Datenschutz-Grundverordnung und Datensicherheit

it-sicherheit 22
Fachbeitrag

Im Zuge der Datenschutz-Grundverordnung (DSGVO) wurden auch die Bestimmungen zur Datensicherheit und damit zu den technischen und organisatorischen Maßnahmen überarbeitet. Welche Änderungen bei der „Sicherheit der Verarbeitung“ auf die Unternehmen und Verantwortlichen zukommen, wird in dem folgenden Artikel erklärt, der ein Teil unserer Reihe zur Datenschutz-Grundverordnung ist.

Wie ist die Datensicherheit in der Datenschutz-Grundverordnung verankert?

Die neuen Vorgaben für die „Sicherheit der Verarbeitung“ finden sich hauptsächlich in Art. 5 Abs. 1 f) DSGVO sowie in Art. 32 DSGVO. Zudem normieren weitere Bestimmungen wie z.B. Art. 24, 25, 36 DSGVO die Datensicherheit.

Wie sind die technischen und organisatorischen Maßnahmen geregelt?

§ 9 BDSG inklusive Anlage wird durch Art. 32 DSGVO ersetzt. In dieser Bestimmung finden sich nun abstrakte Anhaltspunkte zur Umsetzung technischer und organisatorischer Maßnahmen und damit der Datensicherheit. Im ersten Absatz heißt es:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Sicherheitsmaßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; …“

Dabei ist die Beschreibung noch abstrakter als derzeit in § 9 BDSG geregelt. Denn konkrete Maßnahmen, wie in der Anlage zu § 9 BDSG aufgezählt, werden in Art. 32 Abs. 1 DSGVO (außer der Pseudonymisierung und Verschlüsselung) nicht genannt. Die Einteilung in Zutritts- bis hin zur Trennungskontrolle wird nun durch Begriffe und Beschreibungen ersetzt, die auf den ersten Blick interpretationsbedürftig erscheinen und die vermutlich noch von den Aufsichtsbehörden bzw. Praxis konkretisiert werden.

Allerdings ist die Vorgehensweise die alte geblieben, denn auch nach dem BDSG heißt es in § 9 BDSG inkl. Anlage, dass der Aufwand je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen soll.

Neu verankert ist u.a., dass die umgesetzten Maßnahmen auf dem Stand der Technik sein sollen und bei der Beurteilung das drohende Risiko und dessen Eintrittswahrscheinlichkeit berücksichtig werden müssen.

Was versteht man unter „Stand der Technik“?

Was unter „Stand der Technik“ zu verstehen ist, wird ebenfalls in der Datenschutz-Grundverordnung nicht konkretisiert. Allerdings ist dieser Fachbegriff nicht neu. Bereits in der Anlage zu § 9 BDSG ist im letzten Satz geregelt, dass eine Verschlüsselung dem „Stand der Technik“ entsprechen soll. Demnach sollen technische Maßnahmen erhoben werden, die zur Verfügung stehen und die sich bereits in der Praxis bewährt haben. Gemeint sind also nicht Techniken, die gerade neu entwickelt wurde. Letztendlich muss die jeweilige Maßnahme ihre Geeignetheit und Effektivität in der Praxis bereits bewiesen haben und einen ausreichenden Sicherheitsstandard gewährleisten. Dabei impliziert der Begriff „Stand der Technik“, dass es sich um eine gegenwärtige Bewertung handelt und der Stand der Technik immer wieder geprüft werden muss, um die Datensicherheit gewährleisten zu können.

Aufgrund des IT-Sicherheitsgesetzes hat der Bundesverband IT-Sicherheit e.V. (TeleTrusT) eine Handreichung veröffentlicht, die den Verantwortlichen als Orientierung zur Ermittlung des Standes der Technik in der IT-Sicherheit dienen soll.

Wie beurteilt sich ein „angemessenes Schutzniveau“?

Wie bisher auch, orientiert sich das Schutzniveau an der Schutzbedürftigkeit der einzelnen gespeicherten personenbezogenen Daten. Es sollte also eine Schutzbedarfsfeststellung vorgenommen werden, indem der jeweilige Schutzbedarf der unterschiedlichen personenbezogenen Daten ermittelt wird. Dabei werden zunächst typische Schadenszenarien ermittelt und anschließend der Schutzbedarf für die einzelnen personenbezogenen Daten abgeleitet. Bewährt hat sich die Einteilung in Schutzbedarfskategorien, wobei eine Orientierung an z.B. die Kategorien des BSI-Standard 100-2 in „normal, „hoch“ und „sehr hoch“ hilfreich sein kann.

