deen
Nexia Ebner Stolz

Die EU-Datenschutz-Grundverordnung: Anforderungen an die Informationssicherheit

Das Inkrafttreten der EU-Datenschutz-Grundverordnung (DS-GVO) rückt näher. Unternehmen haben bis zum 25.5.2018 Zeit, ihre Datenschutzorganisation an die neuen Anforderungen und Regelungen der DS-GVO anzupassen und interne Prozesse weiterzuentwickeln.

Einige wesent­li­che Vor­ga­ben und Prin­zi­pien, wie sie in der DS-GVO gefor­dert wer­den, sind nicht vol­l­ends neu, son­dern wer­den teil­weise bereits in der der­zeit noch gül­ti­gen EU-Daten­schutz­richt­li­nie (Richt­li­nie 95/46/EG) bzw. im Bun­des­da­ten­schutz­ge­setz (BDSG) defi­niert.

Die EU-Datenschutz-Grundverordnung: Anforderungen an die Informationssicherheit © Thinkstock

Was sowieso schon gilt - und was neu ist

Die bekann­ten, grund­sätz­li­chen Ziele für eine Erhe­bung und Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten, wie z. B. „Ver­bot mit Erlaub­nis­vor­be­halt“, „Daten­mi­ni­mie­rung“, „Zweck­bin­dung“ sowie „Tran­s­pa­renz“ (vgl. Art. 5 Abs. 1 DS-GVO) blei­ben zukünf­tig auch wei­ter­hin beste­hen. Den­noch kom­men auf Unter­neh­men auch neue Her­aus­for­de­run­gen zu, etwa die erwei­ter­ten Aus­kunftspf­lich­ten an die Betrof­fe­nen, Doku­men­ta­ti­onspf­lich­ten als Nach­weis zur Ein­hal­tung der daten­schutz­recht­li­chen Anfor­de­run­gen sowie Anfor­de­run­gen an die Infor­ma­ti­ons­si­cher­heit. Letz­tere stel­len einen wesent­li­chen Bestand­teil der DS-GVO dar und soll­ten kei­nes­wegs unter­schätzt wer­den. Unter­neh­men kom­men nicht umhin, einen Maß­nah­men­plan zur Umset­zung der spe­zi­el­len tech­ni­schen und orga­ni­sa­to­ri­schen Vor­ga­ben zu ent­wi­ckeln und nach­zu­hal­ten.

Infor­ma­ti­ons­si­cher­heit als neues Thema

Im BDSG gibt es ledig­lich Über­schnei­dungs­punkte zwi­schen Daten­schutz und IT-Sicher­heit. Im Rah­men der DS-GVO kommt der Infor­ma­ti­ons­si­cher­heit ein beson­de­rer Stel­len­wert zu. So müs­sen unter

  • Berück­sich­ti­gung des Stands der Tech­nik, 
  • der Imp­le­men­tie­rungs­kos­ten,
  • der Art, des Umfangs, der Umstände und der Zwe­cke der Ver­ar­bei­tung,
  • der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit
  • sowie der Schwere des Risi­kos für die Rechte und Frei­hei­ten natür­li­cher Per­so­nen etc. 

geeig­nete tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men getrof­fen wer­den, „um ein dem Risiko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten“. Zudem wer­den der Begriff der Infor­ma­ti­ons­si­cher­heit und wei­tere Begriffe näher spe­zi­fi­ziert, dar­un­ter die Anfor­de­run­gen zu „pri­vacy by design“ und „pri­vacy by default“. Eine reine Umset­zung der bis­her bekann­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men nach § 9 BDSG alleine reicht nicht mehr aus. Viel­mehr müs­sen diese und ggf. wei­tere Maß­nah­men unter Berück­sich­ti­gung des Schutz­be­darfs der erho­be­nen und ver­ar­bei­te­ten per­so­nen­be­zo­ge­nen Daten pro Ver­fah­ren der defi­nier­ten Schutz­ziele sowie einer Risi­ko­be­trach­tung ange­mes­sen ein­ge­setzt wer­den. Diese Ein­stu­fung ist bis­her nur aus dem Bereich der IT-Sicher­heit bekannt.

Ori­en­tie­rungs­hilfe zur Umset­zung

Die DS-GVO bie­tet keine kon­k­re­ten Vor­ga­ben, wel­che Maß­nah­men zur Errei­chung des „Stands der Tech­nik“ umge­setzt wer­den müs­sen. Die Schwie­rig­keit für Unter­neh­men besteht darin, ein Vor­ge­hen zu ent­wi­ckeln, das die Anfor­de­run­gen ins­ge­s­amt erfüllt und sich zeit­g­leich pra­xis­o­ri­en­tiert umset­zen lässt. Als Ori­en­tie­rungs­hilfe bie­tet sich fol­gende Vor­ge­hens­weise an:

Wel­cher Schutz­be­darf besteht?

