Die EU Datenschutzgrundverordnung für Datenbankadministratoren und Entwickler
Die EU Datenschutzgrundverordnung stellt die Datenbankadministratoren und Entwickler vor neue Herausforderungen. Hier werden die wichtigsten Themen aufgezeigt und Maßnahmen zur Lösungen der Anforderungen vorgeschlagen.
Disclaimer
Wir von DB Masters sind keine Juristen. Wir sind Techniker, die die EU Datenschutzgrundverordnung aus technischer Sicht interpretieren und versuchen, diese in die Sprache von Technikern zu übersetzen. Dieser Artikel zum Thema EU Datenschutzgrundverordnung ersetzt keineswegs die Notwendigkeit, sich juristisch beraten zu lassen.
Was ist die EU Datenschutzgrundverordnung (EU-DSGVO)?
Mit der EU-DSGVO schafft die EU Sicherheit für Ihre Bürger, aber auch für Unternehmen. Die Verordnung kann jederzeit direkt auf der Homepage der EU unter http://ec.europa.eu/justice/data-protection/index_en.htm eingesehen werden und ist ab Ende Mai 2018 in allen EU-Ländern gültig.
Was sind die Vorteile für EU-Bürger?
Erstmals wird Datenschutz für Personendaten ernsthaft geregelt. Bis jetzt war es in vielen Ländern - auch in Österreich und Deutschland - so, dass die Strafen für Unternehmen, denen ein Fehlverhalten nachgewiesen wurde, im Bereich von einigen 1.000,-- Euro lagen. Mit der neuen EU Datenschutzgrundverordnung liegt der Strafrahmen bei 20 Millionen Euro bzw. 2% des Konzernumsatzes (es soll der höhere Wert gelten) und kann bei vorsätzlichem Handeln noch verdoppelt werden - damit wird der Datenschutz auf einmal zur Chefsache!
Aber was sind jetzt die Vorteile für uns EU-Bürger im Detail?
- Klare Regeln, die in (fast) ganz Europa gelten.
- Die Regeln gelten auch für Unternehmen außerhalb Europas, die in der EU (Dienst-)leistungen anbieten.
- Die definierten Rechte können leichter eingefordert werden. Bis jetzt musste man als Betroffener dem Unternehmen meist nachweisen, dass dieses etwas falsch gemacht hat. Jetzt muss das Unternehmen nachweisen, dass es alles richtig gemacht hat.
Was sind die wesentlichsten Rechte, die uns zugestanden werden?
- Recht auf Vergessen: Sie können verlangen, dass ein Unternehmen alle Ihre Personendaten löscht (sofern nicht gesetzliche Regelungen das verhindern: beispielsweise müssen Rechnungen in Österreich mindestens 7 Jahre aufbehalten werden).
- Recht auf Auskunft: Welche Daten hat ein Unternehmen über mich gespeichert? Das gibt es in einigen Ländern schon jetzt, allerdings ist dies immer mit einigen Einschränkungen oder Kosten verbunden.
- Recht auf Datenübertragung: Sie können verlangen, dass ein Unternehmen Ihnen alle Ihre Daten in elektronischem Format zur Verfügung stellt. Google bietet das schon jetzt an. Siehe https://myactivity.google.com/myactivity.
Welche Vorteile bietet die EU-DSGVO für Unternehmen?
Auch wenn es auf den ersten Blick nicht so aussieht, gibt es auch Vorteile für Unternehmen. Diese sind unter anderem:
- EU einheitliche Regelungen - nicht mehr wie bisher: verschiedene Gesetze in jedem Land.
- Einige andere europäische Länder werden sich anschließen - beispielsweise die Schweiz.
- EU-weit durchsetzbare Regeln - auch für Unternehmen.
Was steht - in aller Kürze - in der EU Datenschutzgrundverordnung?
Diese ist vom Aufbau her ein "Verbot mit Erlaubnisvorbehalt". Den Unternehmen ist jeglicher Umgang mit persönlichen Daten solange verboten, bis dieser explizit erlaubt wird. Diese Erlaubnis kann nur von zwei Stellen erfolgen:
- Durch den Gesetzgeber - beispielsweise müssen Rechnungen in Österreich 7 Jahre aufbehalten werden.
- Durch den Betroffenen selbst - also durch Sie. Leider versuchen viele Unternehmen, Ihre Erlaubnis im Austausch für die Nutzung von Produkten / Applikationen zu erhalten.
