beschriebenen unterschiedlichen Konstellationen (s.  Abschnitt 3).

4.1 Verantwortlicher (DSGVO) – Betriebseigenes Rechenzentrum

Geschäftsführung
Ein Unternehmen mit betriebseigenem Rechenzentrum (vgl. Abschnitt 3.1) hat nur einen Verantwortlichen. Es findet keine Auftragsverarbeitung statt. Verantwortlicher im Sinne der DSGVO ist die natürliche oder juristische Person, die über den Zweck und die Mittel einer Datenverarbeitung bestimmt. Der Verantwortliche stellt die Rechtmäßigkeit der Verarbeitung sicher und verantwortet die Einhaltung der DSGVO. Verantwortlicher ist immer die Geschäftsführung, nie ein Mitarbeiter aus dem Rechenzentrumsbetrieb (vgl. dazu Art. 4 Nr. 7 DSGVO).

4.2 Auftragsverarbeiter (DSGVO) – Unternehmensgruppe und Colocation/Hosting

Verlängerter Arm des Verantwortlichen
Zu einer Auftragsverarbeitung kommt es nur im Außenverhältnis zweier Unternehmen bzw. einer natürlichen Person (z. B. Einzelunternehmer) zu einem Unternehmen. Ein Auftragsverarbeiter verarbeitet personenbezogene Daten nach Weisung und im Auftrag eines Verantwortlichen. Dabei entscheidet weiterhin der Verantwortliche allein über die Art und den Rechtfertigungsgrund einer Datenverarbeitung. Der Auftragsverarbeiter ist der „verlängerte Arm” des Verantwortlichen. Dennoch unterliegt auch der Auftragsverarbeiter einer Reihe von Pflichten, die die DSGVO näher beschreibt (vgl. dazu Art. 28 DSGVO).

5 Kategorien personenbezogener Daten

Schutzniveau
Das Schutzniveau von Daten richtet sich in der Regel nach deren Schutzwürdigkeit. Dies gilt in besonderem Maße auch für den Schutz von personenbezogenen Daten. Daher ist es für einen Verantwortlichen im Rechenzentrumsbetrieb unerlässlich zu wissen, welche Arten von personenbezogenen Daten es gibt und in welche Kategorien sich diese einteilen lassen.
Personenbezogene Daten
Nach der DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies können z. B. sein (vgl. dazu Art. 4 Nr. 1 DSGVO):
Name
Geburtsdatum
Wohnort
Anschrift
Telefonnummer
E-Mail-Adresse
Diese Daten dürfen unter bestimmten Umständen auch ohne die Einwilligung der betreffenden Person verarbeitet werden.
Besonders schutzwürdige Daten
Davon abzugrenzen sind personenbezogene Daten besonderer Kategorien, die einen höheren Schutzbedarf aufweisen. Diese Daten dürfen in der Regel nur verarbeitet werden, wenn eine Einwilligung der betroffenen Person vorliegt. Zu diesen Daten gehören z. B. Informationen über die
rassische und ethnische Herkunft,
politische Meinung,
religiöse Überzeugung,
Gewerkschaftszugehörigkeit,
genetischen und biometrischen Merkmale,
Gesundheit oder
sexuelle Orientierung.
Erhöhtes Schutzniveau
Sollten diese besonders schutzwürdigen Daten verarbeitet werden, so unterliegen diese einem erhöhten Schutzniveau, das durch den Verantwortlichen zu realisieren ist. Wie die Umsetzung eines erhöhten Schutzniveaus aussehen kann, muss technisch und organisatorisch geplant werden und ist individuell unterschiedlich. Wichtig ist dabei in erster Linie, das Bewusstsein des Verantwortlichen dafür zu schaffen, dass nicht alle personenbezogenen Daten einen einheitlichen Schutzbedarf aufweisen und dass dieser Umstand bei der Planung von Sicherungsmaßnahmen Berücksichtigung finden muss (vgl. dazu Art. 9 Abs. 1 und Abs. 2a).

