Alkemade IT-Security e.K. - Datenschutz & IT-Sicherheit · externer Datenschutzbeauftragter · Frankfurt · Mainz · Wiesbaden · Gießen · Marburg · Wetzlar · Bad Homburg · Friedberg · Bad Nauheim

Durch das im Grundgesetz normierte Recht auf informationelle Selbstbestimmung, die Forderungen der Datenschutz-Grundverordnung (DS-GVO), des Bundesdatenschutzgesetzes (BDSG) und weiterer einschlägiger Gesetze, Vorschriften und Empfehlungen und nicht zuletzt durch die immer weiter zunehmende Möglichkeit der massenhaften Speicherung und Weitergabe von Daten gewinnt der Schutz personenbezogener Daten einen immer höher werdenden Stellenwert. Datenschutz und IT-Sicherheit sind damit wichtige Grundpfeiler unserer, zunehmend von Technik geprägten, modernen Gesellschaft.

Mit Austausch von Bilddaten über telemedizinische Anwendungen oder der Einführung Cloud-basierter Dienste müssen im Gesundheitswesen zunehmend nachvollziehbare und dokumentierte technische und organisatorische Datenschutzmaßnahmen umgesetzt werden, die den ausschließlich berechtigten Zugriff auf die verarbeiteten Gesundheitsdaten gewährleisten.

Artikel 37 DS-GVO in Verbindung mit § 38 BDSG verpflichtet Unternehmen, die ständig personenbezogene Daten EDV-gestützt verarbeiten, eine oder einen Datenschutzbeauftragten zu benennen, wenn damit mindestens 20 Personen beschäftigt sind.

Soweit nicht-öffentliche Stellen Verarbeitungen vornehmen, die mit besonderen Risiken für die Betroffenen verbunden sind (die Verarbeitung unterliegt der Datenschutz-Folgenabschätzung nach Artikel 35 DS-GVO oder es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet), haben sie unabhängig von der Anzahl der Beschäftigten eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Die Benennung zur oder zum Datenschutzbeauftragten erfordert neben der gebotenen Zuverlässigkeit die zur Erfüllung seiner Aufgaben notwendige Fachkunde, die sich insbesondere an dem Umfang der Datenverarbeitung und dem Schutzbedarf der personenbezogenen Daten auszurichten hat. Mit dieser Aufgabe kann auch eine externe Person außerhalb des Unternehmens betraut werden.

Aufgaben des Datenschutzbeauftragten
Die Aufgaben der oder des Datenschutzbeauftragten ergeben sich aus Artikel 39 DS-GVO:

Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DS-GVO sowie nach sonstigen Datenschutzvorschriften;
Überwachung der Einhaltung der DS-GVO, anderer Datenschutzvorschriften sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
Beratung - auf Anfrage - im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DS-GVO;
Zusammenarbeit mit der Aufsichtsbehörde;
Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 DS-GVO, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch - ob unbeabsichtigt oder unrechtmäßig - Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

Vernichtung von Datenträgern
Jeder, der selbst oder im Auftrag personenbezogene oder sensible Daten verarbeitet, hat eine datenschutzgerechte Vernichtung von Datenträgern mit schutzbedürftigen Informationen sicherzustellen. Dahingehend wird im BDSG-alt "Löschen" als das Unkenntlich machen gespeicherter personenbezogener Daten definiert, während im Sinne der EU-DSGVO der Ausdruck "Verarbeitung" jeden Vorgang im Zusammenhang mit personenbezogenen Daten wie das Erfassen, das Löschen oder die Vernichtung bezeichnet.

Die Einhaltung von Lösch- und Aufbewahrungsfristen wird durch die DS-GVO, das BDSG sowie durch weiterführende Gesetze geregelt. Insbesondere im Gesundheitswesen gelten Dokumentationspflichten von Patientendaten nach den Vorschriften des Patientenrechtegesetzes (insbesondere gemäß § 630f Bürgerliches Gesetzbuch), den Berufsordnungen für Ärztinnen und Ärzte der jeweiligen Landesärztekammern und weiterer Gesetze wie z.B. der Abgabenordnung, dem Transfusionsgesetz, dem Medizinproduktegesetz oder dem Strahlenschutzgesetz.

Gemäß Artikel 17 EU-DSGVO in Verbindung mit § 35 BDSG sind personenbezogene Daten u.a. zu löschen, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist. Damit ist die Datenträgervernichtung auch eine technisch-organisatorische Maßnahme zur Sicherstellung, dass auf personenbezogene Daten kein Zugriff durch Unbefugte erfolgen kann (Sicherstellung der Vertraulichkeit).

Für die gesicherte Vernichtung verschiedenartiger Datenträger bildet die Norm DIN 66399 den Stand der Technik in der Datenträgervernichtung und löste im Oktober 2012 die veraltete DIN 32757 ab. Während sich letztere vorwiegend mit der Informationsdarstellung in Originalgröße (Papierdokumente) befasste, werden nun in der neunen DIN erstmalig unterschiedliche Materialklassifizierungen wie optische, magnetische oder elektronische Datenträger und Festplatten mitberücksichtigt. Sie trägt damit dem modernen Kommunikationszeitalter mit vielfältigen Datenträgerlösungen Rechnung. Zudem definiert DIN 66399 statt bisher fünf nun sieben Sicherheitsstufen.