Es gilt grundsätzlich eine Zweckbindung, sodass Daten nur soweit genutzt werden dürfen, wie dies notwendig ist. Diese ist viel enger definiert, als es bisher in den meisten EU Ländern gesetzlich geregelt ist. Einige Beispiele dazu sind:
- Bei Bestellungen für die Auslieferung der Waren und den Versand der Rechnung – die Daten dürfen dann nicht für Marketing genutzt werden, solange der Kunde nicht explizit zustimmt.
- Die durch Gewinnspiele (die oft zum Erhalt von Adressen für Marketing genutzt werden) erhaltenen Personendaten dürfen in Zukunft nicht mehr ohne ausdrücklicher Zustimmung für Marketingzwecke genutzt werden.
Was sind die wesentlichen Punkte der Verordnung?
Die Verordnung läßt sich vereinfacht auf folgende Punkte zusammenfassen (diese Liste ist nicht als vollständig zu betrachten):
- Personenbezogene Daten dürfen nur auf nachvollziehbare Weise und lediglich im notwenigen Maß verarbeitet werden. Dies ist durch geeignete technische und organisatorische Maßnahmen sicherzustellen und muss nachgewiesen werden können.
- Personen haben das Recht auf Löschung ("Vergessen"). Dies muß ohne unangemessene Verzögerung erfolgen!
- Personen haben das Recht auf die Aushändigung ihrer Daten in strukturierter, gängiger und maschinenlesbarer Form (Recht auf Datenübertragbarkeit).
- Personendaten müssen unter Berücksichtigung des Stands der Technik geschützt werden.
- Sollten Personendaten kompromittiert sein, müssen die betroffenen Personen ohne unangemessene Verzögerung in klarer und einfacher Sprache verständigt werden.
Wie kann man diese Punkte aus technischer Sicht interpretieren?
Nachvollziehbare Weise und im notwenigen Maß
Es muss dokumentiert und sichergestellt werden, dass die Personendaten nur für den Zweck verwendet werden, für den sie vorgesehen sind. Eine anderweitige Nutzung ist nicht erlaubt und bedarf einer erneuten Zustimmung!
Geeignete technische und organisatorische Maßnahmen
Diese Definition läßt sehr viel Interpretationsspielraum offen und wird sicher sehr oft erst durch ein Gericht zu klären sein. Einige Ideen dazu:
- Personendaten getrennt von anderen Daten speichern. Jeder Zugriff ist nur über Schnittstellen möglich, bei denen man den Grund für den Zugriff übergeben muss. Diese Begründung wird dann bei den Personendaten protokolliert.
- Personendaten werden nur solange gespeichert, bis der gewünschte Verwendungszweck erfüllt ist.
Beispiel WebShop: bis die Waren ausgeliefert, das Rückgaberecht (Online Shops: 14 Tage) erloschen und die Zahlung erfolgt ist. Danach hat die Firma nur noch die auf Papier ausgedruckte Rechnung (für das Finanzamt) sowie einen Zahlungseingang in der Buchhaltung.
Natürlich gibt es noch viele verschiedene Ideen und Möglichkeiten. Diese beiden Beispiele sind aus Sicht des Datenschutzes sehr gut, aber nicht aus Sicht der Nutzbarkeit - wer möchte in seinem Lieblingswebshop jedes mal seine Daten neu eingeben?
Recht auf Löschung ("Vergessen")
Dieses Recht ist mit Sicherheit das Spannendste. Speziell bei großen Unternehmen mit vielen Datenbanken und Dokumentenablagen (elektronisches Dokumentenarchiv, eMail Systeme,...) wird das eine Herausforderung! Denn parallel zu dem Wunsch der Person, dass die Daten gelöscht werden, muß auch sichergestellt werden, dass man die rechtlichen Aspekte (Finanzamt: Rechnungsaufbewahrung, Banken: 30 Jahre Bankdaten,...) eingehalten werden.
Das Recht auf Löschung könnte nun so aussehen, dass die Personendaten derart anonymisiert werden, dass ein Rückschluss auf die Person nicht mehr möglich ist. Aber auch das ist nicht leicht umzusetzen, da man die vielen - meist sehr komplexen - Datenverarbeitungen über mehrere Systeme und Datenbanken hinweg entsprechend anpassen muss.
Recht auf Datenübertragbarkeit
Das Unternehmen muss alle Personen- und Vertragsinformationen innerhalb einiger Werktage in elektronischer Form übergeben. Das könnte Folgendes sein:
- Bei einer Versicherung neben den Personendaten auch die Verträge mit den Vertragsdetails.
- Bei einer Bank neben den Personendaten auch alle Konten, Sparbücher, Wertpapierkonten, Kreditkonten,... vermutlich sogar mit Informationen zur Zahlungsmoral (bei Krediten).