Der Begriff „angemessen“ orientiert sich an dem Stand der Technik, den Implementierungskosten, der Art und dem Umfang der Umstände, dem Zweck der Verarbeitung sowie an den unterschiedlichen Eintrittswahrscheinlichkeiten und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

Muss eine Risikobewertung durchgeführt werden?

Art. 32 Abs. 1 DSGVO regelt, dass die technischen und organisatorischen Maßnahmen unter Berücksichtigung des Risikos zur Beeinträchtigung von Persönlichkeits- und Freiheitsrechten erhoben werden sollen. Nun steht der Betroffene selbst im Fokus einer Risikobewertung und nicht nur die IT-Systeme oder Projekte. Dabei sollte eine Risikoinventur vorgenommen werden, indem aktuelle Risiken festgestellt werden. Dabei werden alle möglichen Gefahrenquellen und Störungen mit ihrer jeweiligen Eintrittswahrscheinlichkeit und der potenziellen Schwere des Schadens für die Rechte und Freiheiten natürlicher Personen identifiziert.

Dieses Vorgehen ist bereits im IT-Risikomanagement bekannt, bei dem allerdings meist nur IT-Systeme bzw. Projekte betrachtet werden.

Das Ergebnis einer Risikobewertung ist einerseits für die Feststellung des Schutzbedarfes wichtig, aber auch für die Datenschutz-Folgenabschätzung.

Werden auch konkrete Maßnahmen genannt?

Art. 32 Abs. 1 a) DSGVO erwähnt die Pseudonymisierung und die Verschlüsselung als Maßnahmen, die bei der Verarbeitung möglichst eingesetzt werden sollen. Erstaunlich ist, dass an dieser Stelle zwar die Pseudonymisierung jedoch nicht die Anonymisierung erwähnt wird, die durchaus bei einigen Verfahren eingesetzt werden kann.

Welche Schutzziele sind in der DSGVO verankert?

In Art. 32 Abs. 1 b) DSGVO sind vier Schutzziele aufgelistet, die bei der Verarbeitung personenbezogener Daten sicherzustellen sind. Die ersten drei Schutzziele sind bereits aus der IT-Sicherheit bekannt:

  • Vertraulichkeit, d.h. Daten sind für unberechtigte Dritte nicht zugänglich.
  • Integrität, d.h. Daten können nicht verfälscht werden.
  • Verfügbarkeit, d.h. Daten stehen zur Verfügung, wenn sie gebraucht werden.

Eine ausführliche Beschreibung der Schutzziele findet sich hier.

Als neues Schutzziel wird die „Belastbarkeit“ der Systeme und Dienste erwähnt, wobei auch hier keine nähere Definition oder konkrete Maßnahmen erwähnt werden. Gemeint sein könnte hier nicht nur, dass Systeme und Dienste einer gewissen Beanspruchung standhalten müssen. Denkbar ist auch, dass auch z.B. die Skalierbarkeit von Systemen gewährleistet werden soll. Aufgrund des technischen Fortschritts müssen auch die Systeme und Dienste ständig an steigenden Leistungsbedarf angepasst werden. Werden neue Schutz-Mechanismen notwendig sein, müssen die Systeme entsprechend aufgerüstet werden, was nur möglich ist, wenn sie anpassungsfähig sind.

Was versteht man unter einer raschen Wiederherstellbarkeit?

In Art. 32 Abs. 1 c) DSGVO ist normiert, dass personenbezogene Daten bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden sollen.

Um diese Anforderung der Datensicherheit erfüllen zu können, werden Verantwortliche nicht nur Notfallpläne oder entsprechende Leitfäden erstellen, sondern auch die Wiederherstellung regelmäßig testen müssen. Dazu gehört insbesondere die regelmäßige Prüfung, ob die erstellten Datensicherungen zur Wiederherstellung verlorener Daten genutzt werden können.

