In der Diskussion um Datenschutzbeauftragte taucht neben der Frage der Pflicht zu ihrer Bestellung in regelmäßigen Abständen auch immer wieder eine weitere auf: muss ein Datenschutzbeauftragter eine Juristin sein?
Es gibt keine gesetzliche Anforderung für die Qualifikation einer Person als Datenschutzbeauftragte - oder auch "nur" als Datenschutzberater. Nirgends ist gesetzlich festgelegt, was jemand können muss, der oder die in diesem Beruf arbeiten will. Es ist nicht festgeschrieben, dass man für diese Tätigkeit ein Jura Studium absolviert haben muss. Anforderungen an das Berufsbild wurden im Laufe der Jahre von den Berufsverbänden, der Rechtsprechung und den Aufsichtsbehörden definiert.
Fest steht, dass im Datenschutz nichts geht ohne Verständnis für Recht und technische Zusammenhänge. Aber wo ist der Schwerpunkt, täglich, im Unternehmensalltag? Ich bin befangen. Trotzdem meine ich, der Einsatz einer Anwältin als Datenschutzbeauftragte ist das Beste, was ein Unternehmen tun kann. Was Anwältinnen können, können eben nur Anwältinnen - Gesetze verstehen, auslegen, anwenden, Compliance Risiken einschätzen und das in allen Feinheiten. Inzwischen müssen wir ja nicht nur die DSGVO beherrschen, sondern auch die ganze verwandte Materie: Dora, Data Act, AI-Act ... um nur ein paar aus der jüngsten Zeit zu nennen.
Bei aller Notwendigkeit auch technische Fragen zu verstehen und anwenden zu können, kommt es am Ende immer auf die Beurteilung an, ob eine bestimmte Situation gegen ein Gesetz verstößt oder nicht und welche möglichen Folgen sich ein Unternehmen damit ggfls. einhandelt. Sollte es zu einem Rechtsstreit mit einer Aufsichtsbehörde kommen, hat ein Unternehmen den nötigen Sachverstand gleich im Haus, sofern der Datenschutzbeauftragte auch Anwalt ist.
Wir stehen Ihnen mit Rat und Tat zur Seite, auch wenn Sie keinen Datenschutzbeauftragten brauchen. Sprechen Sie uns gerne an und vereinbaren Sie ein unverbindliches erstes Gespräch.
Unter vielen Geschäftsführungen ist es beliebt, den IT-Verantwortlichen zu sagen: „Macht unsere IT sicher, aber es darf nichts kosten“. Oder auch: „Sorgt dafür, dass unsere IT compliant ist und möglichst ohne Kosten“. Für Krankenhäuser empfehle ich in solchen Fällen einen Blick in das Sozialgesetzbuch Fünf (SGB V). Das bietet in § 391 einen interessanten Ansatz für die Frage, welchen Anforderungen eine Krankenhaus IT-Infrastruktur denn eigentlich genügen muss.
In Absatz eins heißt es wörtlich:
Krankenhäuser sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und den Schutzbedarf der verarbeiteten Patienteninformationen maßgeblich sind.
Eine bemerkenswerte Ergänzung findet sich in Absatz drei:
Organisatorische und technische Vorkehrungen nach Absatz 1 sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder dem Schutzbedarf der verarbeiteten Patienteninformationen steht.
Das heißt letztlich nichts anderes als: Wer sich die Sicherheit der IT-Systeme nicht leisten kann – oder will - , darf keine Patientendaten verarbeiten.
Das Argument, wir haben kein Geld, kann also nicht als Ausrede für mangelnde Informationssicherheit in einem Krankenhaus durchgehen.
Und das schon seit dem 1.1.2022, seit dieser Paragraf auf der Grundlage des Patientendatenschutzgesetzes vom Oktober 2020 Gültigkeit erlangte.