Der Schutz­be­darf der im jewei­li­gen Ver­fah­ren ver­ar­bei­te­ten per­so­nen­be­zo­ge­nen Daten muss ermit­telt wer­den. Die Bestim­mung der Schutz­be­dürf­tig­keit von Daten ist bereits aus der IT-Sicher­heit bekannt und wird vor allem im ISO-Stan­dard 27001 defi­niert. Die dort defi­nier­ten und bekann­ten Schutz­ziele (auch „Gewähr­leis­tungs­zie­le“ genannt)

  • Ver­trau­lich­keit: Unbe­fugte Dritte kön­nen Daten nicht zur Kennt­nis neh­men,
  • Inte­gri­tät: Daten sind rich­tig und kön­nen nicht ver­fälscht wer­den,
  • Ver­füg­bar­keit: Daten ste­hen ord­nungs­ge­mäß zur Ver­fü­gung, wenn sie gebraucht wer­den,

wer­den in der DS-GVO noch um den Aspekt der Belast­bar­keit erwei­tert. In Anleh­nung an die Metho­dik des BSI wer­den die Schutz­be­darfs­ka­te­go­rien „nor­mal“, „hoch“ und „sehr hoch“ zur Ermitt­lung des Schutz­be­darfs der per­so­nen­be­zo­ge­nen Daten unter Berück­sich­ti­gung der Schutz­ziele ver­wen­det.
Da jede Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten ein poten­zi­el­ler Ein­griff in die Grund­rechte und die Grund­f­rei­hei­ten von natür­li­chen Per­so­nen ist, kann davon aus­ge­gan­gen wer­den, dass ein Schutz­be­darf min­des­tens die Ein­stu­fung „nor­mal“ auf­wei­sen muss.

Wie hoch sind die Risi­ken?

Die ermit­tel­ten Schutz­be­darfe wer­den in einem nächs­ten Schritt defi­nier­ten daten­schutz­recht­li­chen Risi­ken zuge­ord­net. Zur Iden­ti­fi­zie­rung von mög­li­chen Risi­ken, deren jewei­lige Ein­tritts­wahr­schein­lich­kei­ten und poten­ti­elle Schä­den für die Rechte und Frei­hei­ten natür­li­cher Per­so­nen sollte eine Risi­ko­ana­lyse und ansch­lie­ßende Risi­ko­be­wer­tung durch­ge­führt wer­den. Her­vor­zu­he­ben ist, dass hier nicht die Unter­neh­mens­werte, son­dern die Risi­ken im Hin­blick auf die Rechte des Betrof­fe­nen selbst im Fokus ste­hen.

Wel­che Maß­nah­men sind zu erg­rei­fen?

Das Ergeb­nis der Risi­ko­ana­lyse bzw. der Schutz­be­darfs­fest­stel­lung fließt unter Berück­sich­ti­gung des Ver­hält­nis­mä­ß­ig­keits­an­sat­zes in die Umset­zung not­wen­di­ger Maß­nah­men zur Abwen­dung eines Scha­dens für die Betrof­fe­nen ein. Die DS-GVO spricht kon­k­ret nur von Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung als Maß­nah­men, die bei der Ver­ar­bei­tung mög­lichst ein­ge­setzt wer­den sol­len. Als wei­tere Ori­en­tie­rungs­hilfe kann jedoch in die­sem Zusam­men­hang § 58 Abs. 3 des Refe­ren­ten­ent­wurfs für das deut­sche Aus­füh­rungs­ge­setz zur Daten­schutz-Grund­ver­ord­nung her­an­ge­zo­gen wer­den, der die bereits aus § 9 BDSG bekann­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men besch­reibt und um wei­tere Kon­trol­len ergänzt. Somit kön­nen fol­gende Min­dest­maß­nah­men zur Risi­ko­re­du­zie­rung vor­aus­ge­setzt wer­den: Zugangs­kon­trolle, Daten­trä­ger­kon­trolle, Spei­cher­kon­trolle, Benut­zer­kon­trolle, Zugriffs­kon­trolle, Über­tra­gungs­kon­trolle, Ein­ga­be­kon­trolle, Trans­port­kon­trolle, Wie­der­her­stel­lung, Daten­in­te­gri­tät, Auf­trags­kon­trolle, Ver­füg­bar­keits­kon­trolle, Tren­nungs­kon­trolle sowie Ver­schlüs­se­lungs­ver­fah­ren.