6 Datenschutzfolgeabschätzung

Aufzeigen von Risiken
Die Datenschutzfolgeabschätzung ist ein Konstrukt zum Aufzeigen von Risiken einer Datenverarbeitung. Dem Zweck einer Datenverarbeitung werden die etwaigen Folgen für eine betroffene Person gegenübergestellt. Eine gründliche Abwägung soll ergeben, ob eine Verarbeitung vertretbar ist oder ob ggf. gesonderte Maßnahmen zu treffen sind, um eine Verarbeitung rechtfertigen zu können. Eine Datenschutzfolgeabschätzung kann auch zum Ergebnis kommen, dass eine Verarbeitung bestimmter personenbezogener Daten nicht rechtmäßig ist und auch durch z. B. die Einführung weiterer Schutzmaßnahmen nicht zu rechtfertigen sein wird. Die Datenschutzfolgeabschätzung dient dem Verantwortlichen als Handlungs- bzw. Entscheidungsvorlage und weist gegenüber den zuständigen Behörden nach, dass sich der Verantwortliche intensiv mit dieser Fragestellung befasst hat. Eine umfassende Dokumentation ist daher unerlässlich. Auch die Einführung eines Prozesses zur Durchführung einer Datenschutzfolgeabschätzung ist zu empfehlen.
Muss-Listen
Die Datenschutzbehörden der Länder stellen konkrete Hilfestellungen in Form von „Muss-Listen” bereit. Eine Datenschutzfolgeabschätzung muss in der Regel dann durchgeführt werden, wenn mindestens zwei der folgenden Kriterien zutreffen (vgl. [1]):
Verarbeitung vertraulicher oder höchst persönlicher Daten
Verarbeitung von Daten schutzwürdiger Betroffener (z. B. Kinder)
Datenverarbeitung im großen Umfang (Big Data Analysis)
systematische Überwachung von Personen
innovative Nutzung oder Anwendung neuer Technologien
Bewertung oder Einstufung von Personen (Scoring)
Abgleich oder Zusammenführung von Datensätzen
automatisierte Entscheidungsfindung mit Rechtswirkung für betreffende Person
Je mehr der genannten Punkte zutreffen, desto dringlicher und wichtiger ist die Durchführung einer Datenschutzfolgeabschätzung. Die Einbindung des Datenschutzbeauftragten ist dann unerlässlich (vgl. dazu Art. 35 DSGVO).

7 Technische und organisatorische Maßnahmen

Abb. 4: Technische und organisatorische Maßnahmen
Geeignete Maßnahmen nachweisen
Zur Herstellung und Aufrechterhaltung einer sicheren Verarbeitung von personenbezogenen Daten und um den Nachweis dafür zu erbringen, dass Datenverarbeitungen im Sinne der DSGVO erfolgen, ist jede verantwortliche Person verpflichtet, ausreichende technische und organisatorische Maßnahmen zu treffen und diese zu beschreiben. Die Beschreibung der Maßnahmen darf an dieser Stelle nicht unterschätzt werden. Sollte es zu Prüfungen durch eine Aufsichtsbehörde kommen, wird dies eines der ersten angeforderten Dokumente sein. Die Beschreibung kann anhand eines eigenständigen Maßnahmenkatalogs erfolgen oder auch durch die Eingliederung in bereits bestehende Sicherheitskonzepte (z. B. basierend auf ISO 27001/ISO 27002, BSI IT-Grundschutz). Darüber hinaus ist es wichtig, dass die technischen und organisatorischen Maßnahmen regelmäßig auditiert und an den Stand der Technik angepasst werden. Dieses Vorgehen ist prozessual zu beschreiben und zu dokumentieren. Auch dabei empfiehlt sich eine Aufnahme in bereits bestehende Auditprozesse (vgl. dazu Art. 32 DSGVO).

