de en
Nexia Ebner Stolz

Wirtschaftsprüfung

Die EU-Datenschutz-Grundverordnung: Anforderungen an die Informationssicherheit

Das In­kraft­tre­ten der EU-Da­ten­schutz-Grund­ver­ord­nung (DS-GVO) rückt näher. Un­ter­neh­men ha­ben bis zum 25.5.2018 Zeit, ihre Da­ten­schutz­or­ga­ni­sa­tion an die neuen An­for­de­run­gen und Re­ge­lun­gen der DS-GVO an­zu­pas­sen und in­terne Pro­zesse wei­ter­zu­ent­wi­ckeln.

Ei­nige we­sent­li­che Vor­ga­ben und Prin­zi­pien, wie sie in der DS-GVO ge­for­dert wer­den, sind nicht voll­ends neu, son­dern wer­den teil­weise be­reits in der der­zeit noch gülti­gen EU-Da­ten­schutz­richt­li­nie (Richt­li­nie 95/46/EG) bzw. im Bun­des­da­ten­schutz­ge­setz (BDSG) de­fi­niert.

Die EU-Datenschutz-Grundverordnung: Anforderungen an die Informationssicherheit © Thinkstock

Was sowieso schon gilt - und was neu ist

Die be­kann­ten, grundsätz­li­chen Ziele für eine Er­he­bung und Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Da­ten, wie z. B. „Ver­bot mit Er­laub­nis­vor­be­halt“, „Da­ten­mi­ni­mie­rung“, „Zweck­bin­dung“ so­wie „Trans­pa­renz“ (vgl. Art. 5 Abs. 1 DS-GVO) blei­ben zukünf­tig auch wei­ter­hin be­ste­hen. Den­noch kom­men auf Un­ter­neh­men auch neue Her­aus­for­de­run­gen zu, etwa die er­wei­ter­ten Aus­kunfts­pflich­ten an die Be­trof­fe­nen, Do­ku­men­ta­ti­ons­pflich­ten als Nach­weis zur Ein­hal­tung der da­ten­schutz­recht­li­chen An­for­de­run­gen so­wie An­for­de­run­gen an die In­for­ma­ti­ons­si­cher­heit. Letz­tere stel­len einen we­sent­li­chen Be­stand­teil der DS-GVO dar und soll­ten kei­nes­wegs un­ter­schätzt wer­den. Un­ter­neh­men kom­men nicht um­hin, einen Maßnah­men­plan zur Um­set­zung der spe­zi­el­len tech­ni­schen und or­ga­ni­sa­to­ri­schen Vor­ga­ben zu ent­wi­ckeln und nach­zu­hal­ten.

Informationssicherheit als neues Thema

Im BDSG gibt es le­dig­lich Über­schnei­dungs­punkte zwi­schen Da­ten­schutz und IT-Si­cher­heit. Im Rah­men der DS-GVO kommt der In­for­ma­ti­ons­si­cher­heit ein be­son­de­rer Stel­len­wert zu. So müssen un­ter

  • Berück­sich­ti­gung des Stands der Tech­nik, 
  • der Im­ple­men­tie­rungs­kos­ten,
  • der Art, des Um­fangs, der Umstände und der Zwecke der Ver­ar­bei­tung,
  • der un­ter­schied­li­chen Ein­tritts­wahr­schein­lich­keit
  • so­wie der Schwere des Ri­si­kos für die Rechte und Frei­hei­ten natürli­cher Per­so­nen etc. 
ge­eig­nete tech­ni­sche und or­ga­ni­sa­to­ri­sche Maßnah­men ge­trof­fen wer­den, „um ein dem Ri­siko an­ge­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten“. Zu­dem wer­den der Be­griff der In­for­ma­ti­ons­si­cher­heit und wei­tere Be­griffe näher spe­zi­fi­ziert, dar­un­ter die An­for­de­run­gen zu „pri­vacy by de­sign“ und „pri­vacy by de­fault“. Eine reine Um­set­zung der bis­her be­kann­ten tech­ni­schen und or­ga­ni­sa­to­ri­schen Maßnah­men nach § 9 BDSG al­leine reicht nicht mehr aus. Viel­mehr müssen diese und ggf. wei­tere Maßnah­men un­ter Berück­sich­ti­gung des Schutz­be­darfs der er­ho­be­nen und ver­ar­bei­te­ten per­so­nen­be­zo­ge­nen Da­ten pro Ver­fah­ren der de­fi­nier­ten Schutz­ziele so­wie ei­ner Ri­si­ko­be­trach­tung an­ge­mes­sen ein­ge­setzt wer­den. Diese Ein­stu­fung ist bis­her nur aus dem Be­reich der IT-Si­cher­heit be­kannt.

