Datenschutz und Recht

Was bei der Mandantentrennung zu beachten ist

26.03.2021 von Jan Alexander Linxweiler
Je höher der Schutzbedarf und das Risiko für personenbezogene Daten ist, desto höhere Ansprüche an die Mandantentrennung hat ein Unternehmen zu erfüllen.
  • Es gilt das Verhältnismäßigkeitsprinzip: Personenbezogene Daten müssen nicht über Gebühr geschützt werden.
  • Vielmehr sollen Maßnahmen in einem angemessenen wirtschaftlichen Verhältnis zum Nutzen stehen.
  • Aus Gesetzestexten lässt sich herauslesen, dass die Zugriffsberechtigungen, Verarbeitungsfunktionen und Konfigurationseinstellungen je Mandant eigenständig festgelegt werden müssen.
Die Mandantentrennung fällt in die Wirkungssphäre des Datenschutzes.
Foto: kentoh - shutterstock.com

Etymologisch lässt sich der Begriff des Mandats auf das lateinische Verb "mandare" zurückführen, was so viel wie "aus der Hand geben" oder "beauftragen" bedeutet. Im Kontext der Datenverarbeitung steht der Begriff Mandat sehr oft für einen abgeschlossenen Datenhaltungs- und Verarbeitungsvorgang, den eine Stelle vorgenommen hat, die im datenschutzrechtlichen Sinn verantwortlich ist. Auch in diesem Zusammenhang impliziert das Wort also, dass etwas aus der Hand gegeben wird: nämlich personenbezogene Daten. Mandat bezeichnet also den Vorgang, die Mandantentrennung dessen Voraussetzung und Mandantenfähigkeit die Zielsetzung.

Der gesetzliche Rahmen

Mandantentrennung hat natürlich nicht nur eine definitorische, sondern auch eine gesetzliche Dimension. Sie fällt in die Wirkungssphäre des Datenschutzes. Gegenwärtig sind hier insbesondere zwei Gebote relevant: das der Datensparsamkeit und das der Zweckgebundenheit. In ihrer grundsätzlichen Ausgestaltung sehen es Bundes- und Landesgesetze vor, dass Daten, die zu unterschiedlichen Zwecken erhoben wurden, auch getrennt voneinander zu verarbeiten sind. Dies umfasst die Speicherung und auch Verarbeitungsfunktionen wie Datenbanktransaktionen, Datensatzbuchungen etc. Erweitert und konkretisiert werden diese Vorgaben durch den Rechtsgrundsatz des "Verbots mit Erlaubnisvorbehalt".

Reglungen des Bundesdatenschutzgesetzes - das 8. Gebot

Auf der Ebene der Bundesgesetze spielt die Anlage 1 zum § 9 Satz 1 Bundesdatenschutzgesetz (BDSG) eine zentrale Rolle. Ihre Bestimmungen werden gern auch als die "Acht Gebote des Datenschutzes" bezeichnet. Für die Mandantentrennung ist die folgende, achte Passage bedeutsam:

"Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. […], 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können."

Diese grundsätzliche Aussage birgt einen weiten Interpretationsspielraum; sie ist kaum hilfreich, um eine geeignete Richtung der Maßnahmen zu bestimmen. Allerdings weist sie deutlich auf das sogenannte Verhältnismäßigkeitsprinzip hin. Letztlich besagt dieses Prinzip, dass personenbezogene Daten nicht über Gebühr geschützt werden müssen. Vielmehr sollen Maßnahmen in einem angemessenen wirtschaftlichen Verhältnis zum Nutzen stehen – ein Grundsatz, den auch die Bundesbeauftragte für Datenschutz forciert.

Regelungen der Landesgesetze

Landesgesetzliche Regelungen konkretisieren die Mandantentrennung meist nicht über das Gebot der Zweckbindung hinaus. Kontextuell betrachtet wird oft deutlich, dass eine Trennung der Daten eine zentrale Bedeutung für die Mandantenfähigkeit hat. Das Bewertungskriterium bleibt dabei aber stets die Zweckgebundenheit.

Allerdings weisen landesrechtliche Vorschriften vielfach deutlich darauf hin, dass Zugriffe auf personenbezogene Daten entlang der Erforderlichkeit kategorisiert und getrennt durchgeführt werden müssen. Aber auch daraus lässt sich nicht entnehmen, welche Lösung für die Umsetzung der Mandantentrennung Vorrang hätte.

Grundsätzlich muss man feststellen, dass die Datenschutzgesetze der Länder keine Vorgaben dazu machen, wie eine Mandantentrennung im Einzelfall technisch oder organisatorisch auszugestalten ist. Die Gebote der Zweckbindung und Erforderlichkeit legen es vielmehr nahe, für jeden Einzelfall eine Analyse entlang dieser Parameter durchzuführen.

