Datenschutz mit bewährten Methoden des Risikomanagements. Wolfgang Gaess
einer Maßnahme ausreichend plausibilisieren.
• Dokumentation: Im Arbeitsschritt Dokumentation müssen geeignete Dokumentationsformate erwogen und erzeugt werden. Diese bilden insbesondere Hilfestellung für den operativen Betrieb. Dazu zählen:○Arbeitsanweisungen,○ Handbücher,○ Mustervorlagen,○ Checklisten und sonstige Hilfsdokumente.Die Dokumentenart wird dabei in die Hierarchieebene einer üblicherweise bestehenden schriftlich fixierten Ordnung eingeordnet. Dies ist die im nachfolgenden Themenpunkt „Papershield“ noch näher erläuterte Dokumentenhierarchie.
• Technische Anpassung: In der Kategorie „IT“ ist zu prüfen, inwieweit für die Maßnahme eine technische Anpassung erforderlich ist und inwieweit eine technisch gestützte Lösung sachdienlich erscheint.
• Change-Management: In der Kategorie „Change“ ist zu prüfen, in welcher Form die neu geschaffenen Maßnahmen bzw. die erfolgte Umstrukturierung in geeigneter Weise in der Organisation „zum Leben erweckt“ werden können. Dazu gehören u.a. Schulungs- und Sensibilisierungsmaßnahmen sowie Kampagnen.
• Vertrag: Am Ende des Implementierungsstrahles ist zu prüfen, inwieweit Vertragsanpassungen erforderlich sind. Im Rahmen dieser Bearbeitung liegt der Schwerpunkt auf den „Back-End“-Verträgen mit Dienstleistern und Kooperationspartnern (und nicht auf dem „Front-End“ mit Kunden). In der Regel werden auf dieser Basis vorhandene Vertragstemplates oder Prüflisten für Vertragsverhandlungen aktualisiert.
• Proof of Concept: Es sollte erwogen werden, am Ende der Implementierungsmaßnahmen noch einen Testlauf zu ergänzen.
Abbildung 3: Organisationspflichten eines klassischen Implementierungsprojektes
4. Das Modell der “Three Lines of Defense”
Eine bewährte Herangehensweise zur Steuerung des Risikomanagements ist das Modell der „Three Lines of Defense“ (3LoD) oder das „Modell der drei Verteidigungslinien“.
Im Finanzsektor nimmt die BaFin in ihren Publikationen mittlerweile regelmäßig Bezug auf dieses Modell und „adelt“ diese Methodik damit in gewisser Weise zu einem gängigen und anerkannten Organisationsmodell im Finanzsektor. (So zum Beispiel in den „BaFin Perspektiven“ vom 01.08.2018 „Digitalisierung und Informationssicherheit im Finanz- und Versicherungswesen im Fokus aufsichtlicher Anforderungen“ abrufbar unter https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/BaFinPerspektiven/2018/bp_18-1_Beitrag_Gampe.html; abgerufen am 15.05.2019)
a) Modell der drei Verteidigungslinien
Abbildung 4: Modell der drei Verteidigungslinien
Das Modell gliedert sich in drei interagierende Verteidigungslinien mit folgendem Aufbau:
• Erste Verteidigungslinie: Die erste Verteidigungslinie bilden die operativ tätigen Fachbereiche. Sie sind für die Wirkung des Fachbereichs verantwortlich. Das umfasst die im Fachbereich erzeugten Arbeitsergebnisse – aber auch die aus der Fachbereichsarbeit resultierenden Risiken mit den damit korrespondierenden Kontrollen. Daher sind Fachbereiche insoweit für das Risikomanagement (Steuerung, Überwachung und Reduktion von Risiken) gegenüber der Geschäftsführung verantwortlich.