Man beachte auch den Unterschied zu Art. 32 DSGVO. Dort sind die Implementierungskosten von Technologie ein Faktor, der bei der Bestimmung der „geeigneten technischen und organisatorischen Maßnahmen“ von der DSGVO ausdrücklich berücksichtigt wird. Die wiederum sind gefordert, „um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Im Mittelpunkt stehen hier die Risiken für die Personen, deren Daten verarbeitet werden – nicht die Funktionsfähigkeit des Unternehmens. Allerdings bedingt in den allermeisten Fällen ein Schaden für die Personen auch ein Schaden für das Unternehmen.
Mich wundert, dass die Anforderung des § 391 SGB V in der öffentlichen Diskussion um die Krankenhausreform überhaupt nicht vorkam, obwohl der Schwerpunkt auf der Frage der (zukünftigen) Finanzierbarkeit der Krankenhäuser lag. Für alle erdenklichen Themen wird politisch um mehr Geld gestritten: Bundeswehr, Schulen, Automobilindustrie, um nur ein paar zu nennen. Nur die Krankenhäuser haben diesbezüglich keine Lobby, jedenfalls was die Kosten für die Ausstattung für eine sichere IT-Infrastruktur betrifft.
Wir unterstützen Sie gerne bei der Ausarbeitung und Überprüfung von Sicherheitsmaßnahmen. Vereinbaren Sie einen unverbindlichen ersten Termin.
Ich bin in letzter Zeit wieder öfter gefragt worden, was eine Datenschutzbeauftragte eigentlich können muss. Im Jahr 2017 habe ich auf Bitten eines englischen Kollegen einmal einen kurzen Vortrag gehalten. Das Thema des kurzen Vortrags war “Privacy challenges in the new decade”.
Ich zitiere hier einen kurzen Auszug, der die Frage zumindest in Teilen beantwortet:
Privacy challenges in the new decade? Talking about privacy and challenges, I think there are actually two major challenges.
Number one: to work for the better transparency of IT-systems. Number two: to invest in the knowledge about privacy and IT security on any level in the companies.
On a personal level the challenge for us will be that we have many roles: we are the hunters that push the CEOs to action, the staff to get the information that we need in order to do our work. We are the patient mothers, explaining necessary procedures again and again until they work without us. And sometimes, too, we are knights in the shining armor who get things straight again when they went terribly wrong. To combine these very different roles will be our very own challenge, but if we succeed, we will be able to work towards a better working privacy and IT-security on any level.
Jetzt, rund acht Jahre später kann ich hinzufügen: diese Beschreibung gilt immer noch und diese "soft skills" braucht auch eine/einen IT-Sicherheitsbeauftragte/r. Letztere waren 2017 noch nicht so weit verbreitet wie heute.
Haben Sie Fragen zur Bestellung eines externen Datenschutzbeauftragten oder eines externen Sicherheitsbeauftragten? Sprechen Sie uns gerne an.
Wie erkennt man gefälschte E-Mails und gefälschte Webseiten war gestern das Thema bei einer internen Runde von Führungskräften bei einem Auftraggeber. Ich fasse die wichtigsten Erkenntnisse hier zusammen.
Links prüfen! Gibt man in Google einen Suchbegriff ein, sollte man vor dem Aufruf einer der angezeigten Seiten zunächst einmal mit der Maus über den Link fahren – noch ohne die Seite aufzurufen. Dabei wird dann unten links im Browser die Adresse der jeweiligen Webseite angezeigt. Handelt es sich also zum Beispiel um eine deutsche Wikipedia Seite, müsste dann unten links im Browser wikipedia.de stehen. Stimmt die Überschrift in dem Link aus der Suche nicht mit dem überein, was unten im Browser angezeigt wird, ist Vorsicht geboten. Es könnte sich um eine gefälschte Webseite handeln.
