21.08.2018

IT-Sicherheitsrecht: Datenschutzrechtliche IT-Sicherheitsvorgaben

Portrait von Paul Voigt
Paul Voigt Rechtsanwalt und Fachanwalt für Informationstechnologierecht im Berliner Büro der internationalen Wirtschaftskanzlei Taylor Wessing

Pflichten und Haftung im Unternehmen (mit DSGVO & NIS-RL-UmsetzungsG). Der Praxisleitfaden liefert praxisorientierte Hinweise zur Einhaltung der anwendbaren IT-Sicherheitspflichten und zu den Haftungsrisiken bei Sicherheitsdefiziten. Hier im Blog werden einige zentrale Auszüge veröffentlicht.

Voigt, IT-Sicherheitsrecht, 2018, 287 Seiten, 79,80 Euro

Die Anforderungen an IT-Sicherheitsstandards in Bezug auf den Umgang mit personenbezogenen Daten sind besonders hoch. Das Datenschutzrecht gibt dabei nicht nur konkrete Schutzmaßnahmen für die Datenverarbeitung vor, sondern sieht gegenüber Aufsichtsbehörden und betroffenen Personen insbesondere auch Meldepflichten für den Fall von Datenschutzverletzungen vor (hierzu Voigt, IT-Sicherheitsrecht, 2018, Rz. 332 ff.).

Um die Sicherheit personenbezogener Daten zu gewährleisten, müssen Unternehmen technische und organisatorische Schutzmaßnahmen bei der Datenverarbeitung einsetzen. Der gesetzliche Pflichtenumfang folgt dabei einem risikobasierten Ansatz:

Je mehr Risiken die Verarbeitung für die betroffenen Personen und ihre Daten mit sich bringt, desto umfangreichere Schutzmaßnahmen müssen zum Einsatz kommen.

Der Pflichtenumfang für Unternehmen ist somit einzelfallabhängig, was zu erheblicher Rechtsunsicherheit führt. Es fällt schwer, ein generelles Programm an datenschutzrechtlichen IT-Sicherheitspflichten abzulesen, so dass die Umsetzung der Vorgaben der DSGVO Unternehmen vor einige Herausforderungen stellt.

1. Technische und organisatorische Maßnahmen

Verantwortliche und Auftragsverarbeiter sind zur Anwendung technischer und organisatorischer Maßnahmen (TOM) zum Schutz personenbezogener Daten verpflichtet, die dem Risiko der durchgeführten Verarbeitungstätigkeiten entsprechen, Art. 24 Abs. 1, 28 Abs. 1, 32 DSGVO. Unternehmen obliegt es daher auch, den Einsatz entsprechender Maßnahmen durch alle an der Verarbeitung beteiligten Mitarbeiter sicherzustellen, Art. 32 Abs. 4 DSGVO. Die Maßnahmen dienen vorrangig der Datensicherheit, also dem umfassenden Schutz der zur Verarbeitung eingesetzten IT und Systeme (Mantz in Sydow, DSGVO, 2017, Art. 32 Rz. 1).

a) Maßgebliche Gesichtspunkte:

Welche TOM im konkreten Fall angemessen sind, muss das Unternehmen im Wege einer umfassenden objektiven Risikoabwägung ermitteln (Voigt/von dem Bussche, DSGVO, 2018, Teil 3.3.3 m.w.N.). Das Gesetz nennt darüber hinaus in Art. 32 Abs. 1 DSGVO weitere Gesichtspunkte zur Ermittlung angemessener Schutzmaßnahmen:

  • den Stand der Technik,
  • die Implementierungskosten und
  • die Art, den Umfang, die Umstände und Zwecke der Verarbeitung sowie
  • die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen.

b) Praktische Vorgehensweise:

Zur praktischen Umsetzung der umfassenden Abwägung bietet sich folgende Vorgehensweise an (s. für die nachfolgenden Ausführungen Bayrisches Landesamt für Datenschutzaufsicht, Sicherheit der Verarbeitung – Art. 32 DS-GVO, 2016; Voigt/von dem Bussche, DSGVO, 2018, Teil 3.3.3 m.w.N.):

