Datensicherheit in der DSGVO

Mit Einführung der Datenschutz-Grundverordnung (DSGVO) haben die Gesetzgeber auch die Bestimmungen zur Datensicherheit geändert. Durch diese Änderungen änderten sie zugleich aber auch die Anforderungen für die technischen und organisatorischen Maßnahmen. Alles um das Thema „Sicherheit der Verarbeitung“ im Unternehmen finden Sie im folgenden Artikel.

DSGVO: Datensicherheit – Wie ist sie geregelt?

In der EU-Datenschutz-Grundverordnung sind zum Thema „Sicherheit der Verarbeitung“ hauptsächlich folgende Normen anzusehen:

  • Art. 5 Abs. 1 f) DSGVO
  • Art. 32 DSGVO
  • Art. 24 DSGVO
  • Art. 25 DSGVO
  • Art. 36 DSGVO

Diese Aufzählungen ist jedoch nicht abschließend und es sind noch andere Vorschriften zu finden.

Wo steht die Regelung der technischen und organisatorischen Maßnahmen?

Die Voraussetzungen des § 9 BDSG inklusive Anlage wird durch Art. 32 DSGVO ausgetauscht. In Art. 32 DSGVO finden sich Informationen zur bald kommenden Umsetzung technischer und organisatorischer Maßnahmen. Diese Bestimmung definitiert somit so einen Rahmen zur Datensicherheit. Es heißt in der Bestimmung:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Sicherheitsmaßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; …“

Für alle, die hofften, dass nach § 9 BDSG samt Anlagen die DSGVO klarer regelt, was alles dazugehört, sei gesagt, dass die Norm mindestens genauso abstrakt ist. Konkrete Maßnahmen wie in der Anlage zu § 9 BDSG gibt es in Art. 32 Abs. 1 DSGVO mit Ausnahme der Pseudonymisierung und Verschlüsselung nicht. Es deutet sich im deutschen Anpassungsgesetz zur EU-Datenschutz-Verordnung an, dass sich die Gesetzgeber für die Maßnahmen an der Anlage zu § 9 BDSG orientieren.

Der zu tätigende Aufwand

Der Aufwand ist nach wie vor je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck zu sehen. Diese Maßnahmen müssen nun aber im Gegensatz zum BDSG auch auf dem Stand der Technik sein. Weiterhin muss bei der Beurteilung das drohende Risiko und dessen Eintrittswahrscheinlichkeitmitbedacht werden.

In der Datenschutz-Grundverordnung ist der “Stand der Technik” nicht weiter konkretisiert. In der Anlage zu § 9 BDSG wurde auch schon verlangt, dass bei der Verschlüsselung auf den „Stand der Technik“ geachtet werden muss. Technische Maßnahmen müssen diejenigen sein, die zur Verfügung stehen und die sich schon in der Praxis bewährt haben. Gemeint sind also bereits getestete und nicht gerade neu auf dem Markt erschienene Techniken. Die Maßnahme muss bewiesen haben, dass sie in der Praxis geeignet und effektiv genug ist, den benötigten Sicherheitsstandard zu gewähren.

Wann ist ein „angemessenes Schutzniveau“ anzunehmen?

An der Schutzbedürftigkeit der einzelnen gespeicherten personenbezogenen Daten bewertet sich auch das Schutzniveau . Mit einem kritischen Blick sollte im Hinblick auf die personenbezogenen Daten die unterschiedlichen Schutzniveaus festgestellt und festgelegt werden. Dabei sollte in Betracht gezogen werden, welche Schäden eintreten könnten. Anhand der möglichen Schäden sollten die Schutzmechanismen angepasst werden.

„Angemessenheit“ liegt unter der Berücksichtigung folgender Punkte vor:

  • Stand der Technik
  • den Implementierungskosten
  • der Art und dem Umfang der Umstände
  • dem Zweck der Verarbeitung
  • an den unterschiedlichen Eintrittswahrscheinlichkeiten und
  • der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen

Ist die Risikobewertung Pflicht?