Auf Absender Adressen in E-Mails achten! Erhalten Sie eine E-Mail mit dem Absender Amazon. Service.com würde man denken, diese stammt von Amazon. Tut sie aber nicht. Entscheidend ist der Teil, der vor dem „com“ bzw. der entsprechenden Länderkennung (de etc.) steht. Es ist relativ einfach, zu Betrugszwecken eine Webseite zu bauen und in der Adresse irgendeine bekannte Firma davor zu setzen. So wie im Beispiel eben Amazon. Wir landen dann allerdings nicht bei Amazon, sondern bei Betrügern, die unsere Zugangskennungen und Kontodaten abfangen wollen.
Nicht unter Druck setzen lassen! Alle E-Mails oder auch Meldungen auf Webseiten, die irgendwie Druck ausüben, sind verdächtig. Beispiele sind Rechnungen, die am Freitagnachmittag ganz dringend schnell überwiesen werden müssen, oder Zugangsdaten, die sofort geändert werden sollen. Oder auch: Ihr Zugang wurde gesperrt! Klicken Sie hier und ändern Sie Ihre Zugangsdaten, ansonsten ist ihr Account nicht mehr nutzbar. Dabei ist es egal, ob diese Nachrichten von einer Adresse stammen, die Sie kennen. Möglicherweise sieht die Mail mit der dringlichst zu überweisenden Rechnung aus als käme sie tatsächlich aus der Buchhaltung Ihrer Firma. Das muss aber nicht so sein. Im Zweifel gilt: lieber fragen.
Seltene Dateiformate erkennen! Dateianhänge an E-Mails werden in der Regel als PDF, Word Dokument oder auch Excel Dokument verschickt. Hat eine E-Mail einen Anhang in einem Dateiformat, dass Sie noch nie gesehen haben, öffnen Sie es vorsichtshalber nicht.
Fortsetzung folgt. Haben Sie Fragen oder benötigen Sie ein Datenschutztraining für Ihre Mitarbeitenden? Kontaktieren Sie uns gerne.
Einmal die Woche kaufe ich auf dem Markt vor unserer Haustür Fleisch für meine Tochter. Ich habe dort eine Kundenkarte, mit der ich ein wenig Rabatt erhalte. Kürzlich hielt mir der Verkäufer den Kassenzettel über den Tresen und fragte, ob das eigentlich so in Ordnung ginge, also so wegen Datenschutz?
Auf dem Kassenzettel stand oben meine Adresse. Wer also den Zettel finden würde, hätte meinen Namen, meine Adresse und die Information wie viel Gramm Fleisch ich gekauft habe. Es habe sich ein Kunde beschwert, so der Verkäufer weiter. Dem habe er versehentlich den Kassenzettel eines anderen Kunden gegeben.
Die Händler sind verpflichtet, die Kassenzettel der Kundinnen, die eine Kundennummer haben, mit diesen Angaben zu versehen. Warum auch immer. Alle anderen kaufen anonym.
Gehen wir davon aus, dass es eine Vorgabe aus der Steuer- und Finanzbürokratie ist, die Kassenzettel in diesem Fall personenbezogen zu gestalten. Dann hätten wir als gesetzliche Erlaubnis Art. 6 Abs. 1 lit c) DSGVO: „die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt“. Daher: erstmal alles fein, es gibt eine gesetzliche Erlaubnis, diese Daten zu „haben“, weil die Bürokratie diesen Nachweis so vorschreibt.
Weiterhin wären die Daten technisch und organisatorisch so abzusichern, dass den Personen, zu denen sie gehören, kein Schaden entsteht. Auf der technischen Ebene hätten wir die Kassensysteme. Auf der organisatorischen die Anweisung an das Verkaufspersonal, mit den Kassenzetteln sorgsam zu sein und den Zettel für A auch an A zu übergeben.
Geht das schief, fällt es in die Abteilung Es Gibt Keine 100% Sicherheit. Fehler passieren. Davon abgesehen hält sich der Schaden für die Personen hier in engen Grenzen. Erstens sind die Adressen in der Regel ohnehin öffentlich und zweitens ist die Information analog. Die Information, dass ich am 21. November 2024 264 Gramm Hühnerfleisch gekauft habe, kann nicht durch Knopfdruck in Sekundenschnelle im Netz verbreitet und mit anderen Informationen über mich verbunden und genutzt werden.
