Expertengespräch – Was die EU-DSGVO mit Zugriffskontrollen zu tun hat

Dr. Ann Cavoukian im Gespräch mit Varonis

An dieser Stelle fahren wir mit unseren Expertengesprächen fort und wenden uns gemeinsam mit Dr. Ann Cavoukian dem Thema EU-Datenschutzgrundverordnung und Berechtigungsmanagement zu. Dr. Cavoukian, nach ihrer politischen Karriere inzwischen Executive Director of Ryerson University’s Privacy and Big Data Institute hat maßgeblich das Privacy by Design-Konzept mit entwickelt. Darüber hinaus, und das ist es, was uns an dieser Stelle interessieren soll, haben ihre Sprachregelungen Eingang in die 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung gefunden.

Bereits in unserem letzten Gespräch hatte Dr. Cavoukian besonders hervorgehoben, dass Gesetze, Vorschriften und Konzepte immer nur so tragfähig sind wie die Menschen, die sie umsetzen sollen, tatsächlich dahinter stehen – und mehr noch: wie sehr die Beteiligten in die Entscheidungen mit einbezogen werden. Ihr Credo hat sich nach eigenen Aussagen in der Praxis bestens bewährt: „Sie würden vermutlich überrascht sein, wie sehr Kunden sich unter diesen Bedingungen im gesamten Prozess engagieren. Warum? Weil Sie zunächst eine Vertrauensbasis geschaffen haben. Und: Ihre Kunden fühlen sich mit ihrem Bedürfnis nach Privatsphäre und Datenschutz ernst genommen.“

Wir haben einige der Highlights unseres Gesprächs für Sie zusammengefasst:

Zugriffskontrolle und Berechtigungsmanagement

„Unternehmen sollten den Zugriff auf Daten in jedem Fall auf die Personen beschränken, die auch das Recht haben darauf zuzugreifen. Und das sind diejenigen, die aus unternehmerischen beziehungsweise geschäftlichen Gründen mit diesen Daten notwendigerweise arbeiten. Dabei fasse ich den Begriff „unternehmerische beziehungsweise geschäftliche Notwendigkeit“ bewusst weiter. Wenn Sie beispielsweise an ein Krankenhaus denken, können das all diejenigen Mitarbeiter*innen sein, die sich um die Patienten kümmern. Unabhängig vom Kontext. Das kann auch im Labor sein wo das Personal vielleicht mit diversen Tests beschäftigt ist. Es gibt also durchaus verschiedene Bereiche, in denen Personen beschäftigt sind, die berechtigt sind auf die betreffenden Daten zuzugreifen. Diejenigen, die nicht direkt mit dem Wohlergehen der Patienten zu tun haben, verstanden im obigen Sinne sollten nur eingeschränkt auf diese Daten zugreifen können. Schließlich wollen Sie so weit als möglich verhindern, dass potenziell böswillig agierende Insider an die Daten gelangen genauso wie Sie vertrauliche Informationen vor neugierigen Blicken abschirmen.

Datenschutzvorfälle dieser Art sind geeignet gleichzeitig das Vertrauen in diejenigen zu zerstören, die legitim auf diese Daten zugreifen.

Gerade im Gesundheitswesen sollten ja nur die Personen auf sensible Daten zugreifen, die das im Rahmen einer Behandlung berechtigterweise tun. Für alle anderen sollten die Zugriffsrechte entschieden begrenzt werden. Das umzusetzen ist nicht immer ganz einfach, aber es ist tatsächlich unumgänglich um die Rechte der Patienten auf Privatsphäre zu wahren.“

Drei Dinge, die Unternehmen tun sollten

1. „Wenn ich mit Unternehmen und Institutionen über die Themen Vertraulichkeit und Datenschutz spreche, fange ich damit ganz oben in der Unternehmenshierarchie an. Beim Geschäftsführer, den Vorständen oder anderen Führungskräften. Die Botschaft ist ganz einfach: Sie müssen mit im Boot sein will man das Konzept wirksam umsetzen. Man braucht einen ganzheitlichen, holistischen Ansatz, wenn man das Privacy-Modell einführen will und der Ansatz kann nur top down funktionieren. Wenn es Ihnen gelingt die Botschaft ganz nach Vorne zu bringen, dass sie sich intensiv um den Datenschutz und die Privatsphäre Ihrer Kunden bemühen, ist das auch eine Botschaft, die ankommt. Sie sollten es ihre Kunden also wissen lassen: Für ihr jeweiliges Unternehmen hat Privacy Priorität und sie setzen die entsprechenden Richtlinien um. Das heißt, die dem Unternehmen anvertrauten Daten und Informationen werden ausschließlich zu dem Zweck genutzt für den sie erhoben wurden und zu keinem anderen. Ich spreche dann von Privacy by Default: Die Daten werden nur zu einem bestimmten Zweck erhoben und genutzt. Sollte es notwendig werden, die Daten noch in einem anderen, weitergehenden Kontext zu nutzen, wird das niemals ohne die ausdrückliche Einwilligung der Betroffenen geschehen.