Verbot mit Erlaubnisvorbehalt

Weiterer Regelungsgehalt kommt zudem gewissen Rechtsgrundsätzen zu, die entweder gesetzlich verankert sind oder über die Rechtsprechung ausgeformt wurden. Ein solcher Rechtsgrundsatz ist das "Verbot mit Erlaubnisvorbehalt". § 4 BDSG regelt, dass Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten im Grundsatz verboten sind. Erst die Einwilligung des Betroffenen beziehungsweise ein gesetzliches Gebot führen dazu, dass eine Datenverarbeitung erlaubt ist.

Aber auch dieser Rechtsgrundsatz hilft bei der Beurteilung lediglich bedingt weiter. Letztlich besagt er nur, dass eine Datenerhebung und -verarbeitung stets im Rahmen eines persönlichen oder rechtlichen Erlaubnistatbestands erfolgen kann. Eine konkrete Vorgabe zur Richtung der Maßnahmen liefert auch er nicht.

Mögliche technische Maßnahmen

Nachdem die rechtlichen Rahmenbedingungen offenbar einen gewissen Spielraum eröffnen, gilt es jetzt, sich mit den Möglichkeiten der technischen Umsetzung auseinanderzusetzen. Um eine Mandantentrennung zu realisieren, stehen vier unterschiedliche, aber durchaus kumulativ anwendbare Ansätze zur Verfügung. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sie als IT-Grundschutz-Bausteine definiert: applikationsseitige Trennung, Trennung in der Datenhaltung, Trennung der Umgebungen sowie mandantenspezifische Verschlüsselung.

  1. Applikationsseitige Trennung
    Bei der applikationsseitigen Trennung wird schon auf Programmcode-Ebene, bei der Ausführung eines Programms entschieden, welche Daten erhoben werden und für welchen Nutzer sie zugänglich sind. Allerdings birgt dieser Ansatz doch eine erhöhte Gefahr, dass auf Daten anderer Mandanten zugegriffen werden kann. Mitunter reichen Fehler auf der Implementierungsebene (im Programmcode) oder eine unterbliebene Überprüfung beim direkten Aufrufen von Funktionen aus, um den Zugriff auf die Daten anderer zu eröffnen. Eine rein applikationsseitige Mandantentrennung läuft stets Gefahr, ungewollt aufgeweicht zu werden. Dies liegt weniger an der Applikation selbst. Sie wird jeder von ihr generierten Datenoperation automatisch und zwingend das Selektionskriterium "Mandant" hinzufügen. Funktionale Erweiterungen aber basieren oft auf Datenoperationen auf Datenbankebene, die die eigene IT-Abteilung entwickelt hat – und die das Selektionskriterium "Mandant" eben nicht durchgängig erzwingen. Oft geschieht dies, weil der internen IT-Abteilung das Verständnis für die Funktionsweise der applikationsseitigen Mandantentrennung fehlt – beziehungsweise das grundsätzliche Problembewusstsein. Allerdings lässt sich diesem erhöhten Risiko organisatorisch entgegenwirken. Etwa indem man jede funktionale Erweiterung vor ihrem Einsatz durch einen Sachverständigen daraufhin prüfen lässt, ob sie den Anforderungen der applikationsseitigen Mandantentrennung wirklich genügt.

  2. Trennung in der Datenhaltung
    Der zweite Ansatz ist eine Trennung in der Datenhaltung. Die Daten verschiedener Mandanten werden dabei in den eingesetzten Datenspeichersystemen getrennt vorgehalten. Dies kann unter anderem in Form einer logischen Datenbank oder durch unterschiedliche Zweige eines Verzeichnisdienstschemas erfolgen. Gleichzeitig muss aber auch die Nutzung entsprechend limitiert werden. Gängig sind mandantenspezifische Accounts für den jeweiligen Datenzugriff, aber auch ein kongruent ausgeformtes Berechtigungskonzept. Bei dieser Form der Trennung entstehen Risiken vorwiegend durch eine potenziell falsche Zuordnung des Account-Systems zur Datenbank oder zum Verzeichnis. Die Erfahrung zeigt aber, dass das Gesamtrisiko hier wesentlich geringer ist als bei einer rein applikationsseitigen Trennung.

  3. Trennung der Umgebungen
    Auch durch eine direkte physische oder virtuelle Trennung lässt sich eine Mandantentrennung realisieren. Bei solch einer Trennung der Umgebungen werden die Dienste gegenüber dem Mandanten auf verschiedenen physischen oder virtuellen Systemen angeboten. Zudem erfolgt eine Zugriffskontrolle. Hier bieten sich Authentifizierungsverfahren oder aber netzseitige Maßnahmen an, die dafür sorgen, dass das jeweilige System nur über das Netz des entsprechenden Mandanten zugänglich ist.

