Anforderungen an Systemschnittstellen

Technisch realisierte Schnittstellen an Systemgrenzen zwischen IT-Systemen oder IT-Diensten sind auch Ausdruck der Vereinbarungen und Regelungen, die zwischen Verantwortlichen gemäß Art. 24 DSGVO und Auftragsverarbeitern gemäß Art. 28 DSGVO umgesetzt sind. Inhärente multilaterale Verbindungen zwischen eingesetzten IT-Systemen und IT-Diensten machen es aus technischer Sicht erforderlich, dass Systemgrenzen und Schnittstellen besonders durch die Verantwortlichen zu überprüfen sind. Dabei sollte ein technisches Ziel sein, Datenflüsse auf allen Systemebenen zu kontrollieren. Denn jedes IT-System oder jeder IT-Dienst besitzt sowohl mindestens eine Systemgrenze als auch mindestens eine zur Nutzung bestimmte Schnittstelle. Nur über diese vorgesehenen Schnittstellen sollte auf bereitgestellte Funktionalitäten zugegriffen werden.

Eine unternehmens- oder organisationsinterne Überwachung sollte durch den Verantwortlichen gerade dann durchgeführt werden, wenn unternehmens- oder organisationsübergreifend IT-gestützte Prozesse implementiert werden. Implementierungen der jeweiligen IT-Systeme oder IT-Dienste müssen mit den genannten Vereinbarungen korrespondieren und die Zuständigkeiten eines Verantwortlichen bzgl. eines oder mehrerer Verarbeitungsvorgänge gemäß Art. 30 Abs.1 DSGVO dargestellt werden. Nur wenn solche Vereinbarungen explizit und dokumentiert sind, können sie korrekt umgesetzt werden. Nach ihrer Bereitstellung ist die Überprüfung vereinbarungskonformer Verarbeitungen erforderlich. Ebensolche Zuständigkeiten sind im Zusammenhang mit den Zuständigkeiten eines Auftragsverarbeiters (Art. 30 Abs. 2 DSGVO) zu sehen.

In Verbindung mit mehreren Meldungen gemäß Art. 33 DSGVO ist festzustellen, dass es häufig zu Verletzungen des Schutzes personenbezogener Daten durch Datenabflüsse an Systemgrenzen kommt. Das geschieht insbesondere, wenn Verantwortliche gemäß Art. 24 DSGVO Verarbeitungstätigkeiten an Auftragsverarbeiter gemäß Art. 28 DSGVO auslagern. Aus technischer Sicht empfiehlt sich eine bessere Überwachung der Funktionstüchtigkeit von Schnittstellen zwischen IT-Systemen und IT-Diensten zur Gewährleistung datenschutzrechtlicher Anforderungen gemäß Art. 32 DSGVO auf Dauer. Mit Überwachung von Systemschnittstellen kann die Wahrscheinlichkeit des Eintritts von Verletzungen des Schutzes personenbezogener Daten reduziert werden, wenn hinsichtlich der Ergebnisse entsprechende Maßnahmen ergriffen werden.

Aus technischer Sicht führt die Ausgestaltung des Verhältnisses zwischen Verantwortlichem zu seinem oder gar zu mehreren seiner Auftragsverarbeitern zur Realisierung einer multilateralen Datensicherheit. Einerseits bedeutet dies eine Trennung solcher Zuständigkeiten im Sinn klarer Festlegungen (Art. 30 DSGVO). Anderseits ist zur Sicherstellung der Funktionstüchtigkeit der IT-Systeme und IT-Dienste unternehmens- bzw. organisationsübergreifend zu wirken. Um IT-gestützte Prozesse zu realisieren, sind IT-Systeme oder IT-Dienste in eine komplexe IT-Landschaft integriert. Die Sicherheit der Verarbeitung gemäß Art. 32 DSGVO ist somit auch unternehmens- und organisationsübergreifend zu gewährleisten, insbesondere durch geeignete und angemessene technisch-organisatorische Maßnahmen.

Wenn ein Auftragsverarbeiter gleichzeitig Hersteller eingesetzter Software ist, hat er maßgeblichen Einfluss auf die Technikgestaltung im Sinne des Art. 25 DSGVO. Aus dieser Konstellation ergeben sich spezielle Herausforderungen, eine multilaterale Datensicherheit zu realisieren bzw. eine geeignete und angemessene Überwachung durch den Verantwortlichen sicherzustellen. Mögliche Interessenskonflikte sollten vermieden werden.

Unternehmens- oder organisationsinterne Überwachungen von Systemgrenzen und ihrer Schnittstellen sind durch einen Verantwortlichen zu organisieren. Das bedeutet:

1. Die Überwachung von Systemgrenzen erfordert eine inhaltliche Betrachtung und entsprechende funktionale und nicht-funktionale Definitionen von Schnittstellen, die den oben genannten datenschutzrechtlichen Anforderungen genügen müssen.
2. Gegen solche Schnittstellenspezifikationen ist die tatsächliche Implementierung und deren Einsatz in IT-Systemen und IT-Diensten regelmäßig zu prüfen, d.h. diese sind entsprechend eines vereinbarten Turnus durch den Verantwortlichen zu überwachen, und nicht nur beim Eintreten von Störungen oder gar Ausfällen zu inspizieren.
3. Im Rahmen dieser Überwachung muss die Wirksamkeit ergriffener technisch-organisatorischer Maßnahmen über Systemgrenzen hinweg nachgewiesen werden, um z.B. die Funktionstüchtigkeit systemübergreifender IT-gestützter Prozesse sicherzustellen.
4. Ergebnisse solcher Überwachungen sind datenschutzrechtlich zu bewerten.
5. Anhand dieser datenschutzrechtlichen Bewertung sollte der Verantwortliche, möglichst in Kooperation mit dem jeweiligen Auftragsverarbeiter, entscheiden, ob und wenn ja, welche Anpassungen und Verbesserungen auf welchen Ebenen vorzunehmen sind, so dass eine datenschutzkonforme Verarbeitung personenbezogener Daten unter Einsatz der IT-Systeme und IT-Dienste auf Dauer gewährleistet bleibt (Art. 32 DSGVO). Somit sollten die Vereinbarungen bzw. datenschutzrechtlichen Anforderungen (Art. 24 DSGVO i.V.m. 28 DSGVO) erhalten bleiben.

Ferner können die Ergebnisse dieser regelmäßigen Überwachungen durch den Verantwortlichen auch zu einer datenschutzrechtlichen Neubewertung bestehender Vereinbarungen zur Auftragsverarbeitung oder ergriffener technisch-organisatorischer Maßnahmen führen, falls größere Abweichungen gegenüber der vorher bestimmten Schnittstellenspezifikation festgestellt werden.

Diese dargestellte Vorgehensweise scheint empfehlenswert, weil das Auftreten von Datenabflüssen durch unerwünschte Seiteneffekte an Systemschnittstellen zwischen IT-Systemen und IT-Diensten zu vermeiden ist, deren Funktionalitäten aus technischer Sicht verteilt realisiert sind. In Hinblick auf die eingegangenen Meldungen gemäß Art. 33 DSGVO bestünde für Verantwortliche und Auftragsverarbeiter die Chance, solchen Datenabflüssen vorzubeugen. Des Weiteren kann davon ausgegangen werden, dass sich auch die Wahrscheinlichkeit reduziert, dass ein Verantwortlicher eine Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO zu melden hat.

Quelle: HBDI

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
• Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
• Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO

Dieser Absatz enthält Affiliatelinks/Werbelinks