Informationssicherheit nach der DSGVO
Die neue EU- Datenschutz-Grundverordnung enthält einige Neuerungen im Bereich der Informationssicherheit und des technischen Datenschutzes. Unternehmen sollten diese Veränderungen unbedingt berücksichtigen, da Verstöße nach der DSGVO mit erheblichen Bußgeldern belegt sind.
Wie ist die Rechtslage bisher ausgestaltet?
Bisher regelt § 9 BDSG, dass datenverarbeitende Unternehmen oder Behörden „technische und organisatorische Maßnahmen“ zu treffen haben um die datenschutzrechtlichen Anforderungen des BDSG und seiner Anlage sicherzustellen. Dabei verlangt § 9 BDSG ausdrücklich eine Verhältnismäßigkeit von Maßnahme und Schutzzweck.
Welche Regelung enthält die DSGVO?
Grundsätzlich verlangt auch Artikel 32 DSGVO, dass technische und organisatorische Maßnahmen zur Datensicherheit getroffen werden. Allerdings spezifiziert Art. 32 DSGVO zum Teil die Anforderungen an diese Maßnahmen. Er setzt dabei den Grundsatz der „Integrität und Vertraulichkeit“ bei der Verarbeitung personenbezogener Daten gemäß Art. 5 Abs.1 f DSGVO um. Zunächst verweist Art. 32 DSGVO dabei auf eine „Berücksichtigung des Stands der Technik“ um geeignete Schutzmaßnahmen zu gewährleisten.
Zur Erfassung der Anforderungen an den „Stand der Technik“ kann auf die Anlage zu § 9 BDSG zurückgegriffen werden. Ausreichend aber auch erforderlich ist demnach, dass sich technische Maßnahmen bereits zur Datensicherheit in der Praxis etabliert haben, mithin keine Erst- oder Demoversionen darstellen. Zur Ermittlung des „Standes der Technik“ nach dem IT-Sicherheitsgesetz hat der Bundesverband IT-Sicherheit eine Handreichung erarbeitet, die ebenfalls als Leitlinie zur Ermittlung des „Standes der Technik“ herangezogen werden kann.
Sodann verlangt Art. 32 DSGVO „ein dem Risiko angemessenes Schutzniveau“ zu gewährleisten. Die Angemessenheit (oder Verhältnismäßigkeit) bestimmt sich dabei nach „den Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos“ für den Schutz personenbezogener Daten und sonstiger Informationen. Unternehmen sollten daher eine detaillierte Prognose v.a. über möglichen Risiken und den Schutzbedarf für die Rechte und Freiheiten betroffener Personen in verschiedenen Szenarien unter Einbeziehung aller genannten Aspekte durchführen. Eine Möglichkeit zur Durchführung dieser Prognose ist die Datenschutzfolgenabschätzung gemäß Art. 35 DSGVO, soweit diese erforderlich ist. Der Schutzbedarf kann dabei entsprechend der datenschutzrechtlichen Praxis weiterhin nach den Kategorien „normal“, „hoch“, „sehr hoch“ bewertet und entsprechend berücksichtigt werden.
Gibt es konkrete Maßnahmen zur Umsetzung eines angemessenen Schutzniveaus?
Zunächst verlangt Art. 32 Abs.1 a) die Pseudonymisierung und Verschlüsselung der Daten. Es kann als Ausdruck bewusster gesetzgeberischer Entscheidung gewertet werden, dass die Anonymisierung von Daten nicht genannt wird. § 58 Abs.3 des Referentenentwurfes für das deutsche Ausführungsgesetz zur Datenschutz-Grundverordnung führt einige Aspekte zur Umsetzung des Schutzniveaus aus, indem es weite Teile des alten § 9 BDSG in Verbindung mit dessen Anhang übernimmt. Die Inhalte dieses Entwurfes können für Unternehmen als Richtschnur zur Beurteilung der zukünftigen Rechtslage zur Datensicherheit gewertet werden.
Dabei verlangt der Referentenentwurf eine Zugangskontrolle für Verarbeitungsanlagen, eine „Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle)“, den Schutz gespeicherter personenbezogener Daten (z.B. vor Veränderung), eine Verhinderung der unbefugten Nutzung von automatisierten Verarbeitungssystemen, die Möglichkeit der nachträglichen Überprüfung der Eingabe personenbezogener Daten, den Schutz der Integrität von personenbezogenen Daten bei ihrer Übermittlung (auch durch Transport eines Datenträgers), die Wiederherstellbarkeit von Systemen im Falle von Störungen, die Zuverlässigkeit und Datenintegrität durch Vermeidung von Fehlfunktionen des Systems, die Einhaltung der Weisungen des Auftraggebers im Falle der Auftragsverarbeitung, Schutz vor Datenverlust im Zuge zufälliger Störungen sowie die Ermöglichung der getrennten Verarbeitung von zu unterschiedlichen Zwecken erhobenen Daten.