Mehr Sorgen als über einen vertauschten Kassenzettel am Marktstand sollte man sich über Programme wie Payback machen. Die werten gnadenlos alle Informationen aus und verkaufen sie weiter.
Der Verkäufer hörte sich meinen Kurzvortrag an, dankte und sagte nun wisse er also, wie Datenschutz funktioniere. Ja, sagte ich. So funktioniert das. Im Großen wie im Kleinen.
Welche Datenschutzfragen können wir für Sie beantworten? Melden Sie sich gerne. Auch wenn ich gerne Fragen zu Kassenzetteln beantworte: die komplizierten Fragen sind mir die liebsten.
Digitale Bildung und damit der Schutz von Menschen durch Cyberangriffe ist heute wichtiger denn je. So hingeschrieben, klingt das erstmal völlig banal. Ich wünschte, es wäre banal. Der Grund liegt in der immer schnelleren Entwicklung der künstlichen Intelligenz, was vielen außerhalb von Fachkreisen noch gar nicht bewusst ist. Schon jetzt ist es möglich, mit einem Tonschnipsel von 30 Sekunden die Stimme einer Person für gefälschte Anrufe zu benutzen – um nur eine Möglichkeit zu nennen. Es ist nicht nur möglich, es wird gemacht.
Dasselbe gilt für Angriffe auf Netzwerke, die mit den Mitteln der künstlichen Intelligenz viel schneller und einfacher konstruiert und ausgeführt werden können als bisher. Es eröffnen sich ganz neue Möglichkeiten auch für Kriminelle, die begrenzt technisch versiert sind.
Ein aktuelles Beispiel aus Australien hat The Guardian kürzlich veröffentlicht.
Stellt man diese Möglichkeiten neben die immer noch weit verbreitete digitale Unwissenheit, kann einem schon mulmig werden. Hinzu kommt, dass in vielen Unternehmen in Bezug auf die Etablierung von Informationssicherheit nunmehr eine gefühlte Sicherheit herrscht, als eine transparente und durchdachte.
„Wir haben ja ein Back-Up, also sind wir sicher“ ist eine weit verbreitete Aussage. In dieser Allgemeinheit kann aber niemand wissen, ob das Back-Up im Ernstfall standhält. „Standhalten“ heißt: sind alle Daten in einem Back-Up aktuell und verfügbar, die für den reibungslosen Betrieb des Unternehmens verfügbar sein müssen? Wird nur einmal wöchentlich eine Versicherung angefertigt, gehen im Zweifel Daten verloren. Das kann ein akzeptables Risiko sein - oder aber auch nicht. Falls nicht, muss man es wissen und gegebenenfalls weitere Maßnahmen ergreifen. Außerdem ist fraglich, ob nach einem Datenverlust das Back-Up auch zeitnah und vollständig wieder eingespielt werden kann. Um das zu wissen, sind regelmäßige Tests erforderlich.
Solche Fragen im Blick zu behalten und gezielt zu bearbeiten, ist die Aufgabe eines IT-Sicherheitsbeauftragten im Unternehmen. Unter anderem.
Sprechen Sie uns gerne an, wenn Sie Unterstützung brauchen oder einen IT-Sicherheitsbeauftragten bestellen wollen!
Der online Trickdiebstahl, dem meine Schwester kürzlich zum Opfer fiel, zeigte mir einmal mehr, wie viel Wissenslücken es in Sachen digitale Bildung immer noch gibt. Die Schreiben, mit denen Erben eines angeblichen Verstorbenen gesucht werden, der angeblich Millionen hinterlassen hat, sind sehr, sehr alt. Meistens gingen sie aber per E-Mail ein. Zufällig heißt der Verstorbene dann immer wie die Person, die angeschrieben wird. Eigentlich, so dachte ich, weiß jeder, dass das ein Betrugsversuch ist.