• Zweite Verteidigungslinie: Die zweite Verteidigungslinie ist für die Steuerung und Überwachung der Fachbereiche (also der ersten Verteidigungslinie) zuständig. Sie ist standardgebende Instanz und wacht über die Einhaltung der gesetzten Vorgaben. Entsprechend müssen die von der zweiten Verteidigungslinie erlassenen Vorgaben verständlich und umsetzbar sein.
• Dritte Verteidigungslinie: Die dritte Verteidigungslinie ist eine unabhängige Prüfungsinstanz (i.d.R. die Interne Revision) und prüft die Zuständigkeitserfüllungen der ersten und zweiten Verteidigungslinie. Die dritte Verteidigungslinie ist Ausprägung der Kontrollpflichten der Geschäftsleitung. Um der Geschäftsleitung die Unternehmenssteuerung auf Basis der Kontrollmaßnahmen zu ermöglichen, berichtet die dritte Verteidigungslinie direkt an die Geschäftsleitung.
Klassische Diskussionspunkte in Bezug auf die Arbeit der 2. Verteidigungslinie sind zu abstrakte und komplizierte Vorgaben. Nochmals wird daher hier der „Proof of Concept“ nahegelegt. Sind Vorgaben für den Fachbereich nicht verständlich oder umsetzbar, müssen diese nachjustiert werden.
b) „Außendatenschutz“ und „Papershield“
aa) Allgemein
Im Zuge des bevorstehenden Aktivierungstermines der DSGVO im Jahr 2018 kamen verstärkt die Begriffe „Außendatenschutz“ und im englischsprachigen Raum auch der Begriff „Papershield“ auf. Was verbirgt sich dahinter?
„Außendatenschutz“ ist das schwerpunktmäßige Bearbeiten der Themen mit „Außenweltberührung“. Hierzu zählen beispielsweise die Datenschutzbelehrungen im Web-Auftritt, datenschutzkonforme Vertragsklauseln etc.
Papershield ist insbesondere der Arbeitsansatz im englischsprachigen Raum, alle notwendige Dokumentation für eine regelkonforme Organisation zu schaffen. Dieser Gedanke ist in einem ersten Schritt zunächst zielführend. Allerdings müssen in einem weiteren Schritt die Inhalte in der Organisation auch tatsächlich zum Leben erweckt werden.
Die Bankenregulierung hat in MaRisk AT 5 und AT 6 die Dokumentationsanforderungen explizit formuliert. Diese können für andere Bereiche Inspiration sein.
Welche Dokumentationsanforderungen sind aus der DSGVO ableitbar?
Abbildung 5: Dokumentenhierarchie eines Unternehmens
bb) Dokumentenstruktur
Die vorhandene Dokumentenstruktur eines Unternehmens kann im Rahmen einer Dokumentenhierarchie in vier Hierarchieebenen gegliedert werden:
Im Einzelnen:
Zu Level 1: Übergeordnete Leit- und Richtlinien mit grundsätzlicher Themenbehandlung. Hierzu gehören Richtlinien zum Thema Datenschutz, die auf der entsprechenden „Flughöhe“ datenschutzrechtliche Themen aufgreifen und behandeln.
Zu Level 2: Hierzu gehören Bestandteile eines bereits spezielleren Themas, die eine vollumfängliche eigene Darstellung erfordern. Z.B. das Thema Archivierung und Löschung, Berechtigungsmanagement etc.
Zu Level 3: Nach altem datenschutzrechtlichen Verständnis erschöpfte sich die Dokumentation häufig bereits in den zuvor dargestellten Level 1 und 2.
Hieraus resultierte das flächendeckend verbreitete Phänomen, dass die datenschutzrechtlichen Vorgabendokumente durch die Fachbereiche bei deren Tagesarbeit nicht berücksichtigt wurden, weil sie schlichtweg nicht bekannt waren.
Teils wurde nur eine datenschutzrechtliche Leitlinie/Richtlinie erstellt, die unter Umständen nicht einmal ausreichend im Unternehmen kommuniziert wurde.
Fachbereiche