Sie enthält damit nicht nur notwendige Prozesse und Anforderungen an Maschinen zur Vernichtung von Datenträgern, sondern trifft sowohl detaillierte Aussagen über die Einstufung verschiedener Datenträger in Sicherheitsstufen als auch eine Klassifizierung des Schutzbedarfs der Daten in drei Schutzklassen.

Ziel ist die Form oder den Zustand von Datenträgern durch Zerkleinern, Auflösen, Schmelzen, Erhitzen oder Verbrennen so zu verändern, dass eine Wiederherstellung von Informationen erschwert wird.

Datenträger diverser Materialklassen in Gruppen:

P => Informationen in Originalgröße (z.B. Papier)

F => Informationen in verkleinerter Form (Film, Folie, Negative)

O => Optische Datenträger (DVD, Blu-ray)

T => Magnetische Datenträger (ID-Karten mit Magnetstreifen)

H => Festplatten mit magnetischem Datenträger

E => Elektronische Datenträger (USB-Sticks, Flash-Speicher)

Einstufung in Schutzklassen:

Schutzklasse 1 (Normaler Schutzbedarf): interne Daten

Schutzklasse 2 (Hoher Schutzbedarf): vertrauliche Daten

Schutzklasse 3 (Sehr hoher Schutzbedarf): besonders vertrauliche und geheime Daten

Für die Vernichtung von Datenträgern gelten die Sicherheitsstufen mit folgender Materialteilchengrößen (am Beispiel Informationsdarstellungen in Originalgröße):

P1 Allgemeine Daten: Fläche der Materialteilchen max. 2000 mm²/Breite des Streifens max.12 mm

P2 Interne Daten: Fläche der Materialteilchen max. 800 mm²/Breite des Streifens max. 6 mm

P3 Sensible Daten: Fläche der Materialteilchen max. 320 mm²/Breite des Streifens max. 2 mm

P4 Besonders sensible Daten: Fläche der Materialteilchen max. 160 mm²/Breite des Streifens max. 6 mm

P5 Geheim zu haltende Daten: Fläche der Materialteilchen max. 30 mm²/Breite des Streifens max. 2 mm

P6 Geheime Hochsicherheits-Daten: Fläche der Materialteilchen max. 10 mm²/Breite des Streifens max. 1 mm

P7 Streng geheime Hochsicherheits-Daten: Fläche der Materialteilchen max. 5 mm²/Breite des Streifens max. 1 mm

Mit einer höheren Sicherheitsstufe nehmen der Grad sowie der Aufwand an Datenzerstörung zu. Bei der zu treffenden Wahl der geeigneten Sicherheitsstufe sind die Speicherdichte sowie die Größe der Informationsdarstellung auf dem Datenträger zu berücksichtigen. Ist eine Trennung sich vermischender Datenträger unterschiedlicher Sicherheitsstufen nicht möglich, muss eine Datenvernichtung grundsätzlich gemäß der höheren Sicherheitsstufe erfolgen, um das Risiko einer unzureichenden Vernichtung sensibler Daten zu minimieren.

Für die datenschutzgerechte Vernichtung von Datenträgern anderer Materialklassen gelten wiederum andere Materialteilchengrößen.

Bei der Entsorgung von Datenträgern personenbezogener Daten ist der Auftraggeber für die datenschutzgerechte Entsorgung verantwortlich. Insbesondere hat er dafür Sorge zu tragen, dass die Daten nicht unbefugt eingesehen, verändert, kopiert oder entfernt werden. Zudem muss er sich von der ordnungsgemäßen Verarbeitung der Daten und der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen gemäß gesetzlicher Verpflichtung überzeugen.

Die Entsorgung von Datenträgern mit personenbezogenen Daten durch externe Unternehmen stellt gemäß Artikel 28 DS-GVO eine Datenverarbeitung im Auftrag dar und bedarf entsprechender - nicht nur datenschutzvertraglicher - Vereinbarungen mit dem Auftragsverarbeiter und entsprechende Absicherung der Verarbeitung.

Weitere Hinweise können Unternehmen zur Datenträgervernichtung wie GAUER Daten- & Aktenvernichtungs GmbH, Rhenus Data Office GmbH, der documentus GmbH Berlin & Co. Betriebs KG oder der Broschüre zur Aktenvernichtung des Anbieters von Aktenvernichtern Krug & Priester GmbH & Co. KG entnommen werden.

Verarbeitung personenbezogener Daten im Auftrag
Die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen durch externe Dienstleister werden in Artikel 28 DS-GVO geregelt. Demnach ist insbesondere vertraglich zu regeln, dass der Auftragsverarbeiter

die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeitet;
gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
alle zur Sicherheit der Verarbeitung erforderlichen Maßnahmen gemäß Artikel 32 DS-GVO ergreift;
angemessene Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält (Informationspflichten gegenüber dem Verantwortlichen, Garantien für das Ergreifen geeigneter technischer und organisatorischer Maßnahmen etc.);
angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte der betroffenen Person nachzukommen;
unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 DS-GVO genannten Pflichten unterstützt;
nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht;
dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der niedergelegten Pflichten zur Verfügung stellt und Überprüfungen — einschließlich Inspektionen -, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.