deen
Nexia Ebner Stolz

Die EU-Datenschutz-Grundverordnung: Anforderungen an die Informationssicherheit

Das Inkrafttreten der EU-Datenschutz-Grundverordnung (DS-GVO) rückt näher. Unternehmen haben bis zum 25.5.2018 Zeit, ihre Datenschutzorganisation an die neuen Anforderungen und Regelungen der DS-GVO anzupassen und interne Prozesse weiterzuentwickeln.

Einige wesentliche Vorgaben und Prinzipien, wie sie in der DS-GVO gefordert werden, sind nicht vollends neu, sondern werden teilweise bereits in der derzeit noch gültigen EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) bzw. im Bundesdatenschutzgesetz (BDSG) definiert.

Die EU-Datenschutz-Grundverordnung: Anforderungen an die Informationssicherheit © Thinkstock

Was sowieso schon gilt - und was neu ist

Die bekannten, grundsätzlichen Ziele für eine Erhebung und Verarbeitung von personenbezogenen Daten, wie z. B. „Verbot mit Erlaubnisvorbehalt“, „Datenminimierung“, „Zweckbindung“ sowie „Transparenz“ (vgl. Art. 5 Abs. 1 DS-GVO) bleiben zukünftig auch weiterhin bestehen. Dennoch kommen auf Unternehmen auch neue Herausforderungen zu, etwa die erweiterten Auskunftspflichten an die Betroffenen, Dokumentationspflichten als Nachweis zur Einhaltung der datenschutzrechtlichen Anforderungen sowie Anforderungen an die Informationssicherheit. Letztere stellen einen wesentlichen Bestandteil der DS-GVO dar und sollten keineswegs unterschätzt werden. Unternehmen kommen nicht umhin, einen Maßnahmenplan zur Umsetzung der speziellen technischen und organisatorischen Vorgaben zu entwickeln und nachzuhalten.

Informationssicherheit als neues Thema

Im BDSG gibt es lediglich Überschneidungspunkte zwischen Datenschutz und IT-Sicherheit. Im Rahmen der DS-GVO kommt der Informationssicherheit ein besonderer Stellenwert zu. So müssen unter

  • Berücksichtigung des Stands der Technik, 
  • der Implementierungskosten,
  • der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung,
  • der unterschiedlichen Eintrittswahrscheinlichkeit
  • sowie der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen etc. 

geeignete technische und organisatorische Maßnahmen getroffen werden, „um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Zudem werden der Begriff der Informationssicherheit und weitere Begriffe näher spezifiziert, darunter die Anforderungen zu „privacy by design“ und „privacy by default“. Eine reine Umsetzung der bisher bekannten technischen und organisatorischen Maßnahmen nach § 9 BDSG alleine reicht nicht mehr aus. Vielmehr müssen diese und ggf. weitere Maßnahmen unter Berücksichtigung des Schutzbedarfs der erhobenen und verarbeiteten personenbezogenen Daten pro Verfahren der definierten Schutzziele sowie einer Risikobetrachtung angemessen eingesetzt werden. Diese Einstufung ist bisher nur aus dem Bereich der IT-Sicherheit bekannt.

Orientierungshilfe zur Umsetzung

Die DS-GVO bietet keine konkreten Vorgaben, welche Maßnahmen zur Erreichung des „Stands der Technik“ umgesetzt werden müssen. Die Schwierigkeit für Unternehmen besteht darin, ein Vorgehen zu entwickeln, das die Anforderungen insgesamt erfüllt und sich zeitgleich praxisorientiert umsetzen lässt. Als Orientierungshilfe bietet sich folgende Vorgehensweise an:

Welcher Schutzbedarf besteht?

Der Schutzbedarf der im jeweiligen Verfahren verarbeiteten personenbezogenen Daten muss ermittelt werden. Die Bestimmung der Schutzbedürftigkeit von Daten ist bereits aus der IT-Sicherheit bekannt und wird vor allem im ISO-Standard 27001 definiert. Die dort definierten und bekannten Schutzziele (auch „Gewährleistungsziele“ genannt)

  • Vertraulichkeit: Unbefugte Dritte können Daten nicht zur Kenntnis nehmen,
  • Integrität: Daten sind richtig und können nicht verfälscht werden,
  • Verfügbarkeit: Daten stehen ordnungsgemäß zur Verfügung, wenn sie gebraucht werden,

werden in der DS-GVO noch um den Aspekt der Belastbarkeit erweitert. In Anlehnung an die Methodik des BSI werden die Schutzbedarfskategorien „normal“, „hoch“ und „sehr hoch“ zur Ermittlung des Schutzbedarfs der personenbezogenen Daten unter Berücksichtigung der Schutzziele verwendet.
Da jede Verarbeitung von personenbezogenen Daten ein potenzieller Eingriff in die Grundrechte und die Grundfreiheiten von natürlichen Personen ist, kann davon ausgegangen werden, dass ein Schutzbedarf mindestens die Einstufung „normal“ aufweisen muss.

Wie hoch sind die Risiken?

