Die EU-Datenschutz-Grundverordnung (DSGVO) verknüpft Datenschutz und Datensicherheit. Und das sehr eng. Schutz und Technik sind nicht nur bei den technisch-organisatorischen Maßnahmen miteinander verbunden, wie bislang bei § 9 BDSG. Die DSGVO verlangt nun Sicherheitsmaßnahmen, die geeignet sind, exakt das Schutzniveau zu gewährleisten, das dem Risiko der Datenverarbeitung im Sinne von Rechten und Freiheiten eines Betroffenen angemessen ist.
Dabei ist der Stand der Technik angemessen zu berücksichtigen. Also ist auch eine stetige Anpassung der Maßnahmen zwingend. Zu prüfen ist außerdem, ob ein IT-Sicherheitsmanagement notwendig ist.
Um welche Schutzziele geht es?
1. Vertraulichkeit durch:
- Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle)
- Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle)
- Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können – und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle)
- Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungsgebot)
2. Integrität durch:
- Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stelle eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle)
- Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle/Verarbeitungskontrolle)
- Maßnahmen, die gewährleisten, dass die Verfahrensweise bei der Verarbeitung personenbezogener Daten in einer Weise dokumentiert werden, dass sie in zumutbarer Weise nachvollzogen werden können (Dokumentationskontrolle)
- Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle)
3. Verfügbarkeit und Belastbarkeit durch:
- Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)
- Maßnahmen, die gewährleisten, dass technische Systeme bei Störungen bzw. Teil- oder Komplettausfällen nicht vollständig versagen, sondern wesentliche Systemdienstleistungen aufrechterhalten werden
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
Wie wird der Schutzbedarf festgestellt?
Üblicherweise werden die drei Schutzklassen „normal“, „hoch“ und „sehr hoch“ verwendet. Diese Klassifizierung muss aber nicht nur für personenbezogene Daten gelten – sie kann für alle unternehmensrelevanten Informationen verwendet werden.
Die Klassifizierung „normal“ gilt zum Beispiel für alle internen Datenverarbeitungen bzw. für Daten, die aus allgemein zugänglichen Quellen stammen. Das Risiko für die Betroffenen ist tolerabel.
„Hoch“ ist der Schutzbedarf für Daten, die einen gewissen Vertraulichkeitsgrad erfüllen müssen, weil eine erhebliche Beeinträchtigung der Rechte von Betroffenen möglich ist.
Ein „sehr hohes“ Schutzniveau muss gewährleistet sein, wenn eine besonders bedeutende Beeinträchtigung zu befürchten ist.
Die Risikobewertung muss also abwägen, wie wahrscheinlich ein Schadenseintritt ist und welche negativen Auswirkungen damit bei Betroffenen angerichtet werden könnte.
Welche Maßnahmen müssen ergriffen werden?
Die technischen und organisatorischen Maßnahmen müssen im Verhältnis zum Risiko stehen. Dabei sind folgende Punkte zu berücksichtigen:
- Eignung der Maßnahmen
- Stand der Technik
- Kosten der Implementierung
- Aufwand
Nach DSGVO gibt es eine Reihe von Maßnahmen wie:
- Pseudonymisierung
- Verschlüsselung
- die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste auf Dauer sicherzustellen
- die Verfügbarkeit und den Zugang zu personenbezogenen Daten bei einem physischen oder technischen Zwischenfall schnell wiederherzustellen
- ein Verfahren einzurichten, das eine regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technisch-organisatorischen Maßnahmen zur Sicherheit der Verarbeitung garantiert
- Sicherstellung, dass die Mitarbeiter, die personenbezogene Daten verarbeiten, dies nur entsprechend ihrer Aufgaben auf Anweisung des Verantwortlichen tun
im Rahmen der Rechenschaftspflicht nach Art. 5 DSGVO müssen die Risikobewertung und die daraufhin ergriffenen Maßnahmen dokumentiert werden.
Weitere technische Maßnahmen
Schon im Vorfeld von Anwendungen zur Verarbeitung personenbezogener Daten müssen die Aspekte des Datenschutzes durch Technik (Privacy by Design) oder durch datenschutzfreundliche Voreinstellungen (Privacy by Default) berücksichtigt werden. Damit ist auch dem Grundsatz der Datenminimierung (Art. 5 DSGVO) zu entsprechen. Und bereits beim Beschaffen von IT-Lösungen ist zu prüfen, wie diese Anforderungen umgesetzt werden können. Anonymisierung, Pseudonymisierung, Einschränkung der Verarbeitung (Sperrung) oder Löschung von Daten wären hierzu geeignete Maßnahmen.
Auch diese Überlegungen bzw. Maßnahmen sind zu dokumentieren
Ich möchte diesen Beitrag teilen