  • Ermittlung des Schutzbedarfs der betroffenen Daten: Um den Schutzbedarf der von der Verarbeitung betroffenen Daten zu ermitteln ist zu prüfen, welches Schadenspotential durch Datensicherheitsdefizite im Hinblick auf die betroffenen Daten besteht.
  • Ermittlung des Risikopotentials der Verarbeitung dieser Daten: Die dem Schutzbedarf entsprechenden Maßnahmen müssen unter Berücksichtigung des Risikos ihrer Verarbeitung ausgewählt werden. Dabei sind vorrangig die Risiken für die betroffenen Personen, aber auch die Interessen des Unternehmens im Rahmen der Abwägung zu berücksichtigen. Besteht ein hohes Risiko für die betroffenen Personen, ist eine Datenschutz-Folgenabschätzung durchzuführen, deren Ergebnis ebenfalls im Rahmen der Risikobewertung zu berücksichtigen ist (ErwGr. 84 DSGVO; Martini in Paal/Pauly, DSGVO, 2. Aufl. 2018, Art. 32 Rz. 49).
  • Entwicklung eines Datenschutzkonzepts: Die verschiedenen Risiken und Interessen sind gegeneinander abzuwägen und ihre Ergebnisse dienen als Grundlage für die Entwicklung des angemessenen Datenschutzkonzepts. Dabei werden die Pflichten für jedes Unternehmen auf Einzelfallbasis ausdifferenziert, um ein angemessenes Verhältnis von Aufwand und Nutzen der TOM zu erreichen.

Im Vergleich zu den konkreten Vorgaben des § 9 BDSG-alt und dessen Anlage enthält die Selbsteinschätzung des Schutzbedarfs durch das Unternehmen ein größeres Element der Unsicherheit.

c) Stand der Technik

Hinzu kommt, dass Unternehmen unter Berücksichtigung des Stands der Technik nach Art. 32 Abs. 1 DSGVO ihre Maßnahmen an technologische Veränderungen fortlaufend anpassen müssen. Eine entsprechende Orientierung können zumindest ISO-Bestimmungen und der Grundschutzkatalog des BSI bieten (Martini in Paal/Pauly, DSGVO, 2. Aufl. 2018, Art. 32 Rz. 56 ff. m.w.N.).

d) Standard-Datenschutzmodell der Datenschutzbehörden

Darüber hinaus haben auch die deutschen Datenschutzbehörden im Rahmen einer gemeinsamen Konferenz ein Standard-Datenschutzmodell verabschiedet, welches eine der möglichen Vorgehensweisen zur Schaffung rechtskonformer TOM vorstellt.

2. Mindestschutzanforderungen

Auch wenn die DSGVO keine konkreten Maßnahmen zur Umsetzung eines angemessenen datenschutzrechtlichen IT-Sicherheitsstandards vorgibt, stellt Art. 32 Abs. 1 DSGVO zumindest Mindestanforderungen an die TOM des Unternehmens. Diese sind zur Gewährleistung eines hinreichenden Datenschutzniveaus unbedingt erforderlich und geben eine erste Richtschnur in Bezug auf die zu ergreifenden Maßnahmen. Sie lassen sich wie folgt klassifizieren (GDD-Praxishilfe DS-GVO IV, S. 21 f.):

Mindestschutzanforderungen gem. Art. 32 DSGVO
Maßnahme Sicherheitsziel Beispiele zur praktischen Umsetzung
Zugangskontrolle Nutzung der Daten durch Unbefugte technisch verhindern
  • Personalisierte Nutzerkennungen
  • Passwörter und Richtlinien zum Umgang mit diesen
Zutrittskontrolle Nutzung der Daten durch Unbefugte physisch verhindern
  • Wachpersonal
  • Abgeschlossene Serverräume
  • Zugangskarten, -schlüssel o.Ä. nur für Berechtigte
Zugriffskontrolle Nutzung der Daten entsprechend der Berechtigungen gewährleisten
  • Berechtigungskonzepte
  • Überprüfungen
  • Protokolle
Trennungskontrolle Trennung der Daten entsprechend der verschiedenen Verarbeitungszwecke
  • Archivierungskonzepte
  • Datenbanken
  • Nutzung getrennter Server
Weitergabekontrolle Datenübermittlung nur an berechtigte Empfänger
  • Data Loss Prevention System
  • Datenverschlüsselung
  • Verbindungsverschlüsselung
  • Authentifizierungsverfahren
  • Digitale Signatur
Eingabekontrolle Nachverfolgbarkeit etwaiger Datenveränderungen
  • Nachvollziehbarkeit der Nutzereingaben durch Zeitstempel, Nutzernamen, o.Ä.
  • Plausibilitätsprüfungen
Belastbarkeit Robustheit der Datenverarbeitungs-systeme gewährleisten
  • Unterbrechungsfreie Stromversorgung
  • Virenschutz
Verfügbarkeitskontrolle Sicherung der Daten gegen Zerstörung oder Verlust
  • Notfallkonzept (s. hierzu Voigt, IT-Sicherheitsrecht, Rz. 186 ff.)
  • Back-up-Systeme
  • Regelmäßige Datensicherungen
  • Redundanz
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung Aufrechterhaltung der Sicherheits-maßnahmen gewährleisten
  • Datenschutz-Management
  • Interne Audits durch den Informationssicherheitsbeauftragten (s. hierzu Voigt, IT-Sicherheitsrecht, Rz. 129 ff.)
  • Mitarbeiterbefragungen
  • Regelmäßige Datenschutzschulungen

 

Zurück