Meine Annahme „das weiß doch jeder“ wurde auch von meinen Erfahrungen in meinen Datenschutz Schulungen für Mitarbeitende in Unternehmen bestärkt. Da zeichnet sich seit ein paar Jahren die deutliche Tendenz ab, dass die Leute gut informiert sind. Merkmale einer gefälschten Mail können die meisten sofort beschreiben.
Anscheinend ist dieser Befund aber nicht ganz repräsentativ. Hinzu kommt, dass wir schwerwiegende Fehler nur durch immer wieder Üben vermeiden können, selbst wenn wir eigentlich gut Bescheid wissen. Wir müssen immer wieder hören, was eine Phishing Mail ist. Wir müssen die neusten Entwicklungen der Betrugsmethoden kennen.
Schließlich: wir müssen auch Praxistests machen. Insofern sind in Unternehmen Tests sinnvoll, die kontrolliert Phishing Mails verschicken. Wenn jemand draufklickt, landet diese Information bei dem IT-Dienstleister, der den Test aufgesetzt hat. Die Ergebnisse können zum Anlass genommen werden, in der Belegschaft nochmals das Bewusstsein für Sicherheitsthemen zu schärfen. Dabei geht es nicht darum, einzelne Beschäftigte bloßzustellen, die den Fehler gemacht haben, auf die Mail zu klicken, sondern um genau das: Sicherheitsmaßnahmen ins Gedächtnis zu rufen.
„Müssen wir wirklich unsere Mitarbeitenden jährlich im Datenschutz schulen?“, fragen mich Auftraggeber oft. Meine Antwort ist ja, aus genau diesen Gründen. Im Englischen spricht man vom "Privacy Training", was ich sehr treffend finde. Wir müssen im Training bleiben.
Melden Sie sich gerne bei uns, wenn Sie für sich oder Ihre Beschäftigten ein Privacy Training brauchen.
Meine Schwester fiel kürzlich auf einen fiesen Trick der Cybermafia herein und verlor eine erhebliche Summe Geld. Sie klickte auf einen Link in einer iMessage: „Hier ist ihre Sparkasse. Klicken Sie auf diesen Link und ändern Sie die Zugangsdaten für Ihr online Banking“.
Ungefähr drei Tage später bekam ich einen Anruf von ihrem Mann, meinem Schwager. Seine Mutter habe ein Schreiben von einem englischen Anwalt bekommen, der suche einen Erben für ein Millionenvermögen. Ob ich mir das mal ansehen könne. Ich ahnte, was kommen würde.
Der Brief war an den Vater meines Schwagers adressiert, der aber schon gut 20 Jahre tot ist. Allein das hätte misstrauisch machen müssen. Mein Schwager aber meinte, das wirke schon alles seriös, die Briefeschreiber hätten „auch eine Webseite“. Lieber Schwager, sagte ich. Eine Webseite fälschen kann sogar ich.
Wieder drei Tage später bekam ich eine Nachricht aufs Telefon. „Hallo Papa, dies ist meine neue Nummer, bitte schreib' mir auf Whatsapp“. Mein angebliches Kind brauchte dringend 1.800 EUR, noch dieses Wochenende.
Diese Vorfälle zeigen, warum es keine unwichtigen Daten gibt. Anders als immer noch viele Menschen annehmen. Jeder Diebstahl auch nur einer E-Mail-Adresse oder einer Telefonnummer wird dazu genutzt, die Information mit anderen zu verknüpfen (die in der Regel auch gestohlen wurden). Damit können dann wieder neue Opfer attackiert werden. Deshalb: es ist nie „nur eine E-Mail“, wenn irgendwo Daten gestohlen werden. Die E-Mail ist nur der Anfang.
Hier hatte man offenbar aus den Daten meiner Schwester weitere Verbindungen hergestellt. Frei nach dem Motto, vielleicht gibt es ja noch mehr Dumme in der Familie.
