Im Zuge der Datenschutz-Grundverordnung (DSGVO) wurden auch die Bestimmungen zur Datensicherheit und damit zu den technischen und organisatorischen Maßnahmen überarbeitet. Welche Änderungen bei der „Sicherheit der Verarbeitung“ auf die Unternehmen und Verantwortlichen zukommen, wird in dem folgenden Artikel erklärt, der ein Teil unserer Reihe zur Datenschutz-Grundverordnung ist.
Wie ist die Datensicherheit in der Datenschutz-Grundverordnung verankert?
Die neuen Vorgaben für die „Sicherheit der Verarbeitung“ finden sich hauptsächlich in Art. 5 Abs. 1 f) DSGVO sowie in Art. 32 DSGVO. Zudem normieren weitere Bestimmungen wie z.B. Art. 24, 25, 36 DSGVO die Datensicherheit.
Wie sind die technischen und organisatorischen Maßnahmen geregelt?
§ 9 BDSG inklusive Anlage wird durch Art. 32 DSGVO ersetzt. In dieser Bestimmung finden sich Anhaltspunkte zur Umsetzung technischer und organisatorischer Maßnahmen und damit der Datensicherheit. Im ersten Absatz heißt es:
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Sicherheitsmaßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; …“
Dabei ist die Beschreibung noch abstrakter als derzeit in § 9 BDSG geregelt. Denn konkrete Maßnahmen, wie in der Anlage zu § 9 BDSG aufgezählt, werden in Art. 32 Abs. 1 DSGVO (außer der Pseudonymisierung und Verschlüsselung) nicht genannt. Eine Aufzählung von Maßnahmen findet sich allerdings in § 58 Abs. 3 des Referentenentwurfes für das deutsche Ausführungsgesetz zur Datenschutz-Grundverordnung, die stark an die Anlage zu § 9 BDSG erinnern und diese erweitern.
Ferner ist die Vorgehensweise die alte geblieben, denn auch nach dem BDSG heißt es in § 9 BDSG inkl. Anlage, dass der Aufwand je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen soll.
Neu verankert ist u.a., dass die umgesetzten Maßnahmen auf dem Stand der Technik sein sollen und bei der Beurteilung das drohende Risiko und dessen Eintrittswahrscheinlichkeit berücksichtig werden müssen.
Was versteht man unter „Stand der Technik“?
Was unter „Stand der Technik“ zu verstehen ist, wird ebenfalls in der Datenschutz-Grundverordnung nicht konkretisiert. Allerdings ist dieser Fachbegriff nicht neu. Bereits in der Anlage zu § 9 BDSG ist im letzten Satz geregelt, dass eine Verschlüsselung dem „Stand der Technik“ entsprechen soll. Demnach sollen technische Maßnahmen erhoben werden, die zur Verfügung stehen und die sich bereits in der Praxis bewährt haben. Gemeint sind also nicht Techniken, die gerade neu entwickelt wurde. Letztendlich muss die jeweilige Maßnahme ihre Geeignetheit und Effektivität in der Praxis bereits bewiesen haben und einen ausreichenden Sicherheitsstandard gewährleisten. Dabei impliziert der Begriff „Stand der Technik“, dass es sich um eine gegenwärtige Bewertung handelt und der Stand der Technik immer wieder geprüft werden muss, um die Datensicherheit gewährleisten zu können.
Aufgrund des IT-Sicherheitsgesetzes hat der Bundesverband IT-Sicherheit e.V. (TeleTrusT) eine Handreichung veröffentlicht, die den Verantwortlichen als Orientierung zur Ermittlung des Standes der Technik in der IT-Sicherheit dienen soll.
Wie beurteilt sich ein „angemessenes Schutzniveau“?
Wie bisher auch, orientiert sich das Schutzniveau an der Schutzbedürftigkeit der einzelnen gespeicherten personenbezogenen Daten. Es sollte also eine Schutzbedarfsfeststellung vorgenommen werden, indem der jeweilige Schutzbedarf der unterschiedlichen personenbezogenen Daten ermittelt wird. Dabei werden zunächst typische Schadenszenarien ermittelt und anschließend der Schutzbedarf für die einzelnen personenbezogenen Daten abgeleitet. Bewährt hat sich die Einteilung in Schutzbedarfskategorien, wobei eine Orientierung an z.B. die Kategorien des BSI-Standard 100-2 in „normal, „hoch“ und „sehr hoch“ hilfreich sein kann.