Was allerdings unter dem Begriff „rasch“ zu verstehen ist, wird wohl noch interpretiert werden müssen. Es mag der deutschen (nicht amtlichen) Übersetzung geschuldet sein, dass sich ein umgangssprachliches Wort „rasch“ in der Verordnung findet. Ob damit „zeitnah“ oder „unverzüglich“ (also ohne schuldhaftes Zögern) gemeint ist, die sich bereits in der Praxis etabliert haben, wird abzuwarten sein.

Wie soll die Wirksamkeit der erhobenen Maßnahmen getestet werden?

Art. 32 Abs. 1 d) DSGVO regelt, dass nun auch die Wirksamkeit der umgesetzten technischen und organisatorischen Maßnahmen getestet werden muss. Dabei muss das Unternehmen ein Verfahren etablieren, das regelmäßig die Wirksamkeit der Maßnahmen bewertet und evaluiert. Ein solches mögliches Verfahren wäre z.B. das Durchführen von Penetrationstests.

Was bedeutet “data protection by design” und “data protection by default”?

Art. 25 DSGVO erweitert die Vorgaben an technische und organisatorische Maßnahmen um die folgenden zwei Anforderungen:

  1. Bei Data protection by design (Datenschutz durch Technik) sollen Datenschutz und Datensicherheit bereits in der Planung und Entwicklung von IT-Systemen berücksichtigt werden. Es soll vorgebeugt werden, dass die Vorgaben nach dem Datenschutz und Datensicherheit erst nach dem Bereitstellen von IT-Systemen durch teure und zeitaufwendige Zusatzprogrammierungen umgesetzt werden werden. Bereits bei der Herstellung sollten Möglichkeiten wie Deaktivierung von Funktionalitäten, Anonymisierung oder Pseudonymisierung aber auch an Authentisierung und Authentifizierung oder Verschlüsselungen berücksichtigt werden.
  1. Bei Data protection by default (datenschutzfreundliche Einstellungen) sollen IT-Systeme datenschutzfreundlich voreingestellt sein, so dass nur die personenbezogenen Daten verarbeitet werden, die für den verfolgten Zweck erforderlich sind. Hintergrund dieser Regelung ist, dass viele Nutzer nicht über ausreichende IT Kenntnisse verfügen und somit keine Einstellungen zum Schutz ihrer personenbezogenen Daten vornehmen können. Darüber hinaus muss dem Nutzer Funktionalitäten zur Verfügung gestellt werden, mit denen er seine Privatsphäre schützen kann (z.B. Verschlüsselung).

Adressat dieser Vorschrift sind nicht nur Verantwortliche sondern auch die Entwickler von IT-Systemen und Produkten.

Ganz neu ist diese Anforderung nicht. Denn in § 3a BDSG, der die Datenvermeidung und Datensparsamkeit regelt, normiert, dass Datenverarbeitungssystemen an dem Ziel auszurichten seien, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen.

Was ist bei der Einführung von IT-Systemen zu beachten?

Art. 38 Abs. 1 DSGVO regelt explizit, dass der Datenschutzbeauftragte „ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen“ einzubinden ist. Falls dies also noch nicht im Unternehmen umgesetzt ist, muss ein Prozess etabliert werden, der rechtzeitig den Datenschutzbeauftragten in das Vorhaben einbezieht.

Außerdem muss gemäß Art. 35 DSGVO eine Folgenabschätzung vorgenommen werden, wenn die Verarbeitung der Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben könnte. Das ist z.B. bei IT-Systemen denkbar, die besonderen personenbezogenen Daten verarbeiten.

Nach Art. 36 DSGVO muss sogar die Aufsichtsbehörde konsultiert werden, wenn die Folgeabschätzung ergibt, dass eine Datenverarbeitung ohne Maßnahmen ein hohes Risiko bedeutet.

Welche Sanktionen drohen bei unzureichender Datensicherheit?

In BDSG sind Verstöße gegen § 9 nicht sanktioniert. Das wird sich mit der DSGVO ändern. Sollten unzureichende oder ungeeignete technische und organisatorische Maßnahmen umgesetzt werden, fehlt eine Folgenabschätzung oder ausreichende Tests/Dokumentationen droht ein Bußgeld in Höhe von max. 10 Millionen Euro oder bis max. 2% des weltweit erzielten Jahresumsatzes.