Ach und übrigens, Stichwort Dummheit. Schuld an solchen Taten haben immer die Täter, nie die Opfer. Wir mögen es als dumm ansehen, auf solche Tricks hereinzufallen. Passieren kann es jedem von uns.
Sie möchten mehr über das Thema erfahren? Sprechen Sie uns gerne an.
Ich habe für 2025 drei Vorsätze gefasst, mehr schreiben, mehr Vorträge halten und meine Webseiten schöner machen (lassen). Letzteres ist noch nicht gelungen, daher fange ich mit dem ersten an. Mehr schreiben. Offen gesagt, kann ich der Weihnachtszeit nicht viel abgewinnen. Zu dunkel, zu hektisch. Aber ich mag Adventskalender. Ab dem 1. Dezember gibt es deshalb hier im Blog einen Adventskalender Datenschutz mit täglich einem Beitrag zu einem Thema aus dem Datenschutz und der Informationssicherheit. Von schlicht bis speziell. Und mit KI generierten Bilder.
Wenn Sie in 2025 Rat und Tat in Sachen Datenschutz und Informationssicherheit brauchen, melden Sie sich gerne schon jetzt bei uns.
(Dank für die Generierung der Bilder geht an Oliver Welling von KInews24.)
Bald ist es ein Jahr her, dass mein Buch zum Datenschutz erschien: "Nützliches Wissen über Datenschutz. Ein beratender Erfahrungsbericht".
Erhältlich hier und überall, wo es Bücher gibt - als Taschenbuch oder eBook.
Stimmen von Leserinnen und Lesern:
"Eine gelungene Mischung aus Essay und Sachbuch!"
"Ich finde, Sie haben ein schönes, informatives, politisch wichtiges und lesenswertes Buch geschrieben, dem ich möglichst viele Leser wünsche. Die persönlichen Aspekte machen es besonders und das abstrakte Thema greifbar."
"Dieses Buch sollten bei mir im Unternehmen alle lesen."
"Großes Kompliment, es liest sich sehr unterhaltsam – und das trotz des ja sehr komplexen Themas."
"So bildhaft und mit amüsanten Beispielen unterlegt, sind Sachbücher sehr, sehr selten. Zumal du auch das Können von Top-Textern beherrscht, knappe, klare Sätze. Brilliant."
Der fünfte Teil der Reihe zum Thema SORMAS-X Datenschutz und Sicherheit nimmt heute die Zusammenarbeit mit den Datenschutzaufsichtsbehörden in den Blick.
Die Zusammenarbeit zwischen dem Projekt SORMAS@DEMIS und den Datenschutzaufsichtsbehörden zum Thema SORMAS-X gestaltete sich anfangs holperig und wurde aber im Verlauf immer besser. Der mühselige Start war insofern nicht verwunderlich, als Behörden und mittelständische Unternehmen sehr grundsätzlich andere Arbeitsweisen haben. Behörden erwarten einen Sachverhalt, der ihnen vollständig vorgelegt wird, und dann nehmen sie sich Zeit diesen zu prüfen, dann geben sie Rückmeldung und dann kann weiterdiskutiert werden. Auf diese Weise können Wochen, wenn nicht Monate ins Land gehen – Zeit, in denen in Unternehmen die Entwicklung weitergeht. Dies galt umso mehr in einem Projekt, das unter so hohem Zeitdruck arbeitete, wie SORMAS@DEMIS. Nach Wochen diskutierten wir mit den Vertretungen der Behörden immer einen alten Stand.