7.1 Technische Maßnahmen

Zugriff, Verlust, Integrität, Vertraulichkeit
Technische Maßnahmen zur sicheren Verarbeitung von personenbezogenen Daten zielen konkret auf die technische Sicherheit und Leistungsfähigkeit der Systeme, der Hard- und Software sowie sonstiger relevanter Bereiche (z. B. die Gebäudesicherheit) ab und sollen vor unbefugtem Zugriff und Verlust schützen sowie Integrität und Vertraulichkeit gewährleisten.
Stand der Technik
Die Maßnahmen müssen dem Stand der Technik entsprechen und im Verhältnis zur Menge der verarbeiteten Daten sowie zu deren Schutzbedarf und der individuellen Gefährdungslage stehen. Daher ist eine Pauschalisierung der nötigen Maßnahmen nicht möglich. Im Folgenden einige Beispiele technischer Maßnahmen (vgl. Abbildung 5):
Verschlüsselung der Datenübertragung
Erstellung von Back-ups
Redundante Provideranbindung
USV und Notstromaggregat
Zutrittsbeschränkungen (Schleusen, Schranken etc.)
Zutrittsüberwachung (Videoüberwachung)
Feuerlöschanlage
Firewall und Antivirenprogramm
Abb. 5: Beispiele technischer Maßnahmen
In der Praxis wird ein Rechenzentrumsbetreiber bei der Implementierung bzw. bei der Prüfung der bereits umgesetzten Maßnahmen viel Adaptionspotenzial entdecken. Denn naturgemäß sollten technische Sicherheitsstandards in einem Rechenzentrum hoch sein. Darüber hinaus sind viele Rechenzentren nach gängigen Sicherheitsstandards zertifiziert. Seitens des Verantwortlichen sollte geprüft werden, ob die bereits vorhandenen und ggf. zertifizierten Sicherheitsstandards auch dem Schutz der verarbeiteten personenbezogenen Daten genügen. In der Praxis sollte dies in vielen Fällen so sein.

7.2 Organisatorische Maßnahmen

Organisatorische Maßnahmen sind alle nicht technischen Maßnahmen, die zur sicheren Verarbeitung und zur Aufrechterhaltung eines hohen Schutzniveaus beitragen.
Beispiele
Auch die organisatorischen Maßnahmen sind an den individuellen Sicherheitsbedarf des Rechenzentrums anzupassen und somit nicht pauschalisierbar. Im Folgenden einige Beispiele organisatorischer Maßnahmen (vgl. Abbildung 6):
Zugriffsrechte auf Arbeitsplatzrechner und Applikationen & Programme
Zugriffsrechte sollten je als Einzelpasswort an die entsprechenden Rolleninhaber vergeben werden. Die Nutzung eines Passworts durch mehrere Rolleninhaber muss ausgeschlossen sein. Passwörter sollten regelmäßig geändert werden.
Zutrittsberechtigungen für das Rechenzentrum
Dauerhafte Zutrittsberechtigungen sollten nur in Ausnahmefällen vergeben werden.
Ein Zutrittsprozess sollte eingeführt werden (wer darf wann in das Rechenzentrum und mit welcher Begründung).
Business Continuity Management
Der Rechenzentrumsbetrieb darf nicht von einzelnen Personen abhängig sein, Vertretungsregelungen sollten etabliert sein.
Sicherheitsüberprüfungen
Mitarbeiter externer Dienstleister sollten einer regelmäßigen Sicherheitsüberprüfung unterzogen werden.
Back-up- und Recoverypläne
Prozesse zur Datensicherung und -wiederherstellung sollten definiert sein.
Zugangsbeschränkung
Mitarbeiter sollten nur die Bereiche des Rechenzentrums betreten dürfen, die für ihre Arbeit notwendig sind, z. B. Trennung zwischen Technischer Gebäudeausrüstung und IT.
Auditierung
Sämtliche organisatorischen Maßnahmen sollten einem Auditierungsplan unterliegen.
Abb. 6: Beispiele organisatorischer Maßnahmen
Die organisatorischen Maßnahmen bilden den Konterpart zu den technischen Maßnahmen. Erst durch das Zusammenspiel beider kann eine sichere Datenverarbeitung gewährleistet werden. Für Verantwortliche eines Rechenzentrums gilt es sämtliche Prozesse, Arbeits- und Verfahrensanweisungen sowie bestehende Dokumentationspflichten einer kritischen Prüfung zu unterziehen und sie an die Bedürfnisse einer DSGVO-konformen Organisation anzupassen. Vor allem Verantwortliche von zertifizierten Rechenzentren werden Adaptionspotenziale finden.

