Datenschutz-Grundverordnung und Datensicherheit

Fachbeitrag

Im Zuge der Datenschutz-Grundverordnung (DSGVO) wurden auch die Bestimmungen zur Datensicherheit und damit zu den technischen und organisatorischen Maßnahmen überarbeitet. Welche Änderungen bei der „Sicherheit der Verarbeitung“ auf die Unternehmen und Verantwortlichen zukommen, wird in dem folgenden Artikel erklärt, der ein Teil unserer Reihe zur Datenschutz-Grundverordnung ist.

Wie ist die Datensicherheit in der Datenschutz-Grundverordnung verankert?

Die neuen Vorgaben für die „Sicherheit der Verarbeitung“ finden sich hauptsächlich in Art. 5 Abs. 1 f) DSGVO sowie in Art. 32 DSGVO. Zudem normieren weitere Bestimmungen wie z.B. Art. 24, 25, 36 DSGVO die Datensicherheit.

Wie sind die technischen und organisatorischen Maßnahmen geregelt?

§ 9 BDSG inklusive Anlage wird durch Art. 32 DSGVO ersetzt. In dieser Bestimmung finden sich Anhaltspunkte zur Umsetzung technischer und organisatorischer Maßnahmen und damit der Datensicherheit. Im ersten Absatz heißt es:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Sicherheitsmaßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; …“

Dabei ist die Beschreibung noch abstrakter als derzeit in § 9 BDSG geregelt. Denn konkrete Maßnahmen, wie in der Anlage zu § 9 BDSG aufgezählt, werden in Art. 32 Abs. 1 DSGVO (außer der Pseudonymisierung und Verschlüsselung) nicht genannt. Eine Aufzählung von Maßnahmen findet sich allerdings in § 58 Abs. 3 des Referentenentwurfes für das deutsche Ausführungsgesetz zur Datenschutz-Grundverordnung, die stark an die Anlage zu § 9 BDSG erinnern und diese erweitern.

Ferner ist die Vorgehensweise die alte geblieben, denn auch nach dem BDSG heißt es in § 9 BDSG inkl. Anlage, dass der Aufwand je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen soll.

Neu verankert ist u.a., dass die umgesetzten Maßnahmen auf dem Stand der Technik sein sollen und bei der Beurteilung das drohende Risiko und dessen Eintrittswahrscheinlichkeit berücksichtig werden müssen.

Was versteht man unter „Stand der Technik“?

Was unter „Stand der Technik“ zu verstehen ist, wird ebenfalls in der Datenschutz-Grundverordnung nicht konkretisiert. Allerdings ist dieser Fachbegriff nicht neu. Bereits in der Anlage zu § 9 BDSG ist im letzten Satz geregelt, dass eine Verschlüsselung dem „Stand der Technik“ entsprechen soll. Demnach sollen technische Maßnahmen erhoben werden, die zur Verfügung stehen und die sich bereits in der Praxis bewährt haben. Gemeint sind also nicht Techniken, die gerade neu entwickelt wurde. Letztendlich muss die jeweilige Maßnahme ihre Geeignetheit und Effektivität in der Praxis bereits bewiesen haben und einen ausreichenden Sicherheitsstandard gewährleisten. Dabei impliziert der Begriff „Stand der Technik“, dass es sich um eine gegenwärtige Bewertung handelt und der Stand der Technik immer wieder geprüft werden muss, um die Datensicherheit gewährleisten zu können.

Aufgrund des IT-Sicherheitsgesetzes hat der Bundesverband IT-Sicherheit e.V. (TeleTrusT) eine Handreichung veröffentlicht, die den Verantwortlichen als Orientierung zur Ermittlung des Standes der Technik in der IT-Sicherheit dienen soll.

Wie beurteilt sich ein „angemessenes Schutzniveau“?

Wie bisher auch, orientiert sich das Schutzniveau an der Schutzbedürftigkeit der einzelnen gespeicherten personenbezogenen Daten. Es sollte also eine Schutzbedarfsfeststellung vorgenommen werden, indem der jeweilige Schutzbedarf der unterschiedlichen personenbezogenen Daten ermittelt wird. Dabei werden zunächst typische Schadenszenarien ermittelt und anschließend der Schutzbedarf für die einzelnen personenbezogenen Daten abgeleitet. Bewährt hat sich die Einteilung in Schutzbedarfskategorien, wobei eine Orientierung an z.B. die Kategorien des BSI-Standard 100-2 in „normal, „hoch“ und „sehr hoch“ hilfreich sein kann.

Der Begriff „angemessen“ orientiert sich an dem Stand der Technik, den Implementierungskosten, der Art und dem Umfang der Umstände, dem Zweck der Verarbeitung sowie an den unterschiedlichen Eintrittswahrscheinlichkeiten und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

Muss eine Risikobewertung durchgeführt werden?

