Loading...
Datenschutz-Spezialist arbeitet stehend am Laptop. Im Hintergrund Server-Farm.
Kommunen verarbeiten eine große Menge an personenbezogenen Daten digital. Ein Risikomanagement hilft dabei, adäquate Maßnahmen zu ihrem Schutz zu treffen. (Symbolbild)

Risiko Cyberangriffe: Alles schaut auf den Datenschutzbeauftragten

Immer öfter werden Kommunen Opfer von Cyberkriminalität. Lahmgelegte Systeme, gestohlene Daten und Lösegeld-Forderungen drohen. Doch so spektakulär diese Fälle sind – Risikomanagement im Datenschutz beginnt deutlich früher. Unser Autor Henning Zander sprach darüber mit dem Kölner Datenschutzbeauftragten Frank Fricke.

Dass es einen trifft, ist oft auch Zufall. „Wir werden jeden Tag mit Schrot beschossen, wenn man das so sagen will“, sagt Frank Fricke, Datenschutzbeauftragter der Stadt Köln. „Bisher hat unser Firewall-System gezeigt, dass es diesem Ansturm standhalten kann. Trojaner und Viren fliegen förmlich gegen die IT-Abwehrwand.“ Angriffe sind fast nie gezielt. Den Tätern geht es um Zufallstreffer. Es bestehe immer die Gefahr, dass die Verwaltung irgendwann einmal lahmgelegt wird. „Das ist eine Gefahr, mit der wir alle leben müssen.“ Datensicherheit und Datenschutz seien zwei Seiten derselben Medaille. Frank Frickes Aufgabe ist es, die Risiken für den Schutz personenbezogener Daten zu ermitteln.

Immer mehr personenbezogene Daten werden in den Kommunen digital verarbeitet. Umso wichtiger ist es, adäquate technische und organisatorische Maßnahmen zu ihrem Schutz zu treffen. Hierfür hat die Stadt Köln ein Risikomanagement entwickelt. „Etwa 90 Prozent unserer Fachabteilungen arbeiten mit personenbezogenen Daten“, sagt Frank Fricke. Natürlich gehört Cyberkriminalität zu Risiken, die er als Beauftragter für den Datenschutz gemeinsam mit dem IT-Sicherheitsverantwortlichen mit im Auge haben muss. Risikomanagement beginnt aber auch schon bei fehlgeleiteten E-Mails, über die personenbezogene Daten an die falschen Empfänger gehen. Und betrifft auch Themen wie die Nutzung von Microsoft 365.

Darf die Verwaltung Microsoft-Produkte noch nutzen?

Der Einsatz von US-amerikanischen Dienstleistern bereite große Schwierigkeiten, sagt der Kölner Datenschutzbeauftragte. Seien es Videokonferenztools wie Teams oder Zoom, oder schlicht Microsoft-Systeme wie Excel, die über kurz oder lang auf den Service Microsoft 365 umgestellt werden. Im Jahr 2020 hatte der Europäische Gerichtshof in seinem Urteil Schrems II festgestellt, dass in den USA kein zur EU vergleichbares Datenschutzniveau herrsche. Seitdem ist es umstritten, inwieweit und wenn, unter welchen Bedingungen, Microsoft-Produkte noch in der Verwaltung genutzt werden können.

„Es könnte also sein, dass den Fachdienststellen irgendwann der Stecker gezogen wird“, sagt Frank Fricke. „Alles schaut dabei am Ende im Zweifel auf den Datenschutzbeauftragten.“ Eine Untersagung der Nutzung kann der Datenschutzbeauftragte nicht aussprechen, sondern auf dem Wege der Beratung zunächst nur auf die bestehenden rechtlichen Risiken hinweisen. „Das Datenschutzrecht gibt für mich die Leitplanken meines Handelns vor. Innerhalb dieser Leitplanken ist sehr viel möglich, da bekommen wir bei der Stadt Köln in der Regel auch gute, pragmatische Lösungen hin. Manches liegt allerdings klar außerhalb dieser Leitplanken.“

Köln gibt Fachdiensten Vorgaben an die Hand

Um mögliche Risiken einzuschätzen, hat die Stadt Köln einen Zulässigkeitsprozess für IT-Fachanwendungen entwickelt, der den Vorgaben an eine Datenschutzfolgenabschätzung entspricht. Die entsprechenden Dokumente sind im Intranet hinterlegt und können von den Fachdienststellen abgerufen werden. Immer dann, wenn neue Prozesse hinzukommen oder alte Prozesse sich ändern, können die entsprechenden Dokumente genutzt werden.