7.3 Beispiel aus der Praxis – Einführung einer technischen Maßnahme

Ausgangssituation
Ein Unternehmen mit betriebseigenem Rechenzentrum (vgl. Abschnitt 3.1) möchte im Rahmen der Verbesserung der Zutrittskontrollen zum Rechenzentrum eine Vereinzelungsanlage mit biometrischer Überprüfung (z. B. Fingerabdrucksensor, Irisscanner, Venenscanner o. Ä.) einsetzen (vgl. dazu auch [2]).
Einordnung
Der Zweck dieser Maßnahme liegt auf der Hand: Die Zutrittskontrolle zum Rechenzentrum soll gesondert gesichert werden, um damit einen höheren Schutz der im Rechenzentrum verarbeiteten Daten zu erzielen – aus Sicht der Datensicherheit also eine folgerichtige und logische Überlegung. Die DSGVO betrifft allerdings alle Personen, d. h. auch jene, deren Daten nicht (hauptsächlich) im Rechenzentrum verarbeitet werden, sondern die durch ihre alltägliche Arbeit im und um das Rechenzentrum personenbezogene Daten offenlegen müssen, also in diesem Fall interne und externe Mitarbeiter des Unternehmens. Diese Daten unterliegen ebenfalls der Datenschutz-Grundverordnung. Im Fokus der folgenden Ausführung steht also der Schutz der personenbezogenen Daten der Mitarbeiter, die die Vereinzelungsanlage nutzen und für diesen Zweck personenbezogene Daten offenlegen müssen.
Fragestellung
Was muss der Verantwortliche tun, um das Vorhaben DSGVO-konform umzusetzen?
DSB einbeziehen
Bei einem Vorhaben wie diesem sollten immer frühzeitig der Datenschutzbeauftrage (DSB) des Unternehmens und die entsprechenden Fachabteilungen eingebunden werden. Ist dies geschehen, folgt die gemeinsame, konzeptionelle Ausgestaltung und Umsetzung.
Zweck
Im ersten Schritt muss dazu der Zweck der Einführung einer biometrischen Vereinzelungsanlage bekannt sein. Dieser Zweck ist nach den vorangegangenen Erläuterungen bekannt und kann als „Erhöhung der Datensicherheit” definiert werden.
Datenkategorien
Diesem Zweck sind nun die Folgen der Verarbeitung personenbezogener Daten zur Nutzung der Anlage gegenüberzustellen. Dafür muss sich der Verantwortliche über die Arten der verarbeiteten personenbezogenen Daten sowie deren Datenkategorien klarwerden (vgl. Abschnitt 5).
Datenminimierung
Im Rahmen der Datenminimierung (vgl. Abschnitt 2.1) dürfen nur die notwendigsten Daten verarbeitet werden. In diesem Beispiel könnten das z. B. folgende Daten sein:
Vor- und Zuname
Mitarbeiter-ID oder Personalausweisnummer
Ggf. Fremdfirma
Biometrische Daten in Form von z. B. Venen- oder Irismuster, Fingerabdruck etc.
Datum und Uhrzeit des Aufenthalts im Rechenzentrum
Zweck des Aufenthalts im Rechenzentrum
Besonders schutzwürdige Daten
Von den genannten Daten fallen die biometrischen Merkmale einer Person in die Kategorie der besonders schutzwürdigen Daten. Die weiteren Daten unterliegen in diesem Kontext der allgemeinem Schutzwürdigkeit.
Datenschutzfolgeabschätzung
Da besonders schutzwürdige Daten verarbeitet werden, muss der Verantwortliche prüfen, ob eine Datenschutzfolgeabschätzung durchzuführen ist. Eine Vereinzelungsanlage mit Nutzung biometrischer Daten kann als Nutzung innovativer Technologien gewertet werden. In dieser Kombination ist eine Datenschutzfolgeabschätzung durchzuführen (vgl. Abschnitt 6).
Ergebnis
