Kürzlich wurde bekannt, dass die deutsche Immobiliengesellschaft Deutsche Wohnen wegen eines Verstoßes gegen die Europäische Datenschutzgrundverordnung (EU-DSGVO) 14,5 Millionen Euro Geldbuße bezahlen soll. Grund dafür war die Verwendung eines Archivsystems zur Speicherung personenbezogener Mieterdaten, das nicht dafür ausgelegt war, nicht mehr benötigte Daten zu entfernen.
Jene privaten Informationen sollen gespeichert worden sein, ohne dass eine Überprüfung stattfand, ob dies rechtens und tatsächlich nötig war, so die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk. Es seien teilweise Jahre alte Angaben – wie Kontoauszüge, Gehaltsbescheinigungen oder Versicherungsdaten - von Mietern einsehbar gewesen, obwohl sie für ihren ursprünglichen Zweck nicht mehr gebraucht wurden. Eine erste Prüfung der Deutsche Wohnen fand bereits 2017 statt, also während der Übergangsfrist zum Inkrafttreten der DSGVO. Doch tatsächlich wurden daraufhin keine ausreichenden Maßnahmen getroffen, um die Missstände zu beseitigen.
Nur tatsächlich benötigte Daten dürfen gespeichert werden
Damit hat die Immobiliengesellschaft klar gegen die 2018 in Kraft getretene Verordnung verstoßen, die vorsieht, dass Systeme zur Datenspeicherung den strengen Datenschutzvorgaben entsprechen müssen. Sie besagt u. a., dass nur tatsächlich benötigte Daten gespeichert werden dürfen. Offenliegende Daten bieten zudem immer eine Angriffsfläche für Hacker.
Das Recht auf Vergessenwerden (Art. 17) ist ebenfalls Teil der Verordnung und stellt sicher, dass betroffene Personen auf die Löschung personenbezogener Daten bestehen können. Wenn Unternehmen, wie in diesem Fall die Deutsche Wohnen, allerdings Archivierungssysteme nutzen, deren Struktur keine Löschung vorsieht, kann dieser Punkt nicht erfüllt werden.
IT-Lösungen müssen der DSGVO entsprechen
Auch in Organisationen genutzte IT-Lösungen müssen den Anforderungen der DSGVO entsprechen, dazu gehört auch der Aspekt, dass konkrete IT-Sicherheitsmaßnahmen implementiert sein müssen, die eine Reihe technischer und organisatorischer Maßnahmen umfassen. Eine DSGVO-konforme Lösung muss etwa eine Pseudonymisierung und Verschlüsselung von Daten beinhalten. Ein Unternehmen wie die Deutsche Wohnen muss außerdem Maßnahmen zur dauerhaften Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste treffen, die sich mit der Datenverarbeitung befassen.
Regelmäßige Prüfungen erforderlich
Außerdem wird eine regelmäßige Überprüfung, Bewertung und Evaluierung der sicheren Datenverarbeitung vorausgesetzt. Nach Artikel 25 DSGVO sollen die Grundsätze des Datenschutzes bereits bei der Implementierung von Produkten, Diensten und Anwendungen, die personenbezogene Daten verarbeiten, berücksichtigt werden.
Durch die entsprechende technische Implementierung soll sichergestellt werden, dass nur eine Erhebung bestimmter Daten stattfindet, diese schnellstmöglich pseudonymisiert und verschlüsselt sind, die Daten nur in erforderlichem Umfang verarbeitet und nach Ablauf der Speicherfrist gelöscht werden. Abgesehen davon soll es nur bestimmten Personen gestattet sein, darauf Zugriff zu haben.
Maximale Verschlüsselung ist notwendig für eine sichere Datenspeicherung
Um Verstöße zu vermeiden, müssen Verantwortliche dringend darauf achten, dass Systeme und Anwendungen für die Speicherung und Verarbeitung personenbezogener Daten über eine datenschutzfreundliche Grundeinstellung verfügen. Denn wenn bereits auf technischer Ebene die zu verarbeitenden Daten auf ein Minimum reduziert werden, der Schutz dank technischer und organisatorischer Maßnahmen aber gesichert ist, sinkt auch das Verarbeitungsrisiko für Verantwortliche deutlich.
Zudem sollte ein maximal sicherer Verschlüsselungsstandard genutzt werden, beispielsweise im E-Mail-Verkehr, aber auch wenn es darum geht, Daten via Filesharing auszutauschen. Idealerweise bieten Lösungen dafür eine clientseitige Verschlüsselung, sodass die Informationen bereits am Endgerät verschlüsselt werden. Schutz vor unbefugtem Zugriff auf gespeicherte Inhalte bietet ein zuverlässiges Rechtemanagement. Über die Berechtigungen muss Transparenz herrschen, sodass die Verarbeitung der Daten in einer nachvollziehbaren Weise geschieht, sollten betroffene Personen Auskünfte einfordern.
Datenschutz und Datensicherheit haben oberste Priorität
Organisationen, die mit personenbezogenen Informationen umgehen und diese in der Cloud speichern, müssen dringend dafür sorgen, dass jederzeit ein hohes Niveau an Datenschutz und -sicherheit gewährleistet ist. Einige Firmen scheinen sich der Tragweite ihres Handelns nicht bewusst zu sein, wenn sie das Thema einfach umgehen. DRACOON fordert, dass Unternehmen jeder Branche schnellstens aktiv werden müssen, um das hohe Schutzniveau der gespeicherten Daten tatsächlich garantieren zu können, denn das sind sie ihren Kunden schuldig.
Jeder Einzelne soll die Hoheit über seine Daten behalten und daher sind die Einrichtungen, die jene Informationen speichern und nutzen für den verantwortungsvollen Umgang gemäß den rechtlichen Vorgaben verpflichtet, schließlich haften sie auch dafür. Und so sind sie auch in der Pflicht, geeignete IT-Lösungen zu nutzen, die nach den strengen DSGVO-Richtlinien ausgerichtet sind.