Orientierungshilfe zur Umsetzung

Die DS-GVO bie­tet keine kon­kre­ten Vor­ga­ben, wel­che Maßnah­men zur Er­rei­chung des „Stands der Tech­nik“ um­ge­setzt wer­den müssen. Die Schwie­rig­keit für Un­ter­neh­men be­steht darin, ein Vor­ge­hen zu ent­wi­ckeln, das die An­for­de­run­gen ins­ge­samt erfüllt und sich zeit­gleich pra­xis­ori­en­tiert um­set­zen lässt. Als Ori­en­tie­rungs­hilfe bie­tet sich fol­gende Vor­ge­hens­weise an:

Welcher Schutzbedarf besteht?

Der Schutz­be­darf der im je­wei­li­gen Ver­fah­ren ver­ar­bei­te­ten per­so­nen­be­zo­ge­nen Da­ten muss er­mit­telt wer­den. Die Be­stim­mung der Schutz­bedürf­tig­keit von Da­ten ist be­reits aus der IT-Si­cher­heit be­kannt und wird vor al­lem im ISO-Stan­dard 27001 de­fi­niert. Die dort de­fi­nier­ten und be­kann­ten Schutz­ziele (auch „Gewähr­leis­tungs­ziele“ ge­nannt)

  • Ver­trau­lich­keit: Un­be­fugte Dritte können Da­ten nicht zur Kennt­nis neh­men,
  • In­te­grität: Da­ten sind rich­tig und können nicht verfälscht wer­den,
  • Verfügbar­keit: Da­ten ste­hen ord­nungs­gemäß zur Verfügung, wenn sie ge­braucht wer­den,
wer­den in der DS-GVO noch um den As­pekt der Be­last­bar­keit er­wei­tert. In An­leh­nung an die Me­tho­dik des BSI wer­den die Schutz­be­darfs­ka­te­go­rien „nor­mal“, „hoch“ und „sehr hoch“ zur Er­mitt­lung des Schutz­be­darfs der per­so­nen­be­zo­ge­nen Da­ten un­ter Berück­sich­ti­gung der Schutz­ziele ver­wen­det.
Da jede Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Da­ten ein po­ten­zi­el­ler Ein­griff in die Grund­rechte und die Grund­frei­hei­ten von natürli­chen Per­so­nen ist, kann da­von aus­ge­gan­gen wer­den, dass ein Schutz­be­darf min­des­tens die Ein­stu­fung „nor­mal“ auf­wei­sen muss.

Wie hoch sind die Risiken?

Die er­mit­tel­ten Schutz­be­darfe wer­den in einem nächs­ten Schritt de­fi­nier­ten da­ten­schutz­recht­li­chen Ri­si­ken zu­ge­ord­net. Zur Iden­ti­fi­zie­rung von mögli­chen Ri­si­ken, de­ren je­wei­lige Ein­tritts­wahr­schein­lich­kei­ten und po­ten­ti­elle Schäden für die Rechte und Frei­hei­ten natürli­cher Per­so­nen sollte eine Ri­si­ko­ana­lyse und an­schließende Ri­si­ko­be­wer­tung durch­geführt wer­den. Her­vor­zu­he­ben ist, dass hier nicht die Un­ter­neh­mens­werte, son­dern die Ri­si­ken im Hin­blick auf die Rechte des Be­trof­fe­nen selbst im Fo­kus ste­hen.