Das Ergebnis der Datenschutzfolgeabschätzung wird in diesem Fall positiv ausfallen. D. h., das Vorhaben kann umgesetzt werden, da die Erhöhung der Sicherheit der im Rechenzentrum verarbeiteten Daten die Nutzung von besonders schutzwürdigen personenbezogenen Daten überwiegt, gerade auch weil es sich in der Regel um die Erhöhung der Sicherheit einer Vielzahl von Datensätzen handelt, denen die Nutzung einiger weniger biometrischer Daten gegenübersteht. Allerdings muss die Rechtsgrundlage zur Verarbeitung besonders schutzwürdiger personenbezogener Daten in der Datenschutzfolgeabschätzung klar benannt werden. Die Rechtsgrundlage kann je nach Situation eine unterschiedliche sein. Besteht z. B. bereits eine Betriebsvereinbarung, die auf der Basis vorgenannter Gründe ausgehandelt wurde, kann die Verarbeitung der Daten auf dieser Grundlage stattfinden. Aber auch aus der DSGVO lässt sich eine Rechtsgrundlage für diesen Fall ableiten. Weiterführende Informationen dazu finden Sie u. a. auf den Seiten des Bundesverbandes IT-Sicherheit e. V. (TeleTrusT) [3].
Zusätzliche Maßnahmen
Des Weiteren muss ein Prozess beschrieben und eingeführt werden, der die verarbeiteten biometrischen Daten in besonderer Weise schützt.
Vorgehen
Nachdem der verantwortlichen Person nun klar ist, dass das Vorhaben umgesetzt werden kann, müssen weitere Überlegungen zum konkreten Vorgehen getroffen werden:
Information der (internen und externen) Mitarbeiter
Betroffene interne sowie externe Mitarbeiter müssen vor Nutzung der biometrischen Vereinzelungsanlage über die Verarbeitung ihrer Daten sowie ihre daraus resultierenden Rechte informiert werden.
Löschfristen
Lösch- bzw. Aufbewahrungsfristen müssen definiert und dem Schutzniveau der Datenkategorien angepasst sein. Da es sich um besonders schutzwürdige Daten handelt, muss die Aufbewahrungsfrist kurz gehalten werden.
Prozess zur Datenverarbeitung
Eine Prozessbeschreibung von der Aufnahme bis zur Löschung der Daten muss erstellt und durch zuständige Mitarbeiter des Rechenzentrumsbetriebs umgesetzt werden.
Aufnahme der Daten ins Verarbeitungsverzeichnis
Die Datenkategorien müssen in das unternehmensweite Verarbeitungsverzeichnis aufgenommen werden.
Zugriffsrechte
Zugriffsrechte für entsprechende Datensätze müssen deren Schutzniveau angepasst sein.
Abstimmung mit dem Betriebsrat
Sollte es im Unternehmen einen Betriebsrat geben, aber noch keine entsprechende Betriebsvereinbarung zur Datenverarbeitung, muss dieser informiert und eingeschaltet werden.
Hard- und softwareseitiger Schutz der Daten
Die verarbeiteten Daten müssen sowohl hard- als auch softwareseitig dem besonderen Schutzbedarf entsprechend geschützt werden.
Auditierung von Prozessen
Alle in diesem Kontext definierten und umgesetzten Prozesse müssen einer regelmäßigen Auditierung unterliegen bzw. in bestehende Auditierungspläne aufgenommen werden.
Dokumentation
Es muss sichergestellt werden, dass eine fortwährende Dokumentation der Nutzung der Vereinzelungsanlage sichergestellt ist, z. B. Dokumentation der Information an die Mitarbeiter, Dokumentation der Löschung von Datensätzen nach Fristablauf etc.
Auch in diesem konkreten Beispiel aus der Praxis lässt sich feststellen, dass jedes Unterfangen individuell betrachtet werden muss und eine Pauschalisierung nicht vollends möglich ist. Wichtig ist und als konkrete Hilfestellung dient die Orientierung an den Grundsätzen der Verarbeitung von personenbezogenen Daten (vgl. Abschnitt 2.1).