Es gibt in Digitalisierungsprojekten aber auch keine Alternative zum parallelen Vorgehen. Wartet man mit der Umsetzung bis eine 100%ige Planung steht, bei allen beteiligten Stellen alle Informationen vorliegen und alle eine finale Stellungnahme abgegeben haben, erhält man am Ende des Projekts eine Software, die schon bei der Kiel-Legung der Arche Noah veraltet war (wie mein Kollege einmal sagte). Das heißt nicht, dass ohne Plan und Konzept einfach irgendwas gemacht werden sollte. Es heißt aber, dass auch eine parallele Entwicklung von Anforderungen und deren Umsetzung stattfinden kann und muss. Diesbezüglich müssen nicht nur Datenschutzbehörden umdenken, wenn wir Digitalisierung beschleunigen wollen, meine ich. Wir sahen uns allerdings in dem SORMAS@DEMIS Projekt anfangs beständig dem Vorwurf ausgesetzt, dass die Dokumentation unvollständig sei und man auf diese Weise auf Behördenseite viel Mühe mit der Beurteilung habe. Die Behörden erwarteten einen Sachverhalt, den sie prüfen könnten, wir erwarteten die Begleitung eines Projekts mit einem sehr hohen Arbeitstempo.
Davon abgesehen vermissten wir an mehreren Stellen eine gut begründete, klare Vorgabe der Anforderungen, die von der Datenschutzaufsicht als Maßstab für das Urteil „datenschutzkonform“ oder „nicht datenschutzkonform“ zugrunde gelegt wurde. Das Vorgehen der Landesdatenschutzbeauftragten wirkte mitunter wie aus dem Gefühl heraus entschieden, anstatt auf der Grundlage nachvollziehbarer, strukturierter Vorgaben. Die Zusammenarbeit mit den Mitarbeitenden der Landesdatenschutzbeauftragten wurde in dem Augenblick besser, als diese unser Vorgehen der parallelen Entwicklung und Prüfung akzeptierten. Vielleicht hatte die Macht des Faktischen gesiegt, aber jedenfalls riefen wir kleinere Arbeitskreise zu speziellen technischen und rechtlichen Themen ins Leben und fortan gab es einen zielführenden Austausch.
Im vierten Teil der Reihe zu SORMAS-X Datenschutzthemen geht es heute um die Schnittstellen. Anhand der Thematik der Anbindung externer Applikationen an SORMAS über eine offene Schnittstelle erörtere ich grundsätzliche Fragen der Organisation eines Digitalisierungsprojekts.
Im Verlauf der Pandemie kamen immer mehr technische Lösungen auf den Markt, die versprachen, uns mit technischen Mitteln aus der Pandemie zu erlösen. In der Regel waren es eher Lösungsversuche als tatsächlich funktionierende und überzeugend ausgearbeitete Lösungen. Die Luca App ist nur das bekannteste Beispiel dafür.
Im SORMAS@DEMIS Projekt standen wir vor dem Problem, dass viele Gesundheitsämter diese Lösungen einsetzen und in SORMAS integrieren wollten. Die Anfragen landeten auf den Schreibtischen des Datenschutzteams mit der Aufforderung, mal schnell zu den Datenschutzthemen Stellung zu nehmen. Mangels einer anderen Möglichkeit sollten alle externen Applikationen über die offene Schnittstelle, die sog. Rest API mit SORMAS verbunden werden.
Ich habe in diesem Zusammenhang viele gruselige Tatsachen über die Verbindung von Systemen über offene Schnittstellen gelernt. Im Ergebnis waren wir in Bezug auf die Anbindung von externen Applikationen an SORMAS immer, was ich ungerne bin. Spielverderberin aus Sicherheitsgründen. Die bessere Alternative, eine sichere Lösung zu entwickeln, blieb unter den Anforderungen des Projekts auf der Strecke.
Dieses Problem legte den Finger in eine Reihe von grundsätzlichen Schwierigkeiten im Projekt. Vieles davon wäre besser zu lösen gewesen, wenn das SORMAS@DEMIS Projekt nicht länger als ein Forschungs- und Entwicklungsprojekt betrachtet worden wäre, sondern als eine Produktentwicklung. Die Entwicklung des Produktes Software SORMAS mit all seinen Facetten und Möglichkeiten sowie eingebauten Sicherheiten für Datenschutz und Informationssicherheit.