Technische Maßnahmen beruhen auf Schutzstufen

Wenn also beispielsweise das Jugendamt einen neuen Prozess für die Durchführung von Fortbildungsveranstaltungen aufsetzen würde, müsste es ebenfalls diese Dokumente nutzen. Abgefragt werden die Rahmenaspekte der Verarbeitung, welche Systeme eingesetzt werden, welche Arten von personenbezogenen Daten verarbeitet werden, ob dazu auch besonders geschützte Daten nach Artikel 9 DSGVO wie etwa Gesundheitsdaten zählen. Die niedrigste Schutzstufe A betrifft Daten, die betroffene Personen frei zugänglich gemacht haben. Bei der höchsten Schutzstufe E geht es um personenbezogene Daten, deren unsachgemäße Handhabung Gesundheit, Leben oder Freiheit der betroffenen Person beeinträchtigen können. Nach den jeweiligen Schutzstufen richten sich die notwendigen technischen organisatorischen Maßnahmen.

Risikobetrachtung in der Praxis

Um den Umgang mit personenbezogenen Daten zu konkretisieren, hat die Datenschutzkonferenz, ein Gremium der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, das Standarddatenschutz-Modell entwickelt. Aus Sicht von Frank Fricke listet das Standarddatenschutz-Modell die Gewährleistungs- und Schutzziele richtig auf, führe aber zu einem sehr formalistischen Prüf- und Dokumentationsprozess. „Mir fehlt tatsächlich die Phantasie, wie ich die Kollegen in den Fachdienststellen dazu bringen sollte, das auszufüllen“, sagt Fricke. Die Stadt Köln lehnt sich in ihrer Betrachtung an das Standarddatenschutz-Modell an, betrachtet jedoch Risiken immer im Lichte der aktuellen Fragestellung. Hypothetische allgemeine Risiken habe man „vor die Klammer gezogen“ und die allgemeinen Sicherheitsanforderungen über ein funktionierendes IT-Sicherheitskonzept mit Firewall-Ebenen, gestuften Sicherheitskonzepten und Dienstanweisungen für die städtischen Beschäftigten sichergestellt.

Ist absolute Sicherheit möglich?

„Wir konzentrieren uns bei der Risikobetrachtung auf die ganz konkrete Datenverarbeitung“, sagt der Datenschutzbeauftragte. Es gehe dann nur noch darum, konkret den Finger auf die wichtigen Punkte bei der Betrachtung der Fachanwendungen zu legen. Die technischen und organisatorischen Maßnahmen werden ganz konkret auf diese Anwendung abgestimmt. Wichtig sei, dass die Einordnung sowohl auf der einen Seite rechtssicher, auf der anderen Seite aber auch möglichst pragmatisch und für Nicht-Spezialisten im Datenschutz einfach und selbstständig zu bewältigen sein müsse. Tatsächlich bestehe immer ein Spannungsfeld zwischen Datenschutz gegenüber der Aufrechterhaltung des Dienstbetriebes. Und klar sei auch: „Einen 100-prozentigen Schutz gibt es nicht.“

Henning Zander

Frank Fricke ist seit 2016 Datenschutzbeauftragter der Stadt Köln. Die Stadt hat sich bereits früh auf den Weg gemacht, die organisatorischen und fachlichen Grundlagen für die Umsetzung der EU-DSGVO zu schaffen. Für seine Funktion nutzt Frank Fricke seine weitreichenden Erfahrungen, die er in den Bereichen öffentliche Sicherheit, Jugend und Soziales, im Haupt-/ Organisationsamt sowie als Fachreferent im Büro des Oberbürgermeisters gesammelt hat.

Haben Sie Interesse an diesem Thema? Frank Fricke ist Referent des Seminars Risikomanagement im Datenschutz  am 27. und 28. Februar 2023 und gibt wertvolle Erfahrungen weiter, wie Sie Ihre Organisation datenschutzrechtskonform aufstellen.