DSGVO: Datenschutz-Folgenabschätzung bei Storage-Lösungen

Storage-Technologien und Speicherverfahren müssen untersucht werden

Es stellt sich die Frage, ob und wann ja wo die eingesetzten Storage-Lösungen hierbei eine Rolle spielen. Dies ist zum einen der Fall, wenn neue Technologien im Storage-Bereich eingesetzt werden, zu denen das Unternehmen noch nicht genug Erfahrung gesammelt hat.

Hier sollte also eine Risikoanalyse erfolgen, damit mögliche Datenschutzrisiken nicht mangels Erfahrung und Wissen übersehen werden.

Eine weitere Frage, die es zu klären gilt, um die möglichen Risiken besser abschätzen zu können, gilt der Notwendigkeit und Verhältnismäßigkeit bei der Speicherung von personenbezogenen Daten.

Gemeint ist damit, ob die personenbezogenen Daten womöglich zu lange beziehungsweise nicht dem Zweck entsprechend gespeichert werden. Dies wäre ein Verstoß gegen den Grundsatz der Speicherbegrenzung.

Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

Personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von der DSGVO zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke verarbeitet werden.

Storage-Lösungen müssen auch deshalb bei einer Datenschutzfolgenabschätzung (Artikel 35 DSGVO) auf Risiken hin untersucht werden, weil die dort befindlichen Daten in einer Weise gespeichert werden müssen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.

Hinweise der Aufsichtsbehörden zur Datenschutzfolgenabschätzung

Die Frage nach dem „Schwellwert“ für Risiken, ab wann eine Datenschutzfolgenabschätzung erforderlich ist, wird sich in Zukunft leichter beantworten lassen, denn hierzu wird es Leitlinien des Europäischen Datenschutzausschusses (EDSA) geben, einem neuen Gremium bestehend aus Vertretern der nationalen Aufsichtsbehörden. Die Vorläufer-Organisation (Artikel 29 Datenschutzgruppe) hat zu entsprechenden Fragen der Datenschutzfolgenabschätzung bereits ein Arbeitspapier (Guidelines on Data Protection Impact Assessment (DPIA)) veröffentlicht.

In diesen Leitlinien finden sich auch Beispielverfahren, bei denen ein hohes Risiko für die Betroffenen zu erwarten und deshalb der Bedarf für eine Datenschutzfolgenschätzung genau zu prüfen ist. Dazu gehört die Speicherung pseudonymisierter, vertraulicher Daten zum Beispiel aus einer klinischen Studie.

Hier ist nicht nur zu prüfen, ob die Vertraulichkeit der Daten in Gefahr und die betroffenen Personen indirekt identifiziert werden können. Auch die Frage muss geklärt werden, ob die betroffenen Personen an der Durchführung eines Vertrags oder die Nutzung einer Dienstleistung gehindert werden, wohlgemerkt durch die pseudonymisierte Speicherung.

Dies zeigt, dass es nicht ausreicht, dass die gespeicherten Daten in ihrer Vertraulichkeit und Integrität geschützt sind. Auch die Betroffenen müssen noch in der Lage sein, von ihren Rechten Gebrauch zu machen.

Es zeigt sich: Storage-Systeme werden grundsätzlich bei einer Datenschutzfolgenabschätzung zu untersuchen sein, zum einen, um die Maßnahmen der IT-Sicherheit und die Speicherdauer zu hinterfragen, zum anderen, weil von dem Speicherverfahren selbst Risiken für die Betroffenen ausgehen können.

Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!