Art. 32 Abs. 1 DSGVO regelt, dass die technischen und organisatorischen Maßnahmen unter Berücksichtigung des Risikos zur Beeinträchtigung von Persönlichkeits- und Freiheitsrechten erhoben werden sollen. Nun stehen personenbezogene Daten selbst im Fokus einer Risikobewertung. Dabei sollte eine Risikoinventur vorgenommen werden, indem alle möglichen Bedrohungen und Schwachstellen mit ihrer jeweiligen Eintrittswahrscheinlichkeit und der potenziellen Schwere des Schadens für die Rechte und Freiheiten natürlicher Personen identifiziert werden.

Dieses Vorgehen ist bereits im IT-Risikomanagement bekannt, bei dem allerdings meist Informationen betrachtet werden, die nicht notwendigerweise personenbezogen sein müssen.

Das Ergebnis einer Risikobewertung ist nicht nur für die Datensicherheit wichtig, sondern auch für die Datenschutz-Folgenabschätzung.

Werden auch konkrete Maßnahmen genannt?

Art. 32 Abs. 1 a) DSGVO erwähnt die Pseudonymisierung und die Verschlüsselung als Maßnahmen, die bei der Verarbeitung möglichst eingesetzt werden sollen. Erstaunlich ist, dass an dieser Stelle zwar die Pseudonymisierung jedoch nicht die Anonymisierung erwähnt wird, die durchaus bei einigen Verfahren eingesetzt werden kann.

In § 58 Abs. 3 des Referentenentwurf für das deutsche Ausführungsgesetz zur Datenschutz-Grundverordnung werden folgende Maßnahmen aufgezählt: Zugangskontrolle, Datenträgerkontrolle, Speicherkontrolle, Benutzerkontrolle, Zugangskontrolle (hierbei ist vermutlich das Berechtigungskonzept gemeint), Übertragungskontrolle, Eingabekontrolle, Transportkontrolle, Wiederherstellung, Datenintegrität, Auftragskontrolle, Verfügbarkeitskontrolle, Trennungskontrolle, Verschlüsselungsverfahren.

Welche Schutzziele sind in der DSGVO verankert?

In Art. 32 Abs. 1 b) DSGVO sind vier Schutzziele aufgelistet, die bei der Verarbeitung personenbezogener Daten sicherzustellen sind. Die ersten drei Schutzziele sind bereits aus der IT-Sicherheit bekannt:

  • Vertraulichkeit, d.h. Daten sind für unberechtigte Dritte nicht zugänglich.
  • Integrität, d.h. Daten können nicht verfälscht werden.
  • Verfügbarkeit, d.h. Daten stehen zur Verfügung, wenn sie gebraucht werden.

Eine ausführliche Beschreibung der Schutzziele findet sich hier.

Als neues Schutzziel wird die „Belastbarkeit“ der Systeme und Dienste erwähnt, wobei auch hier keine nähere Definition oder konkrete Maßnahmen erwähnt werden. Gemeint sein könnte, dass Systeme und Dienste einer gewissen Beanspruchung standhalten müssen. Zur Lösung des Begriffes „Belastbarkeit“ sollte die englische Fassung hinzugezogen werden. Dort ist die Sprache von „resilience“. Ins Deutsche übersetzt, passen also eher die Begriffe Resilienz bzw. Widerstandsfähigkeit der System bzw. Dienste, die bereits aus dem Notfallmanagement bekannt sind.

Was versteht man unter einer raschen Wiederherstellbarkeit?

In Art. 32 Abs. 1 c) DSGVO ist normiert, dass personenbezogene Daten bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden sollen.

Um diese Anforderung der Datensicherheit erfüllen zu können, werden Verantwortliche nicht nur ein Notfallmanagement inkl. Notfallpläne oder entsprechende Leitfäden erstellen, sondern auch die Wiederherstellung regelmäßig testen müssen. Dazu gehört insbesondere die regelmäßige Prüfung, ob die erstellten Datensicherungen zur Wiederherstellung verlorener Daten genutzt werden können.

Was allerdings unter dem Begriff „rasch“ zu verstehen ist, wird wohl noch interpretiert werden müssen. Es mag der deutschen (nicht amtlichen) Übersetzung geschuldet sein, dass sich ein umgangssprachliches Wort „rasch“ in der Verordnung findet. Ob damit „zeitnah“ oder „unverzüglich“ (also ohne schuldhaftes Zögern) gemeint ist, die sich bereits in der Praxis etabliert haben, wird abzuwarten sein.

Wie soll die Wirksamkeit der erhobenen Maßnahmen getestet werden?