7.4 Beispiel aus der Praxis – Einführung einer organisatorischen Maßnahme

Ausgangssituation
Ein Unternehmen mit betriebseigenem Rechenzentrum (vgl. Abschnitt 3.1) möchte Teile der Serverlandschaft erneuern und muss dazu veraltete Server austauschen. Auf den Festplatten der veralteten Server wurden zumindest teilweise personenbezogene Daten gespeichert. Eine Wiederherstellung der Daten könnte durch entsprechenden Einsatz von Technik möglich sein. Um dies zu verhindern, sollen die Festplatten endgültig vernichtet werden. Dazu möchte sich der Verantwortliche des Rechenzentrums eines externen, spezialisierten Dienstleisters bedienen.
Einordnung
Die DSGVO umfasst jegliche Teile der Verarbeitung von personenbezogenen Daten. Das heißt, von der Datenaufnahme bis zur endgültigen Löschung der Daten unterliegen diese der Datenschutz-Grundverordnung. Die Datenlöschung bzw. -vernichtung ist also auch ein Verarbeitungsprozess im Sinne der DSGVO (vgl. dazu Art. 4 Nr. 2 DSGVO).
Fragestellung
Auf welche Gegebenheiten muss der Verantwortliche eines Rechenzentrums achten, um den Prozess der Datenlöschung bzw. der Datenvernichtung rechtskonform umzusetzen?
DSB einbeziehen
Auch bei diesem Vorhaben gilt es frühzeitig den Datenschutzbeauftragten und die entsprechenden Fachabteilungen zu involvieren.
Auftragsverarbeiter
Ist dies geschehen, muss zuallererst das Verhältnis zwischen dem Unternehmen und dem Dienstleister betrachtet werden. Sobald der Verantwortliche ein externes Unternehmen mit der Verarbeitung von personenbezogenen Daten beauftragt, handelt es sich um ein Verhältnis im Sinne der Auftragsverarbeitung. Ein Auftragsverarbeiter handelt nur nach Anweisung eines Verantwortlichen und trägt keine Verantwortung für den Zweck einer Datenverarbeitung.
Vorgehen
Ist dem Verantwortlichem der rechtliche Kontext bewusst, in dem sich das beschriebene Szenario abspielt, müssen folgende weiteren Begebenheiten bedacht werden:
Abbau der Server bzw. Ausbau der Festplatten
Die Integrität und Vertraulichkeit der Daten muss auch während des Abbaus gewährleistet sein. Daher darf für den Abbau der Server sowie für den Ausbau der Festplatten nur autorisiertes Personal eingesetzt werden. Externe Dienstleister sollten daher gesondert auf die Einhaltung der Vertraulichkeit verpflichtet werden.
Lagerung der Festplatten
Die Festplatten müssen bis zur Abholung durch den Dienstleister sicher verwahrt werden. Dabei müssen dieselben Sicherheitsstandards angewandt werden wie auch im aktiven Betrieb.
Auswahl des Dienstleisters
Der Verantwortliche bleibt im Außenverhältnis immer verantwortlich für die dem Dienstleister übergebenen Datensätze. Daher ist es unabdingdar auf professionelle und ggf. auch zertifizierte Dienstleister zu setzen. Aufgrund von Haftbarkeitsfragen sollte dies im Eigeninteresse des Verantwortlichen liegen.
Rechtssicherer Vertrag mit dem Dienstleister
Es ist zwingend erforderlich, dass ein Vertrag zur Auftragsverarbeitung personenbezogener Daten geschlossen wird. Darin wird unter anderem der konkrete Auftrag definiert, und der Auftragnehmer verpflichtet sich zur Einhaltung der ihn betreffenden Regelungen der DSGVO. Dem Verantwortlichem steht in diesem Kontext auch ein Recht zur Überprüfung zu.
Dokumentation
Jede Vernichtung von personenbezogenen Daten muss dokumentiert werden. Der Verantwortliche muss daher eine Möglichkeit finden, wie der Lösch- bzw. Vernichtungsvorgang nachgewiesen werden kann.
Ersatzdienstleister
Sollte der Servertausch nicht einmalig, sondern sukzessive über den Betrieb des Rechenzentrums stattfinden, ist es erforderlich, einen weiteren Dienstleister einzubinden bzw. kurzfristig abrufen zu können. Der Ausfall eines Dienstleisters rechtfertigt nicht, dass personenbezogene Daten länger vorgehalten werden als nötig.
Prozess
Es muss ein unternehmensinterner Prozess beschrieben und eingeführt werden, der neben Dokumentationspflichten die einzelnen Prozessschritte verständlich darlegt. Eine DSGVO-konforme Datenvernichtung muss auch bei Ausfall der zuständigen Mitarbeiter gesichert sein.
Beachtet der Verantwortliche o. g. Hinweise, steht einer DSGVO-konformen Umsetzung in der Regel nichts im Wege. Natürlich muss auch dabei eine Prüfung auf individuelle und ggf. weitreichendere Maßnahmen erfolgen.