Welche Maßnahmen sind zu ergreifen?

Das Er­geb­nis der Ri­si­ko­ana­lyse bzw. der Schutz­be­darfs­fest­stel­lung fließt un­ter Berück­sich­ti­gung des Verhält­nismäßig­keits­an­sat­zes in die Um­set­zung not­wen­di­ger Maßnah­men zur Ab­wen­dung ei­nes Scha­dens für die Be­trof­fe­nen ein. Die DS-GVO spricht kon­kret nur von Pseud­ony­mi­sie­rung und Ver­schlüsse­lung als Maßnah­men, die bei der Ver­ar­bei­tung möglichst ein­ge­setzt wer­den sol­len. Als wei­tere Ori­en­tie­rungs­hilfe kann je­doch in die­sem Zu­sam­men­hang § 58 Abs. 3 des Re­fe­ren­ten­ent­wurfs für das deut­sche Ausführungs­ge­setz zur Da­ten­schutz-Grund­ver­ord­nung her­an­ge­zo­gen wer­den, der die be­reits aus § 9 BDSG be­kann­ten tech­ni­schen und or­ga­ni­sa­to­ri­schen Maßnah­men be­schreibt und um wei­tere Kon­trol­len ergänzt. So­mit können fol­gende Min­destmaßnah­men zur Ri­si­ko­re­du­zie­rung vor­aus­ge­setzt wer­den: Zu­gangs­kon­trolle, Da­tenträger­kon­trolle, Spei­cher­kon­trolle, Be­nut­zer­kon­trolle, Zu­griffs­kon­trolle, Über­tra­gungs­kon­trolle, Ein­ga­be­kon­trolle, Trans­port­kon­trolle, Wie­der­her­stel­lung, Da­ten­in­te­grität, Auf­trags­kon­trolle, Verfügbar­keits­kon­trolle, Tren­nungs­kon­trolle so­wie Ver­schlüsse­lungs­ver­fah­ren.

Ergebnisse sind zu dokumentieren

Die Er­mitt­lung des Schutz­be­darfs, die Ri­si­ko­ana­lyse und die Um­set­zung von Maßnah­men „nach dem Stand der Tech­nik“ ist ein le­ben­der Pro­zess. Ändern sich z. B. die An­for­de­run­gen in die Ver­fah­ren, müssen ein­zelne Prüfschritte ggf. mehr­mals wie­der­holt wer­den. In­so­fern soll­ten die Er­geb­nisse der ein­zel­nen Prüfschritte kon­ti­nu­ier­lich über­wacht und da­hin­ge­hend un­ter­sucht wer­den, ob sich tech­ni­sche, recht­li­che oder or­ga­ni­sa­to­ri­sche Rah­men­be­din­gun­gen geändert ha­ben, die wie­derum zu neuen da­ten­schutz­recht­li­chen Ri­si­ken führen können. Die Er­geb­nisse selbst sind im Sinne ei­ner Nach­weis­pflicht zu do­ku­men­tie­ren, denn die DS-GVO schreibt eine sog. „Re­chen­schafts­pflicht“ vor.