Die ermittelten Schutzbedarfe werden in einem nächsten Schritt definierten datenschutzrechtlichen Risiken zugeordnet. Zur Identifizierung von möglichen Risiken, deren jeweilige Eintrittswahrscheinlichkeiten und potentielle Schäden für die Rechte und Freiheiten natürlicher Personen sollte eine Risikoanalyse und anschließende Risikobewertung durchgeführt werden. Hervorzuheben ist, dass hier nicht die Unternehmenswerte, sondern die Risiken im Hinblick auf die Rechte des Betroffenen selbst im Fokus stehen.

Welche Maßnahmen sind zu ergreifen?

Das Ergebnis der Risikoanalyse bzw. der Schutzbedarfsfeststellung fließt unter Berücksichtigung des Verhältnismäßigkeitsansatzes in die Umsetzung notwendiger Maßnahmen zur Abwendung eines Schadens für die Betroffenen ein. Die DS-GVO spricht konkret nur von Pseudonymisierung und Verschlüsselung als Maßnahmen, die bei der Verarbeitung möglichst eingesetzt werden sollen. Als weitere Orientierungshilfe kann jedoch in diesem Zusammenhang § 58 Abs. 3 des Referentenentwurfs für das deutsche Ausführungsgesetz zur Datenschutz-Grundverordnung herangezogen werden, der die bereits aus § 9 BDSG bekannten technischen und organisatorischen Maßnahmen beschreibt und um weitere Kontrollen ergänzt. Somit können folgende Mindestmaßnahmen zur Risikoreduzierung vorausgesetzt werden: Zugangskontrolle, Datenträgerkontrolle, Speicherkontrolle, Benutzerkontrolle, Zugriffskontrolle, Übertragungskontrolle, Eingabekontrolle, Transportkontrolle, Wiederherstellung, Datenintegrität, Auftragskontrolle, Verfügbarkeitskontrolle, Trennungskontrolle sowie Verschlüsselungsverfahren.

Ergebnisse sind zu dokumentieren

Die Ermittlung des Schutzbedarfs, die Risikoanalyse und die Umsetzung von Maßnahmen „nach dem Stand der Technik“ ist ein lebender Prozess. Ändern sich z. B. die Anforderungen in die Verfahren, müssen einzelne Prüfschritte ggf. mehrmals wiederholt werden. Insofern sollten die Ergebnisse der einzelnen Prüfschritte kontinuierlich überwacht und dahingehend untersucht werden, ob sich technische, rechtliche oder organisatorische Rahmenbedingungen geändert haben, die wiederum zu neuen datenschutzrechtlichen Risiken führen können. Die Ergebnisse selbst sind im Sinne einer Nachweispflicht zu dokumentieren, denn die DS-GVO schreibt eine sog. „Rechenschaftspflicht“ vor.

Last but not least: Datenschutz-Folgeabschätzung

Das Ergebnis der Risikobewertung ist neben der Bestimmung des Schutzbedarfs auch für Datenschutz-Folgenabschätzung (DSFA) notwendig,  die für Verarbeitungen mit einem hohen Risiko erforderlich ist(Art. 35 DS-GVO). Die DS-GVO sieht dabei Regelbeispiele vor, bei denen zwingend eine DSFA durchzuführen ist:

  • Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen,
  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1DS-GVO oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO,
  • systematische weiträumige Überwachung öffentlich zugänglicher Bereiche.

In diesem Zusammenhang sieht die neue Verordnung auch eine Prüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen nach dem im obigen Abschnitt genannten Prinzip vor, die zur Gewährleistung der Sicherheit der Verarbeitung getroffen wurden.  In der Praxis sollte, wie derzeit bei der Vorabkontrolle bereits üblich, der Datenschutzbeauftragte immer mit eingebunden werden. Dies gilt insbesondere für die Neueinführungen von IT-Systemen.

Bußgelder drohen bei Nichtbefolgung

Die bisherige Rechtsprechung sieht keine festverankerten Sanktionen bei einem Verstoß gegen § 9 BDSG vor. Dies wird sich mit der DS-GVO (Art. 83 bzw. Art. 84) grundsätzlich ändern. Bei Nichtumsetzung von angemessenen technischen und organisatorischen Maßnahmen, einer fehlenden Dokumentation oder eine fehlende Durchführung der Folgeabschätzung drohen Bußgelder bis zu 2 % des Jahresumsatzes bzw. 10 Mio. Euro, wobei der jeweils höhere Wert gilt. Der Jahresumsatz bezieht sich dabei auf den global erwirtschafteten Umsatz des Unternehmens.

Hinweis

Der Schutz der personenbezogenen Daten ist grundsätzlich nicht neu. Die Datenschutz-Grundverordnung enthält jedoch einige umfangreiche Neuerungen, die von Unternehmen zu beachten und umzusetzen sind. Die DS-GVO geht davon aus, dass ein Informationssicherheitsmanagement (ISMS), z. B. auf Basis von ISO 27001, vorhanden ist, was nicht nur mit einem erhöhten technischen, sondern auch mit einem gesteigerten organisatorischen und prozessualen Aufwand einhergeht. Ziel jedes Unternehmens sollte es sein, die Anforderungen der DS-GVO, speziell im Hinblick auf die geänderten technischen Vorgaben, im Rahmen eines Maßnahmenplans zu definieren und praxisorientiert zeitnah umzusetzen.


nach oben