8 Fazit

Die DSGVO begleitet den gesamten Verarbeitungsprozess personenbezogener Daten und zieht sich somit durch den gesamten Rechenzentrumsbetrieb. Vielen Verantwortlichen ist dieser Zusammenhang nicht oder nicht ausreichend bewusst, oder es werden die daraus resultierenden Herausforderungen unterschätzt. Die DSGVO greift sowohl auf technischer als auch auf organisatorischer Ebene in den Betrieb ein. Der Verantwortliche eines Unternehmens sowie das IT Management müssen sich dieser Situation bewusst werden und die Anforderungen der DSGVO als festen Bestandteil in die Betriebsplanung aufnehmen. Es ist nicht unwahrscheinlich, dass Unternehmen in der nahen Zukunft durch die Datenschutzbehörden einer Prüfung unterzogen werden. Auch die DSGVO-relevanten Fragestellungen den Rechenzentrumsbetrieb betreffend werden bei einer solchen Prüfung betrachtet. Die DSGVO im Rechenzentrumsbetrieb außer Acht zu lassen ist keine Lösung und wird die Verantwortlichen vor noch größere Herausforderungen stellen.
Als Orientierungshilfe zur Umsetzung der DSGVO können die bekannten Normen und Sicherheitskataloge herangezogen werden. Auch ein Blick in den Gesetzestext schadet an dieser Stelle nicht. Dies sollte den Einstieg in einen DSGVO-konformen Rechenzentrumsbetrieb deutlich vereinfachen. Darüber hinaus sollten proaktiv entsprechende Fachabteilungen und der Datenschutzbeauftragte des Unternehmens involviert werden. Einzelkämpfer werden es aufgrund der Komplexität der Anforderungen schwer haben. Die DSGVO ist eine Teamaufgabe.

Weiterlesen und „IT-Servicemanagement digital“ 4 Wochen gratis testen:

  • IT-Servicemanagement nach ISO 20000, IT Governance und IT Compliance
  • Zugriff auf über 220 Fachbeiträge und 160 Arbeitshilfen
  • Onlinezugriff – überall verfügbar


Sie haben schon ein Abonnement oder testen bereits? Hier anmelden

Ihre Anfrage wird bearbeitet.
AuthError LoginModal