Zunächst ging es ja tatsächlich nur um die Vernetzung der Gesundheitsämter, um deren Ausstattung mit SORMAS-X, und die Schaffung einer Möglichkeit des automatisierten Datenaustausches zwischen den Gesundheitsämtern. Wäre es dabei geblieben, wäre die Frage der datenschutzfreundlichen Softwaregestaltung relativ überschaubar gewesen. Dann hätte man sich ein paar Gedanken machen müssen über die Verbindung der unterschiedlichen SORMAS-Instanzen zum Zwecke des Datenaustausches zwischen Gesundheitsämtern und das wäre dann auch schon fast alles gewesen. Durch die Dynamik der Entwicklung kamen dann aber hinzu: die Anbindung der anderen IfSG Fachanwendungen, die in den Ländern eingesetzt wurden, und auf deren Erhalt die Länder pochten. Zahlreiche Apps, die mit einer Art Heilsversprechen der technischen Lösung der Pandemieprobleme antraten (und politisch entgegen aller Vernunft gepusht wurden). Um nur ein paar zu benennen.
Dies hatte zur Folge, dass die zu lösenden Fragestellungen und datenschutzrechtlichen Anforderungen im Verlauf der Arbeiten sehr viel komplexer und sehr viel umfangreicher wurden. Insofern war es in Bezug auf die Schnittstellen auch nicht sehr verwunderlich, dass die Absicherung noch nicht so mitgedacht und umgesetzt war, wie sie es sein müsste. Der Ausgangspunkt des Projektes war ursprünglich ein ganz anderer.
Was wird in so einer Situation gebraucht?
Im ersten Schritt eine klare und zwischen allen Beteiligten abgesprochene Konzeption der verschiedenen Ausbaustufen der Software (hier SORMAS-X, aber auch jeder anderer Anwendung in der Entwicklung). Welche Zwecke soll eine Schnittstelle genau erfüllen? Welche Aufgaben sollen damit erledigt werden und durch wen?
Wenn diese Konzeption steht, kann im zweiten Schritt dazu übergangen werden, die Anforderungen an Datenschutz und Informationssicherheit definieren.
Die Umsetzung kann und darf dann nur auf der Grundlage der zuvor beschriebenen Schritte eins und zwei erfolgen. Klar ist, dass diese Schritte nicht immer perfekt zu trennen sind. Es muss aber auf jeden Fall gewährleistet sein, dass alle Beteiligten darauf hinwirken, nicht einfach auf Zuruf zu entwickeln und zu programmieren, sondern die Konzeption im Auge zu behalten und gegebenenfalls einzufordern.
Klare und transparente Verteilung von Verantwortlichkeiten zwischen den beteiligten Stellen. Festhalten derselben in einer internen Vereinbarung: wer ist für die Generierung von Testdaten zuständig? Wer verantwortet die Migration von Daten? Wer verantwortet die Umsetzung der Anforderungen an ein datenschutzfreundliches Technikdesign? (Um nur ein paar zu nennen).
Die Umsetzung dieser Vorgehensweise würde zu erheblichen Effizienzgewinnen führen, da in einem Projekt mit vielen Beteiligten nicht ständig diskutiert werden müsste wer gerade für Sicherheitsfragen zuständig ist, generell zuständig ist, oder zuständig sein sollte. Abgesehen von den Effizienzgewinnen wäre so auch eine Einhaltung der Vorgaben des Privacy by Design besser möglich. Die Frage, wer am Ende die Verantwortung für die Umsetzung des Privacy by Design und der Anforderungen des Art. 32 DSGVO im Rahmen der Softwareentwicklung hat, soll einem weiteren Artikel vorbehalten sein.
Weitere Artikel zum Datenschutz für die SORMAS-Software finden Sie u.a. hier und hier.
Wir unterstützen Sie gerne bei Digitalisierungsprojekten. Sprechen Sie uns an.