  4. Mandantenspezifische Verschlüsselung
    Letztlich besteht noch die Möglichkeit einer mandantenspezifischen Verschlüsselung. Hierbei werden die Dateien verschlüsselt abgelegt. Der genaue Umfang der Verschlüsselung lässt sich dabei je nach Bedarf anpassen – von einzelnen Datenfeldern bis zu ganzen Datenbanken. Das kryptografische Verfahren benutzt einen Schlüssel, der den Zugang durch Unbefugte verhindern soll. In diesem Ansatz besteht das Risiko darin, dass der Schlüssel verloren gehen oder gestohlen werden kann. Es ist darum erforderlich, ein ausgereiftes Schlüsselmanagement auszuarbeiten, zu dokumentieren und zu pflegen – einem Rechtsmanagement vergleichbar. Nachteilig ist zudem, dass derartige Verschlüsselungsmaßnahmen den Nutzungskomfort beziehungsweise die allgemeine Nutzbarkeit bei Datenverarbeitungsvorgängen stark einschränken.

Umsetzungsempfehlungen

  1. Empfehlungen der Datenschutz-Aufsichtsbehörden
    Bleibt die Frage, welche technischen und organisatorischen Maßnahmen am Ende wirklich notwendig und zielführend sind, um den Anforderungen an die Mandantentrennung zu genügen. Die deutschen Datenschutzaufsichtsbehörden haben in ihrer 2012 erschienenen "Orientierungshilfe Mandantenfähigkeit" darauf verwiesen, dass es in begründeten Fällen durchaus sinnvoll und zulässig sein kann, personenbezogene Daten gemeinsam zu speichern. Als Voraussetzung dafür definieren sie jedoch, dass die erhobenen Daten mandantenspezifisch geführt werden. Daher seien die Funktionalitäten und Berechtigungen für Verarbeitung, Zugriff und Konfiguration mandantenspezifisch festzulegen. Zudem müsse zumindest auf technischer Ebene eine Trennung erfolgen.

  2. Empfehlungen des BSI
    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt überdies aus, dass eine rein applikationsseitige Umsetzung nicht ausreicht, um eine Mandantentrennung sicher und wirksam umzusetzen. Als Minimalanforderung betrachtet das BSI eine logisch getrennte Datenhaltung mit separiertem Zugriff durch Accounts. Je höher aber der Schutzbedarf, desto höher auch die Ansprüche an die Trennung. Die Konsequenz: Von einem bestimmten Schutzbedarf an rückt auch aus Sicht des BSI die mandantenspezifische Verschlüsselung in den Fokus.

  3. Empfehlungen aus der Literatur
    Demgegenüber äußert die einschlägige Datenschutzliteratur insbesondere, dass eine physische Trennung nicht dem Stand der Technik entspreche. Es sei vielmehr erforderlich, Berechtigungskonzepte zur Regelung des Zugriffs auf personenbezogene Daten zu erarbeiten und personenbezogene Daten bei ihrer Speicherung zu verschlüsseln, damit Dritte im Falle eines versehentlichen Abrufens dieser Daten nicht in der Lage sind, sie unberechtigt zu lesen. Den Autoren scheint dies im Hinblick auf moderne technische Lösungen wie Cloud-Computing-Konzepte durchaus angemessen, um eine getrennte Verarbeitung zweckgebundener personenbezogener Daten sicherzustellen.

Fazit: Das Verhältnis wahren

Letztlich wird der individuelle Schutzbedarf der Daten darüber entscheiden, welche Maßnahmen erforderlich sind, um eine Mandantentrennung bei Datenhaltung und Datenverarbeitung umzusetzen. Dass diese Mandantentrennung ausreichend zu sein hat, setzen Bundes- wie Landesgesetzgeber voraus. Dabei lässt sich aus den einschlägigen Gesetzestexten herauslesen, dass die Zugriffsberechtigungen, Verarbeitungsfunktionen und Konfigurationseinstellungen je Mandant eigenständig festgelegt werden müssen.

Konkrete Vorgaben, welche technischen Maßnahmen zur Umsetzung geeignet sind, finden sich in den Gesetzen allerdings nicht. Es lassen sich jedoch die vier beschriebenen Ansätze identifizieren, die auch in den BSI-IT-Grundschutz-Bausteinen niedergelegt sind: applikationsseitige Trennung, Trennung in der Datenhaltung, Trennung der Umgebungen, mandantenspezifische Verschlüsselung. Dabei sind die Möglichkeiten, diese Maßnahmen zu kombinieren, nicht eingeschränkt.

Es bleibt also bei einer Verhältnismäßigkeitsbetrachtung: Je höher der Schutzbedarf und das Risiko durch die personenbezogenen, zweckgebundenen Daten, umso höhere Ansprüche sind an die Trennung zu stellen – bis hin zu einer tatsächlichen physischen Trennung. Damit ist es grundsätzlich die Aufgabe des Informationssicherheitsmanagementsystems (ISMS), die gesetzlichen Vorgaben (hier insbesondere das Trennungsgebot) mit dem Stand der Technik in Einklang zu bringen. Aus Sicht des BSI gilt jedenfalls: Von einer Trennung allein auf Applikationsebene ist abzuraten; und bei erhöhtem Schutzbedarf sollten Unternehmen auch die mandantenspezifische Verschlüsselung prüfen und nach Bedarf umsetzen.