Last but not least: Datenschutz-Folgeabschätzung

Das Er­geb­nis der Ri­si­ko­be­wer­tung ist ne­ben der Be­stim­mung des Schutz­be­darfs auch für Da­ten­schutz-Fol­gen­ab­schätzung (DSFA) not­wen­dig,  die für Ver­ar­bei­tun­gen mit einem ho­hen Ri­siko er­for­der­lich ist(Art. 35 DS-GVO). Die DS-GVO sieht da­bei Re­gel­bei­spiele vor, bei de­nen zwin­gend eine DSFA durch­zuführen ist:

  • Sys­te­ma­ti­sche und um­fas­sende Be­wer­tung persönli­cher As­pekte natürli­cher Per­so­nen, die sich auf au­to­ma­ti­sierte Ver­ar­bei­tung ein­schließlich Pro­filing gründet und die ih­rer­seits als Grund­lage für Ent­schei­dun­gen dient, die Rechts­wir­kung ge­genüber natürli­chen Per­so­nen ent­fal­ten oder diese in ähn­li­cher Weise er­heb­lich be­einträch­ti­gen,
  • um­fang­rei­che Ver­ar­bei­tung be­son­de­rer Ka­te­go­rien von per­so­nen­be­zo­ge­nen Da­ten gemäß Art. 9 Abs. 1DS-GVO oder von Da­ten über straf­recht­li­che Ver­ur­tei­lun­gen und Straf­ta­ten gemäß Art. 10 DS-GVO,
  • sys­te­ma­ti­sche weiträum­ige Über­wa­chung öff­ent­lich zugäng­li­cher Be­rei­che.
In die­sem Zu­sam­men­hang sieht die neue Ver­ord­nung auch eine Prüfung der Wirk­sam­keit der tech­ni­schen und or­ga­ni­sa­to­ri­schen Maßnah­men nach dem im obi­gen Ab­schnitt ge­nann­ten Prin­zip vor, die zur Gewähr­leis­tung der Si­cher­heit der Ver­ar­bei­tung ge­trof­fen wur­den.  In der Pra­xis sollte, wie der­zeit bei der Vor­ab­kon­trolle be­reits üblich, der Da­ten­schutz­be­auf­tragte im­mer mit ein­ge­bun­den wer­den. Dies gilt ins­be­son­dere für die Neu­einführun­gen von IT-Sys­te­men.

Bußgelder drohen bei Nichtbefolgung

Die bis­he­rige Recht­spre­chung sieht keine fest­ver­an­ker­ten Sank­tio­nen bei einem Ver­stoß ge­gen § 9 BDSG vor. Dies wird sich mit der DS-GVO (Art. 83 bzw. Art. 84) grundsätz­lich ändern. Bei Nichtum­set­zung von an­ge­mes­se­nen tech­ni­schen und or­ga­ni­sa­to­ri­schen Maßnah­men, ei­ner feh­len­den Do­ku­men­ta­tion oder eine feh­lende Durchführung der Fol­ge­ab­schätzung dro­hen Bußgelder bis zu 2 % des Jah­res­um­sat­zes bzw. 10 Mio. Euro, wo­bei der je­weils höhere Wert gilt. Der Jah­res­um­satz be­zieht sich da­bei auf den glo­bal er­wirt­schaf­te­ten Um­satz des Un­ter­neh­mens.

Hinweis

Der Schutz der per­so­nen­be­zo­ge­nen Da­ten ist grundsätz­lich nicht neu. Die Da­ten­schutz-Grund­ver­ord­nung enthält je­doch ei­nige um­fang­rei­che Neue­run­gen, die von Un­ter­neh­men zu be­ach­ten und um­zu­set­zen sind. Die DS-GVO geht da­von aus, dass ein In­for­ma­ti­ons­si­cher­heits­ma­nage­ment (ISMS), z. B. auf Ba­sis von ISO 27001, vor­han­den ist, was nicht nur mit einem erhöhten tech­ni­schen, son­dern auch mit einem ge­stei­ger­ten or­ga­ni­sa­to­ri­schen und pro­zes­sua­len Auf­wand ein­her­geht. Ziel je­des Un­ter­neh­mens sollte es sein, die An­for­de­run­gen der DS-GVO, spe­zi­ell im Hin­blick auf die geänder­ten tech­ni­schen Vor­ga­ben, im Rah­men ei­nes Maßnah­men­plans zu de­fi­nie­ren und pra­xis­ori­en­tiert zeit­nah um­zu­set­zen.
nach oben