Nach Art. 32 Abs. 1 DSGVO sollen die technischen und organisatorischen Maßnahmen unter Berücksichtigung des Risikos zur Beeinträchtigung von Persönlichkeits- und Freiheitsrechten angespasst sein. Mit dem Inkrafttreten der EU-Datenschutz-Grundverordnung müssen Sie nun die personenbezogenen Daten selbst einer Risikobewertung unterziehen. Dabei müssen alle möglichen Bedrohungen und Schwachstellen mit ihrer jeweiligen Eintrittswahrscheinlichkeit in betracht gezogen werden. Dies und der potenzielle Schaden für die Rechte und Freiheiten natürlicher Personen bilden Grundlage für die Bewertung eines angemessenen Niveaus.

Die Kollegen von der IT-Sicherheit kennen ein solches Verfahren bereits. Allerdings bewerten die Kollegen zumeist die Informationen, die meist nicht personenbezogener Natur sind.

Das Ergebnis der getätigten Risikobewertung auch für die Datenschutz-Folgenabschätzung enorm wichtig.

Art. 32 DSGVO

Als Maßnahme nennt Art. 32 Abs. 1 a) DSGVO die Verschlüsselung und die Pseudonymisierung als angemessene Maßnahmen für die eingesetzte Verarbeitung. Im Artikel wurde zuvor bereits gesagt, dass sich an die Anlage des BDSG für die einzusetzenden Maßnahmen orientiert wird. Dazu zählen Zugangskontrolle, Benutzerkontrolle, Datenträgerkontrolle, Speicherkontrolle,  Zugriffskontrolle (BDSG), Auftragskontrolle, Übertragungskontrolle, Transportkontrolle, Datenintegrität, Eingabekontrolle, Verfügbarkeitskontrolle, Trennungskontrolle, Wiederherstellung.

Wie lauten die Schutzziele der DSGVO?

Die Datenschutz-Grundverordnung gibt in Art. 32 Abs. 1 b) vier Schutzziele vor. Diese müssen bei der Verarbeitung personenbezogener Daten dringend beachtet werden. Es sind, die …

  • Vertraulichkeit, d.h. Daten sind vor unberechtigten Zugriff zu schützen.
  • Integrität, d.h. Absicherung vor ungewollter Datenänderung.
  • Verfügbarkeit, d.h. ständige Verfügbarkeit von Daten muss gewährleistet sein.

Die DSGVO nennt aber ein neues Schutzziel.  Die „Belastbarkeit“ der Systeme und Dienste ist erstmals ein Punkt, der so zuvor nicht erwähnt wurde. Unter “Belastbarkeit” wird die Beanspruchung der einzelnen Systeme und Dienste zu verstehen sein. Die Systeme müssen gegen einer Überbelastung widerstandsfähig sein und dieser standhalten. Diese Betrachtung kennt man bereits aus dem Notfallmanagement.

Rasche Wiederherstellbarkeit nach DSGVO

Nach Art. 32 Abs. 1 c) DSGVO müssen Maßnahmen folgendes beinhalten:

die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.

Um dies zu gewährleisten müssen Verantwortliche mehrere Voraussetzungen beachten:

  • Bestehen eines Notfallmanagements inkl. Notfallpläne oder
  • Erstellung entsprechender Leitfäden
  • ebenso müssen regelmäßige Tests zur Wiederherstellung erfolgen
  • die regelmäßige Prüfung, ob die erstellten Datensicherungen zur Wiederherstellung verlorener Daten taugen

Eine Erklärung des Begriffes gibt die DSGVO nicht. Es wird anzunehmen sein, dass damit wiederum ein “nicht schuldhaftes Zögern” beinhalten wird. Eine genauere Klärung des Begriffes wird es nach dem Inkrafttreten der DSGVO geben.

Wie soll die Wirksamkeit der erhobenen Maßnahmen getestet werden?