- Bei Facebook - alles was man gepostet hat! Damit man die Daten zum Beispiel zu Google+ mitnehmen kann!
Um es auf den Punkt zu bringen: wir Bürger sollen in Zukunft einfacher und schneller verschiedene Anbieter miteinander vergleichen können und dann entsprechend einfach und leicht die Versicherung, den Strom- oder Gasanbieter, aber auch das soziale Netzwerk wechseln können.
Unter Berücksichtigung des Stands der Technik geschützt
Was ist der aktuelle Stand der Technik? Sind das die Firewalls und Anti-Virus Produkte, die Unternehmen normalerweise im Einsatz haben? Vermutlich nicht! Es gibt viele Produkte und Funktionalitäten zum Thema Datensicherheit - hier eine kleine Auswahl der Möglichkeiten im Zusammenhang mit Datenbanken (Liste nicht vollständig):
- Datenverschlüsselung sowohl bei der Übertragung als auch in der Datenbank.
- Sicheres Identifizieren / Authentifizieren von Zugriffen auf Personendaten.
- Datenbank Zugriffsauditierung
- Virtual Private Database - beim Zugriff stellt die Datenbank sicher, dass man nur die wirklich nötigen Daten sieht.
- Datamasking - für die Tätigkeit nicht benötigte Teile von Daten werden anonymisiert. Zum Beispiel braucht der CallCenter Mitarbeiter die Kreditkartendaten bei einer Produktreklamation nicht zu sehen.
- Datenbank Vault (Verhinderung von Zugriffen von Administratoren auf Daten in der Datenbank).
- Datenbank Aktivity Monitoring
- Datenbank Firewalling
Kompromittierung von Personendaten
Betroffene Personen sind ohne unangemessene Verzögerungen (einige Tage) in klarer und einfacher Sprache zu verständigen (kein Juristenschreiben!). Das ist aus vielen Gründen eine Herausforderung für die Unternehmen - unter anderem aus diesen Gründen:
- Welche Sprache versteht die Person?
Nur weil der WebShop auf Deutsch ist, muss das noch lange nicht bedeuten, dass alle Kunden Deutsch verstehen! - Wie verständigt man die Personen?
Wenn man eMails verschickt können diese möglicherweise nicht zugestellt werden. Außerdem muss man ja nachweisen, dass man die Person verständigt hat! - Die Verständigung sollte dokumentiert werden, um sie später nachweisen zu können.
- Was macht man, wenn die eMail Adresse nicht mehr gültig ist? Anrufen oder einen Brief schicken? Solche Überlegungen muss man ebenfalls dokumentieren.
Es reicht nicht aus, sich mit dem Thema erst dann zu beschäftigen, wenn die Kompromittierung schon stattgefunden hat. Die Strategie zur Verständigung der Personen muss vorhanden sein. Idealerweise sind schon Schreiben in mehrere/vielen Sprachen vorbereitet. Die Möglichkeit für eine nachweisliche Dokumentation der Verständigungsversuche muss geschaffen werden.
Wie lange haben wir noch Zeit?
Ein Jurist hat Ende 2016 gesagt: "Wir haben ja noch über eineinhalb Jahre Zeit uns damit zu beschäftigen!". Aus technischer Sicht ist das leider nicht so - eher stimmt "Wir sind schon Jahre zu spät mit der Planung und Umsetzung dran!". Die Vorbereitung und Umsetzung ist sicher nicht in einigen Monaten erledigt, sie umfasst unter anderem folgende Themen:
- Überarbeiten (oder Erstellen) von IT Sicherheitskonzepten und deren Anpassung an die neuen Anforderungen.
- Genauere Dokumentation wer (Person) darf sich von wo (intern, extern, zuhause) mit welchen Technologien (VPN, SSO,...) anmelden und hat dann welche Zugriffsrechte (bekannte Benutzer und Kennwörter, su/sudo,...) und Möglichkeiten Personendaten zu sehen?
- Welche aktuellen Security Technologien werden schon eingesetzt/genutzt? Speziell im Datenbankumfeld gibt es umfangreiche Möglichkeiten wie Case Sensitive Passwörter, Proxy Authentification, Auditing, Netzwerkverschlüsselung, ....
