Mandantentrennung im Datenschutz

Fachbeitrag

Datenschutz und Datensicherheit gehen oft Hand in Hand. Gerade die technisch-organisatorischen Maßnahmen (TOMs) garantieren oft die datenschutzkonforme Umsetzung einer Verarbeitung von personenbezogenen Daten. Überprüft man die TOMs eines Unternehmens, zum Beispiel im Rahmen einer Vereinbarung zur Auftragsverarbeitung, so ergeben sich häufig Fragen bezüglich der Mandantentrennung. Hier wird erläutert, was sich hinter diesem Begriff verbirgt.

Was sagt die DSGVO?

Hier sind insbesondere zwei Gebote relevant: das der Datensparsamkeit und das der Zweckgebundenheit. Grundsätzlichen sollen Daten, die zu unterschiedlichen Zwecken erhoben wurden, auch getrennt voneinander verarbeitet werden.

In Art. 32 Abs. 1 DSGVO heißt es

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten;“

Konkrete Maßnahmen, wie sie früher in der Anlage zu § 9 BDSG aufgezählt wurden, werden in Art. 32 Abs. 1 DSGVO (außer Pseudonymisierung und Verschlüsselung) nicht genannt. In dieser Bestimmung finden sich lediglich abstrakte Anhaltspunkte zur Umsetzung technischer und organisatorischer Maßnahmen. Die Trennungskontrolle ist nicht mehr explizit benannt, besitzt allerdings als Aspekt der Vertraulichkeit (Art. 32 Abs. 1 lit. b) DSGVO) weiterhin Bedeutung.

Die Notwendigkeit zur Mandantentrennung ergibt sich für Konzerngesellschaften eventuell nicht nur aus den Datenschutzgesetzen. Gegebenenfalls greift auch der gesellschaftsrechtliche Grundsatz, dass jede rechtliche Person als eigenständig zu behandeln ist.

Was bei der Mandantentrennung zu beachten ist

Die Mandantentrennung ist die Voraussetzung für eine Datenverarbeitung, die Mandantenfähigkeit das Ziel. Je höher der Schutzbedarf und das Risiko für die personenbezogenen Daten, desto höher sind die Ansprüche an die Mandantentrennung, die ein Unternehmen zu erfüllen hat.

Technische Maßnahmen zur Mandantentrennung

Da die DSGVO einen gewissen Spielraum eröffnet, stehen zur Umsetzung einer Mandantentrennung unterschiedliche Ansätze zur Verfügung. Dabei gibt es uneingeschränkte Möglichkeiten, diese Maßnahmen zu kombinieren.

  1. Trennung in der Datenhaltung
    Durch eine Trennung in der Datenhaltung werden die Daten verschiedener Mandanten in den eingesetzten Datenspeichersystemen getrennt vorgehalten.
    Dies kann zum Beispiel in Form einer logischen Datentrennung erfolgen. Um den Zugriff zu limitieren, werden mandantenspezifische Accounts genutzt.
  2. Trennung der Umgebungen
    Auch durch eine direkte physische oder virtuelle Trennung lässt sich eine Mandantentrennung realisieren. Bei solch einer Trennung der Umgebungen werden die Dienste gegenüber dem Mandanten auf verschiedenen physischen oder virtuellen Systemen angeboten. Es ist erforderlich, Berechtigungskonzepte zur Regelung des Zugriffs auf personenbezogene Daten zu erarbeiten
  3. Applikationsseitige Trennung
    Bei der applikationsseitigen Trennung wird schon auf Programm Ebene entschieden, welche Daten erhoben werden und für wen sie zugänglich sind.
  4. Mandantenspezifische Verschlüsselung
    Letztlich besteht noch die Möglichkeit einer mandantenspezifischen Verschlüsselung. Hierbei werden die Dateien verschlüsselt abgelegt. Das kryptografische Verfahren benutzt einen individuellen Schlüssel, der den Zugang durch Unbefugte verhindern soll.
  5. Trennung von Entwicklungs-, Test- und Produktivsystem
    Auch die Nutzung von separierten Testsystemen stellt einen Beitrag zum Datenschutz dar.

Empfehlungen der Datenschutz-Aufsichtsbehörden

Die deutschen Datenschutzaufsichtsbehörden haben sich zuletzt in 2012 mit der „Orientierungshilfe Mandantenfähigkeit“ zu diesem Thema geäußert und darauf verwiesen, dass es in begründeten Fällen durchaus sinnvoll und zulässig sein kann, personenbezogene Daten gemeinsam zu speichern. Als Voraussetzung müssten die erhobenen Daten mandantenspezifisch geführt werden.

Als aktuelle Empfehlung kann man das Standard-Datenschutzmodell (SDM) verstehen. In seinen Gewährleistungszielen steht die „Nichtverkettung“, also die „Verpflichtung, Daten nur für den Zweck zu verarbeiten, zu dem sie erhoben wurden“. Der entsprechende Baustein 50 „Trennung“ ist schon vorhanden.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.