c't 19/2017
S. 120
Hintergrund
Datenschutz-Prüfungen
Aufmacherbild
Bild: Jörg Niehage

Prüfungs-Placebo

Datenschutzbehörden tun sich mit technischen Prüfungen schwer

Die Datenschutzaufsichtsbehörden dürfen ab 2018 Bußgelder in Millionenhöhe bei Verstößen gegen Datenschutzvorschriften verhängen. Um diese bei Software oder in Webseiten nachzuweisen, benötigt man allerdings ein IT-Labor, über das nur wenige Behörden verfügen. Zudem steckt die Entwicklung datenschutz-spezifischer Prüf- und Audit-Tools noch in den Kinderschuhen. Aber es gibt spannende Ansätze.

Nächstes Jahr muss die europäische Datenschutzgrundverordnung in deutsches Recht umgesetzt werden. Die Datenschutzaufsichtsbehörden sollen dann Unternehmen und öffentliche Stellen intensiver prüfen. Sie sollen nicht nur untersuchen, ob die Datenverarbeiter die Anforderungen an die IT-Sicherheit erfüllen, sondern auch, ob organisatorische Vorgaben erfüllt werden. Das betrifft beispielsweise Privacy by Design, also in der Struktur von Software verankerter Datenschutz, und Privacy by Default, die Richtschnur, dass restriktive Datenschutzeinstellungen bei allen Prozessen die Standardvorgabe sein sollen. Verstoßen Unternehmen gegen Datenschutzvorschriften, können die Behörden künftig deutlich höhere Bußgelder verhängen. Sie müssen dann allerdings auch in der Lage sein, diese Bußgelder vor Gericht durchzusetzen, indem sie hieb- und stichfeste Beweise liefern. Dabei wird die Güte technischer Prüfungen und Audits eine große Rolle spielen.

Wie eine Umfrage von c’t unter allen 18 deutschen Datenschutzaufsichtsbehörden zeigt, ist bislang aber keine Behörde personell, methodisch und technisch für diese Aufgabe gerüstet. Die vorwiegende Anzahl von Prüfungen erfolgt traditionell per Schriftwechsel oder über Fragebögen und wird in erster Linie juristisch und nicht technisch bewertet. Wie umfangreich und tief die jeweilige Prüfung ausfällt, hängt vom Prüfobjekt und von den Prüfzielen ab. Technische Überprüfungen von Websites, Anwendungen oder IT-Systemen finden in der Praxis bisher eher selten statt. Auch forensische Untersuchungen, etwa von sichergestellten Datenträgern, gehören noch zu den Ausnahmen.

Kommentieren