Der Begriff „angemessen“ orientiert sich an dem Stand der Technik, den Implementierungskosten, der Art und dem Umfang der Umstände, dem Zweck der Verarbeitung sowie an den unterschiedlichen Eintrittswahrscheinlichkeiten und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.
Muss eine Risikobewertung durchgeführt werden?
Art. 32 Abs. 1 DSGVO regelt, dass die technischen und organisatorischen Maßnahmen unter Berücksichtigung des Risikos zur Beeinträchtigung von Persönlichkeits- und Freiheitsrechten erhoben werden sollen. Nun stehen personenbezogene Daten selbst im Fokus einer Risikobewertung. Dabei sollte eine Risikoinventur vorgenommen werden, indem alle möglichen Bedrohungen und Schwachstellen mit ihrer jeweiligen Eintrittswahrscheinlichkeit und der potenziellen Schwere des Schadens für die Rechte und Freiheiten natürlicher Personen identifiziert werden.
Dieses Vorgehen ist bereits im IT-Risikomanagement bekannt, bei dem allerdings meist Informationen betrachtet werden, die nicht notwendigerweise personenbezogen sein müssen.
Das Ergebnis einer Risikobewertung ist nicht nur für die Datensicherheit wichtig, sondern auch für die Datenschutz-Folgenabschätzung.
Werden auch konkrete Maßnahmen genannt?
Art. 32 Abs. 1 a) DSGVO erwähnt die Pseudonymisierung und die Verschlüsselung als Maßnahmen, die bei der Verarbeitung möglichst eingesetzt werden sollen. Erstaunlich ist, dass an dieser Stelle zwar die Pseudonymisierung jedoch nicht die Anonymisierung erwähnt wird, die durchaus bei einigen Verfahren eingesetzt werden kann.
In § 58 Abs. 3 des Referentenentwurf für das deutsche Ausführungsgesetz zur Datenschutz-Grundverordnung werden folgende Maßnahmen aufgezählt: Zugangskontrolle, Datenträgerkontrolle, Speicherkontrolle, Benutzerkontrolle, Zugangskontrolle (Berechtigungskonzept), Übertragungskontrolle, Eingabekontrolle, Transportkontrolle, Wiederherstellung, Datenintegrität, Auftragskontrolle, Verfügbarkeitskontrolle, Trennungskontrolle, Verschlüsselungsverfahren.
Welche Schutzziele sind in der DSGVO verankert?
In Art. 32 Abs. 1 b) DSGVO sind vier Schutzziele aufgelistet, die bei der Verarbeitung personenbezogener Daten sicherzustellen sind. Die ersten drei Schutzziele sind bereits aus der IT-Sicherheit bekannt:
Vertraulichkeit, d.h. Daten sind für unberechtigte Dritte nicht zugänglich.
Integrität, d.h. Daten können nicht verfälscht werden.
Verfügbarkeit, d.h. Daten stehen zur Verfügung, wenn sie gebraucht werden.
Eine ausführliche Beschreibung der Schutzziele findet Sie hier.
Schutzziele der Daten-, Informations- und IT-Sicherheit
Um die Angriffe auf Daten / Informationen, Systeme oder Kommunikationswege besser beschreiben zu können, werden Schutzziele in unterschiedliche Kategorien unterteilt. In diesem Artikel wird zwischen Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit unterschieden, wobei auch andere Kategorisierungen anzutreffen sind.
Vertraulichkeit
Vertraulichkeit bedeutet, dass Daten nur befugten Personen zugänglich zu machen sind. Bedroht sind nicht nur die Daten selbst sondern auch z.B. Systeme, Konfigurationen. Ein Angriff auf die Vertraulichkeit stellt die unbefugte Informationsgewinnung dar (z.B. durch das Ausspähen der login-Daten durch einen Unbefugten). Bei der Vertraulichkeit müssen Sicherheitsmaßnahmen erhoben werden, damit ein unbefugter Zugriff auf gespeicherte als auch auf übermittelte Daten verhindert werden kann.
