Die eine oder andere Firma ist mit der Umsetzung der DSGVO noch nicht durch, da kommen schon die ersten Ergänzungen. Eine ganz wesentliche betrifft die Datenschutz-Folgenabschätzung (DSFA) aus Artikel 35 der DSGVO. Laut Absatz 4 muss die Aufsichtsbehörde eine Liste der Verarbeitungsvorgänge erstellen, für die eine DSFA zwingend notwendig ist (Blacklist / Positiv-Liste). Darüber hinaus kann sie Whitelists (Negativ-Listen) mit Vorgängen anlegen, die von der DSFA ausgenommen sind. Die Positiv-Listen liegen jetzt im Wesentlichen vor. Da die Datenschutz-Beauftragten in den meisten deutschen Bundesländern nicht nur für die Landesbehörden, sondern auch für die Unternehmen zuständig sind, sind mehrere, teilweise leicht unterschiedliche Listen verfügbar. Einige Bundesländer haben noch nicht geliefert, darunter Berlin und Bayern. Zum Stand der Dinge und den Positiv-Listen geht es hier.
Zu den Vorgängen, für die eine DSFA zwingend erforderlich sind, gehört auch die „Verarbeitung von umfangreichen Angaben über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben, oder diese in andere Weise erheblich beeinträchtigen“. Unter den „typischen Einsatzfeldern“ ist der „Einsatz von Data-Loss-Prevention-Systemen, die systematische Profile der Mitarbeiter erzeugen“, aufgeführt. Als Beispiel nennt die Liste die „zentrale Aufzeichnung des Internetverlaufs und der Aktivitäten am Arbeitsplatz mit dem Ziel, von Seiten des Verantwortlichen unerwünschtes Verhalten (z.B. Versand interner Dokumente) zu erkennen“.
Konkret heißt das: Für den Einsatz unserer DLP-Lösung Endpoint Protector müssen Unternehmen eine DSFA erstellen. Darüber ist wahrscheinlich keine Firma glücklich, die im Hinblick auf den besseren Schutz der personenbezogenen Daten soeben in eine DLP-Lösung investiert hat oder die Anschaffung plant: Da gibt man sich Mühe, alles gut und richtig zu machen, und dann wird man mit zusätzlichem Aufwand bestraft.
Aber Sie wissen ja: Es wird nie so heiß gegessen wie gekocht. Für einige Unternehmen gibt es, in Abhängigkeit von den genutzten Funktionen, Möglichkeiten, Endpoint Protector ohne Folgenabschätzung zu verwenden:
- Firmen, die nur mit den Modulen Device Control und Easylock arbeiten und dabei die Funktion Trace & Shadowing deaktiviert lassen
- Firmen, die Content Aware Protection (CAP) gezielt und begrenzt einsetzen, beispielsweise bei einem Verdachtsfall, und dabei die Mitarbeiter-Vertretung und den Datenschutz-Beauftragten einbinden sowie die arbeitsrechtlichen Bestimmungen einhalten. Derart granulare Einstellungen sind mit Endpoint Protector problemlos möglich.
- Firmen, die mit Content Aware Protection nicht erwünschten Datentransfer lediglich blocken, aber nichts zu diesem Vorgang aufzeichnen. Sie wissen dann allerdings nicht, was geblockt wurde, und müssen darauf vertrauen, dass alle Einstellungen richtig vorgenommen wurden. Außerdem fehlen ihnen dann Nachweise, die bei einem Datenvorfall gegenüber der Aufsichtsbehörde entlasten können.
Die erstgenannte Möglichkeit ist in der aktuellen Version von Endpoint Protector verfügbar; die zweite dürfte ohnehin eine Ausnahme-Anwendung darstellen. Die dritte Möglichkeit haben wir als Update in der Version 5.2 berücksichtigt – das Aufzeichnen von Verstößen gegen Richtlinien lässt sich abschalten. Das Update steht in Kürze zur Verfügung; wir halten Sie im Newsletter, in der Versionshistorie und an dieser Stelle auf dem Laufenden.
Die Abschaltung der Aufzeichnung bringt alle Unternehmen auf die sichere Seite, die keine DSFA erstellen möchten, und ebenso die, die noch ein bisschen Zeit dafür brauchen, in der Zwischenzeit aber nicht auf den Schutz durch CAP verzichten wollen. Firmen, die Endpoint Protector ohne Einschränkung nutzen wollen, sich die Erstellung der DSFA selbst nicht zutrauen oder von der Umsetzung der DSGVO her noch Land unter sind, bieten wir Unterstützung dabei demnächst auch als Beratungsleistung an – sprechen Sie uns einfach an!