Ergeb­nisse sind zu doku­men­tie­ren

Die Ermitt­lung des Schutz­be­darfs, die Risi­ko­ana­lyse und die Umset­zung von Maß­nah­men „nach dem Stand der Tech­nik“ ist ein leben­der Pro­zess. Ändern sich z. B. die Anfor­de­run­gen in die Ver­fah­ren, müs­sen ein­zelne Prüf­schritte ggf. mehr­mals wie­der­holt wer­den. Inso­fern soll­ten die Ergeb­nisse der ein­zel­nen Prüf­schritte kon­ti­nu­ier­lich über­wacht und dahin­ge­hend unter­sucht wer­den, ob sich tech­ni­sche, recht­li­che oder orga­ni­sa­to­ri­sche Rah­men­be­din­gun­gen geän­dert haben, die wie­derum zu neuen daten­schutz­recht­li­chen Risi­ken füh­ren kön­nen. Die Ergeb­nisse selbst sind im Sinne einer Nach­weispf­licht zu doku­men­tie­ren, denn die DS-GVO sch­reibt eine sog. „Rechen­schaftspf­licht“ vor.

Last but not least: Daten­schutz-Fol­ge­ab­schät­zung

Das Ergeb­nis der Risi­ko­be­wer­tung ist neben der Bestim­mung des Schutz­be­darfs auch für Daten­schutz-Fol­gen­ab­schät­zung (DSFA) not­wen­dig,  die für Ver­ar­bei­tun­gen mit einem hohen Risiko erfor­der­lich ist(Art. 35 DS-GVO). Die DS-GVO sieht dabei Regel­bei­spiele vor, bei denen zwin­gend eine DSFA durch­zu­füh­ren ist:

  • Sys­te­ma­ti­sche und umfas­sende Bewer­tung per­sön­li­cher Aspekte natür­li­cher Per­so­nen, die sich auf auto­ma­ti­sierte Ver­ar­bei­tung ein­sch­ließ­lich Pro­fi­ling grün­det und die ihrer­seits als Grund­lage für Ent­schei­dun­gen dient, die Rechts­wir­kung gegen­über natür­li­chen Per­so­nen ent­fal­ten oder diese in ähn­li­cher Weise erheb­lich beein­träch­ti­gen,
  • umfang­rei­che Ver­ar­bei­tung beson­de­rer Kate­go­rien von per­so­nen­be­zo­ge­nen Daten gemäß Art. 9 Abs. 1DS-GVO oder von Daten über straf­recht­li­che Ver­ur­tei­lun­gen und Straf­ta­ten gemäß Art. 10 DS-GVO,
  • sys­te­ma­ti­sche wei­träu­mige Über­wa­chung öff­ent­lich zugäng­li­cher Berei­che.

In die­sem Zusam­men­hang sieht die neue Ver­ord­nung auch eine Prü­fung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men nach dem im obi­gen Abschnitt genann­ten Prin­zip vor, die zur Gewähr­leis­tung der Sicher­heit der Ver­ar­bei­tung getrof­fen wur­den.  In der Pra­xis sollte, wie der­zeit bei der Vor­ab­kon­trolle bereits üblich, der Daten­schutz­be­auf­tragte immer mit ein­ge­bun­den wer­den. Dies gilt ins­be­son­dere für die Neu­ein­füh­run­gen von IT-Sys­te­men.

Buß­gel­der dro­hen bei Nicht­be­fol­gung

Die bis­he­rige Recht­sp­re­chung sieht keine fest­ver­an­ker­ten Sank­tio­nen bei einem Ver­stoß gegen § 9 BDSG vor. Dies wird sich mit der DS-GVO (Art. 83 bzw. Art. 84) grund­sätz­lich ändern. Bei Nich­tum­set­zung von ange­mes­se­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men, einer feh­len­den Doku­men­ta­tion oder eine feh­lende Durch­füh­rung der Fol­ge­ab­schät­zung dro­hen Buß­gel­der bis zu 2 % des Jah­re­s­um­sat­zes bzw. 10 Mio. Euro, wobei der jeweils höhere Wert gilt. Der Jah­re­s­um­satz bezieht sich dabei auf den glo­bal erwirt­schaf­te­ten Umsatz des Unter­neh­mens.

Hin­weis

Der Schutz der per­so­nen­be­zo­ge­nen Daten ist grund­sätz­lich nicht neu. Die Daten­schutz-Grund­ver­ord­nung ent­hält jedoch einige umfang­rei­che Neue­run­gen, die von Unter­neh­men zu beach­ten und umzu­set­zen sind. Die DS-GVO geht davon aus, dass ein Infor­ma­ti­ons­si­cher­heits­ma­na­ge­ment (ISMS), z. B. auf Basis von ISO 27001, vor­han­den ist, was nicht nur mit einem erhöh­ten tech­ni­schen, son­dern auch mit einem ges­tei­ger­ten orga­ni­sa­to­ri­schen und pro­zes­sua­len Auf­wand ein­her­geht. Ziel jedes Unter­neh­mens sollte es sein, die Anfor­de­run­gen der DS-GVO, spe­zi­ell im Hin­blick auf die geän­der­ten tech­ni­schen Vor­ga­ben, im Rah­men eines Maß­nah­men­plans zu defi­nie­ren und pra­xis­o­ri­en­tiert zeit­nah umzu­set­zen.


nach oben