Art. 32 Abs. 1 d) DSGVO regelt, dass nun auch die Wirksamkeit der umgesetzten technischen und organisatorischen Maßnahmen getestet werden muss. Dabei muss das Unternehmen ein Verfahren etablieren, das regelmäßig die Wirksamkeit der Maßnahmen bewertet und evaluiert. Ein solches mögliches Verfahren wäre z.B. das Durchführen von Penetrationstests oder die Einführung eines Qualitätsmanagements.

Was bedeutet “data protection by design” und “data protection by default”?

Art. 25 DSGVO erweitert die Vorgaben an technische und organisatorische Maßnahmen um die folgenden zwei Anforderungen:

  1. Bei Data protection by design (Datenschutz durch Technik) sollen Datenschutz und Datensicherheit bereits in der Planung und Entwicklung von IT-Systemen berücksichtigt werden. Es soll vorgebeugt werden, dass die Vorgaben nach dem Datenschutz und Datensicherheit erst nach dem Bereitstellen von IT-Systemen durch teure und zeitaufwendige Zusatzprogrammierungen umgesetzt werden werden. Bereits bei der Herstellung sollten Möglichkeiten wie Deaktivierung von Funktionalitäten, Anonymisierung oder Pseudonymisierung aber auch an Authentisierung und Authentifizierung oder Verschlüsselungen berücksichtigt werden.
  1. Bei Data protection by default (datenschutzfreundliche Einstellungen) sollen IT-Systeme datenschutzfreundlich voreingestellt sein, so dass nur die personenbezogenen Daten verarbeitet werden, die für den verfolgten Zweck erforderlich sind. Hintergrund dieser Regelung ist, dass viele Nutzer nicht über ausreichende IT Kenntnisse verfügen und somit keine Einstellungen zum Schutz ihrer personenbezogenen Daten vornehmen können. Darüber hinaus muss dem Nutzer Funktionalitäten zur Verfügung gestellt werden, mit denen er seine Privatsphäre schützen kann (z.B. Verschlüsselung).

Adressat dieser Vorschrift sind nicht nur Verantwortliche sondern auch die Entwickler von IT-Systemen und Produkten.

Ganz neu ist diese Anforderung nicht. Denn in § 3a BDSG, der die Datenvermeidung und Datensparsamkeit regelt, normiert, dass Datenverarbeitungssystemen an dem Ziel auszurichten seien, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen.

Was ist bei der Einführung von IT-Systemen zu beachten?

Art. 38 Abs. 1 DSGVO regelt explizit, dass der Datenschutzbeauftragte „ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen“ einzubinden ist. Falls dies also noch nicht im Unternehmen umgesetzt ist, muss ein Prozess etabliert werden, der rechtzeitig den Datenschutzbeauftragten in das Vorhaben einbezieht.

Außerdem muss gemäß Art. 35 DSGVO eine Folgenabschätzung vorgenommen werden, wenn die Verarbeitung der Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben könnte. Das ist z.B. bei IT-Systemen denkbar, die besonderen personenbezogenen Daten verarbeiten.

Nach Art. 36 DSGVO muss sogar die Aufsichtsbehörde konsultiert werden, wenn die Folgeabschätzung ergibt, dass eine Datenverarbeitung ohne Maßnahmen ein hohes Risiko bedeutet.

Welche Sanktionen drohen bei unzureichender Datensicherheit?

In BDSG sind Verstöße gegen § 9 nicht sanktioniert. Das wird sich mit der DSGVO ändern. Sollten unzureichende oder ungeeignete technische und organisatorische Maßnahmen umgesetzt werden, fehlt eine Folgenabschätzung oder ausreichende Tests/Dokumentationen droht ein Bußgeld in Höhe von max. 10 Millionen Euro oder bis max. 2% des weltweit erzielten Jahresumsatzes.

Gibt es eine Rechenschaftspflicht?

Ja, der Verantwortliche muss nach Art. 5 Abs. 2 DSGVO die Einhaltung der Datensicherheit gewährleisten und nachweisen. Der Nachweispflicht wird der Verantwortliche wohl auch durch Zertifizierungen nachkommen können.

Welche Vorgehensweise ist anzuraten?

Angelehnt an das Informationsblatt des Bayerischen Landesamtes für Datenschutzaufsicht zum Artikel 32, ist folgende Vorgehensweise anzuraten:

  1. Etablieren eines Managements für Datensicherheit oder Informationssicherheit
  2. Feststellen des Schutzbedarfes
  3. Bewertung von Risiken
  4. Treffen und Umsetzen der jeweiligen Maßnahmen
  5. Führen von Dokumentationen und Nachweisen

Um Ihnen die Umsetzung dieser Anforderungen zu erleichtern, werden wir Sie in unserer Reihe „ISMS & DSGVO“ regelmäßig über die Umsetzung einzelner Punkte informieren.