Integrität
Integrität bedeutet, dass Daten / Systeme korrekt, unverändert bzw. verlässlich sind. Ein Angriff auf die Integrität wäre z.B. die Verfälschung der Daten, wenn der Empfänger eine andere Nachricht erhält, als vom Sender abgeschickt. Die Integrität ist aber auch dann tangiert, wenn Soft- oder Hardware fehlerhaft arbeitet und falsche Ergebnisse liefert (und damit unverlässlich ist). Damit kann ein Angriff nicht nur absichtlich sondern auch versehentlich durch Software- oder Bedienungsfehler erfolgen.
Verschickt ein Händler einen Kaufauftrag an einen Kunden, sollte dies auf einem verschlüsselten Weg erfolgen, damit unterwegs kein Dritter den Kaufauftrag in einen Verkaufsantrag ändern kann.
Authentizität
Authentizität bedeutet die Echtheit, Zuverlässigkeit und Glaubwürdigkeit einer Mitteilung. Ein Angriff auf die Authentizität stellt die unbefugte Erzeugung von Nachrichten dar, z.B. unter einer falschen Identität. Typische Beispiele sind das Bestellen von Waren unter einem falschen Namen oder das Ausgeben eines Kriminellen als Bankmitarbeiter. Zudem muss auch die Authentizität von IT-Systemen gewährleistet sein (z.B. im elektronischen Zahlungsverkehr).
Hierzu gehört auch die Verbindlichkeit, d.h. dass ein unzulässiges Abstreiten des Absenders oder Empfängers einer Information verhindert werden soll. Der Empfänger soll also beweisen können, dass die Information tatsächlich von dem berechtigten Absender stammt (wie z.B. bei einer qualifizierten elektronischen Signatur die eine eigenhändige Unterschrift ersetzt). Darüber hinaus kann aber auch der Sender beweisen, dass die Nachricht beim Empfänger angekommen ist (wie bei einem Einschreiben mit Rückschein).
Verfügbarkeit
Verfügbarkeit bedeutet, dass Daten und IT-Systeme zur Verfügung stehen und von autorisierten Personen genutzt werden können, wenn dies benötigt wird. Eine unbefugte Unterbrechung z.B. durch Serverausfall oder Ausfall von Kommunikationsmitteln stellt einen Angriff auf die Verfügbarkeit dar.
Alle oben genannten Schutzziele dürfen nicht isoliert betrachtet werden, da sie ineinander greifen und sich gegenseitig bedingen. Dabei sollte jedes Unternehmen selbst die Gewichtung einzelfallabhängig vornehmen.
Als neues Schutzziel wird die „Belastbarkeit“ der Systeme und Dienste erwähnt, wobei auch hier keine nähere Definition oder konkrete Maßnahmen erwähnt werden. Gemeint sein könnte, dass Systeme und Dienste einer gewissen Beanspruchung standhalten müssen. Zur Lösung des Begriffes „Belastbarkeit“ sollte die englische Fassung hinzugezogen werden. Dort ist die Sprache von „resilience“. Ins Deutsche übersetzt, passen also eher die Begriffe Resilienz bzw. Widerstandsfähigkeit der Systeme bzw. Dienste, die bereits aus dem Notfallmanagement bekannt sind.
Was versteht man unter einer raschen Wiederherstellbarkeit?
In Art. 32 Abs. 1 c) DSGVO ist normiert, dass personenbezogene Daten bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden sollen.
Um diese Anforderung der Datensicherheit erfüllen zu können, werden Verantwortliche nicht nur ein Notfallmanagement inkl. Notfallpläne oder entsprechende Leitfäden erstellen, sondern auch die Wiederherstellung regelmäßig testen müssen. Dazu gehört insbesondere die regelmäßige Prüfung, ob die erstellten Datensicherungen zur Wiederherstellung verlorener Daten genutzt werden können.
Was allerdings unter dem Begriff „rasch“ zu verstehen ist, wird wohl noch interpretiert werden müssen. Es mag der deutschen (nicht amtlichen) Übersetzung geschuldet sein, dass sich ein umgangssprachliches Wort „rasch“ in der Verordnung findet. Ob damit „zeitnah“ oder „unverzüglich“ (also ohne schuldhaftes Zögern) gemeint ist, die sich bereits in der Praxis etabliert haben, wird abzuwarten sein.
Wie soll die Wirksamkeit der erhobenen Maßnahmen getestet werden?