Herausforderungen für Datenbankadministratoren
Datenbankadministratoren (oder Systemadministratoren im Allgemeinen) haben tätigkeitsbedingt viele Möglichkeiten, die Datensicherheit zu beeinflussen. Leider wird das Thema Security in vielen Firmen eher als "Kostenfaktor" statt als "essentielle Grundlage" verstanden. Die Administratoren sollten aus reinem Selbstschutz potentielle Schwachstellen und Probleme aufzeigen und dokumentieren, sonst können sie als Verantwortliche für ein Sicherheitsproblem angeprangert werden.
Welche Sicherheitsprobleme gibt es bei vielen Installationen? Eine kleine Auswahl:
- Applikationsbenutzer haben in der Datenbank zu viele Rechte (oft Administrationsrechte). Das liegt oft daran, dass Softwarelieferanten sich lieber mit Funktionalitäten der Applikation beschäftigen als mit Sicherheitsthemen.
- Bei vielen Anwendungen erfolgt die Anmeldung von Applikations- oder WebServern als Applikationseigentümer (der Benutzer, dem die Tabellen gehören). Als Applikationseigentümer hat man aber alle Rechte auf die eigenen Datenbankobjekte - dadurch wird ein Missbrauch leichter möglich. Eine Lösung sind eigene Benutzer mit denen die Anmeldungen erfolgen und die dann nur die benötigten Zugriffsrechte auf die Datenbankobjekte und Daten erhalten.
- Fehlende Auditierung von Zugriffen auf Personendaten. Kaum eine Applikation protokolliert den Zugriff auf Personendaten. Selbst wenn die Applikation dies wirklich anbietet, gilt das in den meisten Fällen nur für Zugriffe über die Applikation selbst, nicht jedoch Zugriffe durch direkt angemeldete Benutzer! Ein zentrales Zugriffsmonitoring / Auditieren ist somit anzuraten. Zusätzlich können dann auch die Zugriffe von Administratoren protokolliert werden. Das ist ein Schutz für Administratoren, damit Ihnen nicht vorgeworfen werden kann, dass Sie Personendaten unberechtigt weitergegeben haben!
- Mehrere Applikationen mit zu vielen Rechten in der Datenbank werden in ein und der selben Datenbank abgelegt. Damit ermöglicht man den Zugriff auf die Daten von anderen Applikationen. Wird eine Applikation kompromittiert (gehackt), hat der Hacker damit auch gleich Zugriff auf die Daten der anderen Applikationen.
- Standard Passwörter für Applikationen / Applikationsbenutzer. Oft funktionieren Applikationen nur dann, wenn der Applikationsbenutzer ein (bekanntes) Standardpasswort verwendet. Das macht es zwar für die Softwarehersteller einfacher, eröffnet aber sehr vielen Personen den Zugriff auf die Daten beim Kunden.
- Passwörter, die schon lange nicht mehr (oder noch nie) geändert wurden. Die Passwörter werden bei der Installation der Applikation abgefragt und können dann nur noch sehr aufwändig geändert werden - was oft genug nicht passiert. Mit der Zeit kennen immer mehr Personen dieses Passwort.
- Alle Administratoren melden sich mit einem Standard Benutzer an die Systeme an. Damit ist es meist nicht möglich zu sagen, wer es gewesen ist.
Zum Lösen dieser und andere Sicherheitsthemen gibt es nicht "den einen Weg", sondern verschiedene Möglichkeiten. Das beginnt mit Aufforderungen an die Softwarehersteller ihre Produkte zu verbessern (Passwortwechsel ermöglichen oder sogar erzwingen, Zugriffsauditierung, nur die nötigen Berechtigungen für die Applikation anfordern, etc.) und geht über unternehmensweite Lösungsansätze für Auditing und Zugriffsmonitoring (Stichwort: Database Activity Monitoring, Database Firewalling, Intrusion Detection,...) bis hin zur sinnvollen Nutzung von Datenbankauditing - unabhängig von der Applikation.
Das Finden der passenden Lösung für das Unternehmen geht in vielen Fällen nur mit der Unterstützung durch externe Berater - was wir als DB Masters im Zusammenhang mit Datenbanken und Applikationen auch anbieten. Unabhängig davon müssen Mängel und Sicherheitsprobleme aufgezeigt, dokumentiert und dem Management zur Kenntnis gebracht werden.
