Warum DSBs Anonymisierungstools prüfen sollten
Die DSGVO schreibt für risikoreiche Verarbeitungen eine Datenschutz-Folgenabschätzung (DSFA) vor. Die Verarbeitung personenbezogener Informationen in großem Umfang gilt als risikoreiche Verarbeitung. Ein Anonymisierungstool ist ein Auftragsverarbeiter. Es fällt unter die Regeln für Auftragsverarbeiter. Sie sollten es vor dem Produktivbetrieb prüfen.
Zwei Dinge sind erforderlich. Auftragsverarbeiter müssen „ausreichende Garantien" für die Sicherheit bieten. Die gesamte Verarbeitung muss durch einen schriftlichen Vertrag geregelt sein. Als DSB erfassen Sie die Sicherheitsmaßnahmen des Tools, seine Unterauftragsverarbeiter, den Hosting-Standort, das Verfahren bei Datenpannen und den Auftragsverarbeitungsvertrag (AVV).
ISO 27001-Zertifizierung spart Arbeit. BSI-Forschung zeigt, dass zertifizierte Unternehmen den Aufwand für Sicherheitsfragebögen um 73 % reduzieren. Gartner-Forschung zeigt, dass ISO 27001 in 78 % der Fortune-500-Ausschreibungen gefordert wird. Ein zertifiziertes Tool erlaubt es Ihnen, das Zertifikat zu referenzieren. Jede Maßnahme einzeln zu prüfen ist nicht nötig. Nicht zertifizierte Tools erfordern mehr manuelle Prüfarbeit.
Unsere Compliance-Übersicht und Sicherheitsseite zeigen, wie wir diese Anforderungen erfüllen.
Sieben Prüfpunkte
Verwenden Sie diese Liste für jedes Anonymisierungstool oder jeden Anbieter.
1. Auftragsverarbeitungsvertrag. Liegt ein DSGVO-konformer AVV vor? Er muss folgendes abdecken: Verarbeitung nur auf Ihre Weisung, Sorgfaltspflichten, Sicherheitsschritte, Kontrolle der Unterauftragsverarbeiter, Unterstützung bei Anfragen zu Betroffenenrechten, Löschung oder Rückgabe von Unterlagen und Prüfrechte.
2. Sicherheitsnachweise. Sind die Sicherheitsmaßnahmen schriftlich festgehalten? ISO 27001-zertifizierte Anbieter können auf ihr Zertifikat und die Erklärung zur Anwendbarkeit verweisen. Das erfüllt die Anforderung.
3. Unterauftragsverarbeiterliste. Nutzt das Tool Unterauftragsverarbeiter? Sind sie namentlich genannt? Sie benötigen vorherige Benachrichtigung bei jeder Änderung. Cloud-Anbieter, CDNs und OCR-Tools zählen dazu. Fehlende Namen sind eine häufige Lücke.
4. Hosting-Standort. Werden Ihre Unterlagen in der EU gespeichert? EU-Hosting ist für EU-Unternehmen am einfachsten. Zero-Knowledge-Tools sind ebenfalls in Ordnung — keine Unterlagen verlassen Ihr Gerät. US-Anbieter benötigen Standardvertragsklauseln (SCC).
5. Datenpannenmeldung. Wie schnell informiert der Anbieter Sie bei einer Datenpanne? Das Gesetz verlangt eine Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden. Der Anbieter muss Sie vorher warnen. Prüfen Sie, ob der AVV dies bestätigt.
6. DSFA des Anbieters. Hat der Anbieter eine eigene DSFA durchgeführt? Können Sie sie einsehen? Keine DSFA bedeutet eine Lücke in Ihren eigenen Unterlagen. Das ist ein häufiges Problem.
7. Löschung und Portabilität. Kann der Anbieter Löschungs- und Portabilitätsanfragen bearbeiten? Zero-Knowledge-Tools speichern keine Unterlagen, daher gilt Löschung möglicherweise nicht. Die DSFA muss dies festhalten.
Ein guter Anbieter liefert Ihnen vier Dokumente: ISO 27001-Zertifikat, EU-Hosting-Nachweis, seine DSFA und einen unterzeichneten AVV. Diese vier Dokumente schließen jede Lücke in Ihrer eigenen DSFA. Ihre Aufsichtsbehörde wird zufrieden sein.
Lesen Sie unsere DSB-FAQ zu häufigen Fragen rund um Anbieterprüfungen.