Gibt es eine Rechenschaftspflicht?

Ja, der Verantwortliche muss nach Art. 5 Abs. 2 DSGVO die Einhaltung der Datensicherheit gewährleisten und nachweisen. Der Nachweispflicht wird der Verantwortliche wohl auch durch Zertifizierungen nachkommen können.

Welche Vorgehensweise ist anzuraten?

Angelehnt an das Informationsblatt des Bayerischen Landesamtes für Datenschutzaufsicht zum Artikel 32, ist folgende Vorgehensweise anzuraten:

  1. Feststellen des Schutzbedarfes
  2. Bewertung von Risiken
  3. Treffen und Umsetzen der jeweiligen Maßnahmen
  4. Führen von Dokumentationen und Nachweisen

Bei der Umsetzung geeigneter Maßnahmen ist der Verantwortliche gut beraten, sich an den BSI IT-Grundschutz-Katalog zu orientieren.

Hier finden Sie weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung.

5 Kommentare zu diesem Beitrag

  1. Was ist der Unterschied zwischen Pseudonymisierung und Anonymisierung? Threema ist z.B. anonym nutzbar (also ohne, dass persönliche Daten preisgegeben werden müssten). Wäre das Gegenstück, wenn ein Pseudonym angegeben werden müsste?

    • Bei der Pseudonymisierung wird das personenbezogene Datum z.B. durch eine Zahlenkombination (Pseudonym) ersetzt. Hier ist die Zuordnung des Pseudonyms zu einer Person allerdings noch möglich.
      Bei einem Mitarbeiter ist beispielsweise die Mitarbeiter-ID ein Pseudonym. Allerdings gibt es eine Datenbank, in der berechtigte Personen nachschauen können, wer sich hinter der Nummer verbirgt.

      Bei der Anonymisierung gibt es diese Zuordnungsmöglichkeit nicht. Eine Zuordnung zu einer Person ist also entweder unter keinen Umständen mehr möglich oder der Aufwand ist unverhältnismäßig groß.
      Beispiel: Bei einer anonymen Mitarbeiterbefragung, bei der jeder Mitarbeiter nur seine Meinung wiedergibt, aber keine sonstigen personenbezogenen Daten auf seinem Zettel aufschreibt, ist es nicht mehr nachvollziehbar, wer welchen Zettel ausgefüllt hat.

      Ob Threema komplett anonym abläuft, hängt davon ab, welche Daten der Messanger von seinen Nutzern erhebt. Wenn z.B. ein personenbezogenes Datum wie Name / IP-Adresse oder ähnliches in einer Datenbank zusammen mit einem Nickname (Pseudonym) gespeichert wird, dann kann unter Umständen eine Re-Identifizierung der Person stattfinden. Wenn jedoch keine personenbezogene Daten gespeichert werden, sondern nur ein Nickname (der nicht aus dem echten Namen besteht) ist die Nutzung anonym.

      • @ Dr. Datenschutz

        „Bei einer anonymen Mitarbeiterbefragung, bei der jeder Mitarbeiter nur seine Meinung wiedergibt, aber keine sonstigen personenbezogenen Daten auf seinem Zettel aufschreibt, ist es nicht mehr nachvollziehbar, wer welchen Zettel ausgefüllt hat. “

        Doch, anhand der Handschrift kann man zurückverfolgen, wer welche Zettel ausgefüllt hat.

        • Ob eine Mitarbeiterbefragung anonym ist, hängt immer von dem Einzelfall ab.
          Wenn ein Unternehmen lediglich 10 Mitarbeiter hat und der Mitarbeiterzettel Freitext-Passagen enthält, dann ist es durchaus möglich, dass der Zettel anhand der Handschrift identifiziert werden kann.
          Wenn der Zettel nur Ankreuz-Fragen hat oder online ausgefüllt wird, dann wird eine Re-Identifizierung nicht möglich sein.

          • Ja, Sie haben Recht. Bei wenigen Mitarbeitern und Freitext-Feldern im Formular ist eine Deanonymisierung möglich, sonst eher nicht.

            Selbstredend sollte die Mitarbeiterbefragung nicht elektronisch, sondern papierhaft und mit unbeobachteter Zettelsammlung stattfinden, um Anonymität zu gewährleisten. ;-)

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.