2. „Der menschliche Faktor ist einer der entscheidenden bei diesem Konzept. Ich schlage also mindestens vierteljährliche Besprechungen vor, in denen wir die Botschaft auffrischen und gegebenenfalls vertiefen. Es reicht nicht, wenn sie auf einer Hierarchieebene stecken bleibt. Jeder im Unternehmen muss sie kennen und leben. Es kann nicht sein, was aber oft genauso passiert, dass ein Chief Privacy Officer das Konzept nur einigen wenigen erläutert. Der Kundensachbearbeiter mag vielleicht nicht an oberster Stelle der Firmenhierarchie stehen, aber er hat mit die größten Möglichkeiten Datenschutzverletzungen zu begehen. Jeder Angestellte sollte wie die Führungsetage verstanden haben, wie wichtig es ist die Privatsphäre und Vertraulichkeit von Daten zu schützen, warum das so wichtig ist und wie man diese Anforderung am besten umsetzt. Kümmern Sie sich darum die Botschaft „unters Volk“ zu bringen. Es rechnet sich. Ich nenne das gelegentlich „Privacy Payoff“. Damit ist nicht nur gemeint, dass sie aktiv den Schutz der Kundendaten betreiben, sondern auch, dass es sich in unternehmerischer Hinsicht auszahlt. Solche Maßnahmen sorgen dafür, dass Kunden Ihrem Unternehmen vertrauen und Sie als einen glaubwürdigen Partner betrachten. Unter dem Strich rechnet sich das für jedes Unternehmen.“

3. „Der Prophet in eigenen Land gilt bekanntlich nicht viel. Laden Sie zu den Zusammenkünften einen externen Experten, eine externe Expertin ein, die Sie bei der Umsetzung des Konzepts unterstützen. Beispielsweise in dem sie darlegen, was im Einzelnen passieren kann, wenn es Unternehmen nicht gelingt die Daten ihrer Kunden zu schützen und Vertraulichkeit zu gewährleisten. Das letzte Jahr wurde allgemein mit dem wenig schmeichelhaften Titel „Year oft he Breach“ betitelt. Noch nie hatten Datenschutzverletzungen ein derartiges Ausmaß und Schadenspotenzial angenommen.

Dass Angriffe auf Unternehmen, Institutionen, politische Mandatsträger und so weiter praktisch täglich Schlagzeilen gemacht haben, hatte aber zumindest ein Gutes. Es wurde leichter im eigenen Unternehmen klar zu machen was passieren kann, wenn man elementare Regeln des Datenschutzes missachtet, und mit welchen Konsequenzen Unternehmen und Beschäftigte rechnen müssen. Jobverlust, juristische und finanzielle Konsequenzen bis hin zur Insolvenz einer Firma.

Das klingt zunächst wenig positiv. Und ja, ich konfrontiere Unternehmen mit dem was passieren kann, aber ich würdige auch die Anstrengungen, die eine Firma bereits in Sachen Datenschutz unternommen hat. Es sind im Grund zwei Botschaften, die ich versuche zu verkaufen. Es gibt ganz reale und größtenteils fatale Folgen mit denen man bei einer Datenschutzverletzung zu rechnen hat. Das ist eine Seite. Wenn sich Unternehmen aber darum bemühen vertrauliche Daten ihrer Kunden entsprechend zu schützen, wird sich das in jeder Hinsicht auszahlen. Das erhöht die Motivation und unterstreicht ein weiteres Mal die Wichtigkeit eines umfassenden Privacy-Modells.“

Den kompletten Podcast (in englischer Sprache) gibt es hier zum Nachhören.

Unser Expertengespräch mit Dr. Ann Cavoukian zu den Themen Privacy by Design und Privacy bei Default finden Sie unter https://blog.varonis.de/varonis-expertengesprach-zu-privacy-by-default/