Hier finden Sie weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung.

7 Kommentare zu diesem Beitrag

  1. Was ist der Unterschied zwischen Pseudonymisierung und Anonymisierung? Threema ist z.B. anonym nutzbar (also ohne, dass persönliche Daten preisgegeben werden müssten). Wäre das Gegenstück, wenn ein Pseudonym angegeben werden müsste?

    • Bei der Pseudonymisierung wird das personenbezogene Datum z.B. durch eine Zahlenkombination (Pseudonym) ersetzt. Hier ist die Zuordnung des Pseudonyms zu einer Person allerdings noch möglich.
      Bei einem Mitarbeiter ist beispielsweise die Mitarbeiter-ID ein Pseudonym. Allerdings gibt es eine Datenbank, in der berechtigte Personen nachschauen können, wer sich hinter der Nummer verbirgt.

      Bei der Anonymisierung gibt es diese Zuordnungsmöglichkeit nicht. Eine Zuordnung zu einer Person ist also entweder unter keinen Umständen mehr möglich oder der Aufwand ist unverhältnismäßig groß.
      Beispiel: Bei einer anonymen Mitarbeiterbefragung, bei der jeder Mitarbeiter nur seine Meinung wiedergibt, aber keine sonstigen personenbezogenen Daten auf seinem Zettel aufschreibt, ist es nicht mehr nachvollziehbar, wer welchen Zettel ausgefüllt hat.

      Ob Threema komplett anonym abläuft, hängt davon ab, welche Daten der Messanger von seinen Nutzern erhebt. Wenn z.B. ein personenbezogenes Datum wie Name / IP-Adresse oder ähnliches in einer Datenbank zusammen mit einem Nickname (Pseudonym) gespeichert wird, dann kann unter Umständen eine Re-Identifizierung der Person stattfinden. Wenn jedoch keine personenbezogene Daten gespeichert werden, sondern nur ein Nickname (der nicht aus dem echten Namen besteht) ist die Nutzung anonym.

      • @ Dr. Datenschutz

        „Bei einer anonymen Mitarbeiterbefragung, bei der jeder Mitarbeiter nur seine Meinung wiedergibt, aber keine sonstigen personenbezogenen Daten auf seinem Zettel aufschreibt, ist es nicht mehr nachvollziehbar, wer welchen Zettel ausgefüllt hat. “

        Doch, anhand der Handschrift kann man zurückverfolgen, wer welche Zettel ausgefüllt hat.

        • Ob eine Mitarbeiterbefragung anonym ist, hängt immer von dem Einzelfall ab.
          Wenn ein Unternehmen lediglich 10 Mitarbeiter hat und der Mitarbeiterzettel Freitext-Passagen enthält, dann ist es durchaus möglich, dass der Zettel anhand der Handschrift identifiziert werden kann.
          Wenn der Zettel nur Ankreuz-Fragen hat oder online ausgefüllt wird, dann wird eine Re-Identifizierung nicht möglich sein.

          • Ja, Sie haben Recht. Bei wenigen Mitarbeitern und Freitext-Feldern im Formular ist eine Deanonymisierung möglich, sonst eher nicht.

            Selbstredend sollte die Mitarbeiterbefragung nicht elektronisch, sondern papierhaft und mit unbeobachteter Zettelsammlung stattfinden, um Anonymität zu gewährleisten. ;-)

  2. Hallo Frau Czernik, welche Möglichkeiten gäbe es einer Kundenanfrage in Bezug auf ein Audit hinsichtlich Datenschutz und/oder IT Sicherheit zu reagieren (jetzt und in Zukunft nach der DSGVO)? Wie sind Ihre Erfahrungen? Danke

    • Uns werden in der Praxis oft solche Anfragen gestellt, da diese Themen wichtig sind und die Kunden sich über die Sicherheit vergewissern möchten (was auch nachvollziehbar ist). Wenn man ein Zertifikat hat (z.B. ISO 27001) so sind die Kunden meistens damit zufrieden. Im Datenschutz sind solche Zertifikate nicht weit verbreitet. Ich habe aber die Erfahrung gemacht, dass ein durchgeführter Datenschutz-Check (z.B. durch einen externen Spezialisten) mit einem Testat den meisten Kunden ausreicht (dies umso mehr, wenn man das Testat zusammen mit den umgesetzten technischen und organisatorischen Maßnahmen vorgelegt wird). Vorort-Kontrollen werden dann nicht durchgeführt (es sei denn, es handelt sich um kritische Systeme bzw. Daten).

      Ich gehe davon aus, dass sich ab der DSGVO die Zertifikate (wenn sie dann durch die Behörden bereitgestellt werden) an Bedeutung gewinnen und diese (genauso wie eine ISO Zertifizierung) den meisten Kunden ausreichen werden.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.