Art. 32 Abs. 1 d) DSGVO fordert nun ein Verfahren, welches auch die Wirksamkeit der umgesetzten technischen und organisatorischen Maßnahmen testet. Es muss regelmäßig die Wirksamkeit der Maßnahmen bewerten. Die Durchführung von Penetrationstests oder die Einführung eines Qualitätsmanagements können solche Verfahren darstellen.

Die DSGVO kennt zwei neue Datenschutzvorgaben

Bereits jetzt sind uns viele Vorgaben an technische und organisatorische Maßnahmen im Datenschutz bekannt. Art. 25 DSGVO erweitert diese die Vorgaben:

  1. “Data protection by design” soll den Datenschutz und die Datensicherheit bereits in der Planung und Entwicklung von IT-Systemen einbinden. Diese neue Vorgabe soll teure und zeitaufwendige Zusatzprogrammierungen ersparen und den Datenschutz von Anfang an gewährleisten. Bei der Herstellung sollten Entwickler schon die Möglichkeiten der Deaktivierung von Funktionalitäten denken. Zudem sollten Anforderungen wie Anonymisierung, Pseudonymisierung, Authentifizierung oder aber auch Verschlüsselungen bedacht werden.
  1. Dagegen soll bei “Data protection by default”  eine datenschutzfreundliche Einstellung von IT-Systemen gewährleisten. Diese Einstellung soll erzwingen, dass nur die personenbezogenen Daten verarbeitet werden, die für den verfolgten Zweck erforderlich sind. Da viele Nutzer nicht über ausreichendes IT-Wissen verfügen, sollen die Entwickler nun den Schutz der personenbezogenen Daten durch datenschutzfreundliche Einstellungen übernehmen. Dem nicht mit ausreichenden IT-Wissen ausgestatteten Nutzer müssen aber desweiteren die zuvor genannten Funktionalitäten ermöglicht werden.

Somit sind mit der DSGVO sowohl Entwickler, Produzenten als auch die Verantwortlichen gefragt.

IT-Systeme einführen

Art. 38 Abs. 1 DSGVO regelt die Hinzuziehung des Datenschutzbeauftragten für die Fälle, in denen Prozesse mit personenbezogenen Daten eingegliedert sind. Fall in ihrem Unternehmen ein solches Verfahren noch nicht implementiert ist, sollten Sie darüber nachdenken.

Gemäß Art. 35 DSGVO ist eine Folgenabschätzung vorzunehmen. Der Datenschutzbeauftragte muss informiert sein, wenn eine Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich führen könnte. Dies könnte unter Umständen bei Systemen sein, die besonders sensible personenbezogene Daten verarbeiten.

Bei Fällen, in denen die Risikobewertung ergibt, dass ein besonders hohes Risiko jedenfalls für personenbezogene Daten herrscht, muss die Aufsichtsbehörde nach Art. 36 DSGVO befragt werden.

Es droht ein Bußgeld in Höhe von max. 10 Millionen Euro oder bis max. 2% des weltweit erzielten Jahresumsatzes, wenn

  • nur unzureichende oder ungeeignete technische und organisatorische Maßnahmen umgesetzt wurden
  • eine Folgenabschätzung fehlt oder
  • Dokumentationen und Tests nicht durchgeführt wurden.

Der Verantwortliche muss nach Art. 5 Abs. 2 DSGVO die Einhaltung der Datensicherheit gewährleisten und nachweisen. In der DSGVO werden Verantwortliche diese Nachweispflicht wohl auch durch Zertifizierungen erreichen.

Der Rat an Unternehmen

Es wird Unternehmen angeraten, sich einerseits mit der Thematik des Datenschutzbeauftragten auseinanderzusetzen, wenn nicht schon geschehen. Andererseits wird geraten, sich auch der IT-Sicherheit (Datensicherheit) zu beschäftigen.

  1. Managementetablierung für Daten- bzw. Informationssicherheit
  2. Schutzbedarfanalyse durchführen
  3. Risikoanalyse tätigen
  4. Auswahl der geeigneten Maßnahmen
  5. Dokumentations- und Nachweispflicht erfüllen.

Für weitere Fragen stehen wir Ihnen jedenfalls natürlich gerne zur Verfügung.