Herausforderungen für Applikationsentwickler
Aus vielen Gründen haben Applikationsentwickler nur sehr wenig Zeit, um sich über Sicherheitsthemen Gedanken zu machen. Das beginnt mit dem hohen Termindruck (bis zum Releasedatum an dem neue Funktionalitäten oder Versionen fertig sein müssen), liegt aber oft auch am Desinteresse, sich mit Themen wie "Datenbankberechtigungen" überhaupt auseinander zu setzen. Last but not least: in vielen Fällen wird es vom Auftraggeber auch nicht verlangt. Dies wird sich mit der EU Datenschutzgrundverordnung ändern. Die Unternehmen werden darauf bestehen, dass Sicherheitsaspekte zumindest rund um die Personendaten nachgebessert werden. Einige der Themen, die auf Entwickler zukommen, wurden schon bei den Datenbankadministratoren aufgeführt. Zusätzlich ergeben sich noch weitere, essentielle Anforderungen an Entwickler.
Recht auf Vergessen
Die entsprechende Umsetzung des Löschens von Personendaten ist stark von der Applikation und dem Datenmodell abhängig. Zusätzlich kommen noch Themen wie Schnittstellen und Datenweitergaben dazu, die hier berücksichtigt und angepasst werden müssen. Bei komplexeren Umgebungen, wo möglicherweise mehrere Softwareprodukte verschiedener Hersteller zusammenspielen, wird das zu einer großen Herausforderung.
Oft verwendete Ansätze aus der Vergangenheit, dass man statt einem echten Löschen nur ein Flag "gelöscht" nutzt, reicht jetzt definitiv nicht mehr. Zusätzlich muss man gesetzliche Vorgaben (Rechnungslegung, Garantieansprüche,...) berücksichtigen.
Recht auf Datenübertragung
Jede Person hat das Recht auf Aushändigung seiner Personendaten in einem gängigen elektronischen Format (XML, HTML, Text, PDF,..). Nur: wie kann man das bei größeren Unternehmen, die Personendaten in verschiedenen Systemen verarbeiten, umsetzen? Oft sind mehrere (duzende oder gar hunderte) Applikationen verschiedener Softwarelieferanten im Einsatz. Wer ist jetzt für die entsprechende Umsetzung dieses Rechts verantwortlich?
Noch spannender sind die nicht strukturierten Informationen, die man über Personen hat (Dokumente auf Filesystemen wie Angebot oder Verträge). Schon das Auffinden von diesen stellt eine Herausforderung dar, speziell bei Branchen mit Vertretern (Beispiel: Versicherungsvertreter). Hier muss das Unternehmen sicherstellen, dass alle Dokumente, die der Vertreter über eine Person angelegt hat, ebenfalls berücksichtigt werden!
Privacy by Design
Bei neuen Entwicklungen muss der Personendatenschutz vor der Applikationsfunktionalität stehen. Das Applikationsdesign muss so gestaltet werden, dass der Personendatenschutz im Mittelpunkt steht und sichergestellt ist! Bis jetzt war dies normalerweise nur die Funktionalität der Applikation und nicht die Sicherheit. Ein Paradigmenwechsel, den man erst verstehen und umsetzen muss.
Information bei Kompromittierung von Personendaten
Dazu brauchen Unternehmen möglicherweise eine neue Softwarelösung, bei der man über Schnittstellen jene Personen, deren Daten kompromittiert wurden, laden kann und die dann die nachweisliche Verständigung und deren Dokumentation übernimmt. Ein Outsourcing dieser Funktionalität an externe Dienstleister ist nicht zu empfehlen, da es bei den Betroffenen sicher nicht gut ankommt, wenn deren Daten zuerst kompromittiert wurden und man diese dann gleich nochmals an einen exteren Anbieter übergibt...
Zusammenfassung
Die EU Datenschutzgrundverordnung ist eine Herausforderung an Unternehmen, wobei speziell die IT Abteilungen gefordert sind. Da die Vorgaben in der Verordnung bewusst recht allgemein gehalten sind, bedeutet das, dass man sich über aktuelle Technologien und Möglichkeiten zur Absicherung von Personendaten und die Auditierung der Zugriffe darauf auseinandersetzen muss. Diese Überlegungen umfassen nicht nur die Absicherung der Daten dort, wo diese aktuell liegen, sondern bedürfen auch einer Anpassung von Businessprozessen. Es wird einige Geschäftsmodelle (Inkasso, personalisierte Werbung, ...) vor neue Herausforderungen stellen.
Wir von DB Masters können Sie - egal ob Sie Software entwickeln oder in Ihrem Unternehmen mit Personendaten arbeiten - bei den Überlegungen und Evaluierungen von Lösungen unterstützen und Ihnen bei der Implementierung helfen.
Weiterführende Informationen
- Wir haben einige unserer Vorträge zu diesem Thema auf Youtube für Sie bereitgestellt.
- Die aktuelle Fassung der EU Datenschutzgrundverordnung finden Sie direkt auf der Homepage der EU.