Art. 32 Abs. 1 d) DSGVO regelt, dass nun auch die Wirksamkeit der umgesetzten technischen und organisatorischen Maßnahmen getestet werden muss. Dabei muss das Unternehmen ein Verfahren etablieren, das regelmäßig die Wirksamkeit der Maßnahmen bewertet und evaluiert. Ein solches mögliches Verfahren wäre z.B. das Durchführen von Penetrationstests oder die Einführung eines Qualitätsmanagements.
Was bedeutet “data protection by design” und “data protection by default”?
Art. 25 DSGVO erweitert die Vorgaben an technische und organisatorische Maßnahmen um die folgenden zwei Anforderungen:
1. Bei Data protection by design (Datenschutz durch Technik) sollen Datenschutz und Datensicherheit bereits in der Planung und Entwicklung von IT-Systemen berücksichtigt werden. Es soll vorgebeugt werden, dass die Vorgaben nach dem Datenschutz und Datensicherheit erst nach dem Bereitstellen von IT-Systemen durch teure und zeitaufwendige Zusatzprogrammierungen umgesetzt werden werden. Bereits bei der Herstellung sollten Möglichkeiten wie Deaktivierung von Funktionalitäten, Anonymisierung oder Pseudonymisierung aber auch an Authentisierung und Authentifizierung oder Verschlüsselungen berücksichtigt werden.
2. Bei Data protection by default (datenschutzfreundliche Einstellungen) sollen IT-Systeme datenschutzfreundlich voreingestellt sein, so dass nur die personenbezogenen Daten verarbeitet werden, die für den verfolgten Zweck erforderlich sind. Hintergrund dieser Regelung ist, dass viele Nutzer nicht über ausreichende IT Kenntnisse verfügen und somit keine Einstellungen zum Schutz ihrer personenbezogenen Daten vornehmen können. Darüber hinaus muss dem Nutzer Funktionalitäten zur Verfügung gestellt werden, mit denen er seine Privatsphäre schützen kann (z.B. Verschlüsselung).
Adressat dieser Vorschrift sind nicht nur Verantwortliche sondern auch die Entwickler von IT-Systemen und Produkten.
Ganz neu ist diese Anforderung nicht. Denn in § 3a BDSG, der die Datenvermeidung und Datensparsamkeit regelt, normiert, dass Datenverarbeitungssystemen an dem Ziel auszurichten seien, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen.
Was ist bei der Einführung von IT-Systemen zu beachten?
Art. 38 Abs. 1 DSGVO regelt explizit, dass der Datenschutzbeauftragte „ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen“ einzubinden ist. Falls dies also noch nicht im Unternehmen umgesetzt ist, muss ein Prozess etabliert werden, der rechtzeitig den Datenschutzbeauftragten in das Vorhaben einbezieht.
Außerdem muss gemäß Art. 35 DSGVO eine Folgenabschätzung vorgenommen werden, wenn die Verarbeitung der Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben könnte. Das ist z.B. bei IT-Systemen denkbar, die besonderen personenbezogenen Daten verarbeiten.
Nach Art. 36 DSGVO muss sogar die Aufsichtsbehörde konsultiert werden, wenn die Folgeabschätzung ergibt, dass eine Datenverarbeitung ohne Maßnahmen ein hohes Risiko bedeutet.
Welche Sanktionen drohen bei unzureichender Datensicherheit?
In BDSG sind Verstöße gegen § 9 nicht sanktioniert. Das wird sich mit der DSGVO ändern. Sollten unzureichende oder ungeeignete technische und organisatorische Maßnahmen umgesetzt werden, fehlt eine Folgenabschätzung oder ausreichende Tests/Dokumentationen droht ein Bußgeld in Höhe von max. 10 Millionen Euro oder bis max. 2% des weltweit erzielten Jahresumsatzes.
Gibt es eine Rechenschaftspflicht?
Ja, der Verantwortliche muss nach Art. 5 Abs. 2 DSGVO die Einhaltung der Datensicherheit gewährleisten und nachweisen. Der Nachweispflicht wird der Verantwortliche wohl auch durch Zertifizierungen nachkommen können.
Anlage:
 | Anlage 1 Datensicherheit (TOM) O1R12_DatSch_Anlage 1 Datensicherheit TOM.docx (37.43KB) |