Art. 32 Abs.1 b) und c) verlangen zudem, dass die Schutzmaßnahem die Sicherheit „auf Dauer“ gewährleisten, insbesondere belastbare Back-Up-Prozesse sind daher unerlässlich. Gerade aufgrund der Neuregelung in Art. 32 DSGVO sollte der Katalog des § 9 BDSG jedoch nicht mehr nur „abgearbeitet“, sondern stets individuelle Schutzkonzepte entwickelt werden. Die Folgepflichten aus Art. 33 und 34 (Benachrichtigungspflicht gegenüber Aufsichtsbehörde und Betroffenem) sowie Erwägungsgrund 87 legen zudem nahe, dass das Schutzkonzept insbesondere auch ermöglichen muss, dass Verletzungen sofort und ohne gesonderte Recherche, d.h. nahegehend automatisch, dem Verantwortlichen bekannt werden.
Art. 32 Abs.2 der Datenschutzgrundverordnung enthält bezüglich des „angemessenen Schutzniveaus“ einige Konkretisierungen. Dieses Schutzniveau muss demgemäß zusammengefasst v.a. bezüglich der Gefahr von „Vernichtung, Verlust oder Veränderung von Daten“ (z.B. durch Hacking), aber auch durch Angriffe „von innen“ gewahrt werden.
Welchem Zweck dient Art. 32 der DSGVO?
Grundsätzlich verfolgt die DSGVO gemäß Art. 32 Abs.1 b) DSGVO die Ziele der Vertraulichkeit, Integrität, Verfügbarkeit der verarbeitenden Systeme und Dienste herzustellen. Diese Ziele liegen auch den Regelungen zur Datensicherheit nach dem BDSG zugrunde. Neu an der Formulierung des Art. 32 DSGVO ist die Gewährleistung der „Belastbarkeit“ von Systemen und Diensten. Darin kann wohl v.a. eine Absicherung der Dienste und System gegen ungewollte und gewollte, zufällige und geplante Störungen gesehen werden. Unternehmen sind hier auf eine konstante Kongruenz der Nachverfolgung der Rechtsprechung und Weiterentwicklung der Technik angewiesen, um die konkretisierten Anforderungen an die „Belastbarkeit“ umzusetzen. Berücksichtigt man diese Zwecke so wird deutlich, dass trotz der angeführten „Implementierungskosten“ als Abwägungskriterium, der Schutz der Betroffenen im Vordergrund steht, sodass abgesehen von existentiellen Bedrohungen wohl keine wirtschaftlichen Erwägungen der Lockerung des Schutzstandards als Rechtfertigung dienen können.
Wie wird die Einhaltung der Vorgaben überprüft?
Das bayerische Amt für Landesdatenschutzaufsicht verweist darauf, dass der Nachweis der Einhaltung der Vorgaben für die Datensicherheit Teil der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO werden kann und dabei die Bedeutung von Zertifizierungsregeln zunehmen wird. Damit wird in Zukunft insbesondere die Bedeutung von Informationssicherheits-Managementsysteme (ISMS) zunehmen. Durch solche Systeme werden Prozesse und Richtlinien (technischer und nicht-technischer Art) in Unternehmen etabliert, um die Datensicherheit zu gewährleisten. Vor allem werden ständige Kontrollen und daraus abgeleitete Verbesserungsvorschläge etabliert. Ein ISMS stellen damit quasi sowohl die Umsetzung eines Teiles der Erstellung einer Risikoprognose als auch eine Umsetzung der „technischen und organisatorischen Maßnahmen“ dar. Ein weiterer Vorteil der Implementierung eines groß angelegten ISMS ist eine (wahrscheinliche) Zertifizierung nach der ISO 27001. Diese Norm der Internationalen Organisation von Normierung, die auch als DIN-Norm veröffentlicht ist, enthält u.a. Vorgaben zur Datensicherheit für verschiedene Organisationen. Die Erfüllung ihrer Voraussetzungen und damit verbundene Zertifizierung gewährleistet dann unter Umständen den Nachweis an die Anforderungen des Art. 32 DSGVO (v.a auch die Evaluationspflicht gemäß Art. 32 lit d.) und verhindert somit die hohen Bußgelder, die die DSGVO gemäß Art. 83ff. für Verstöße gegen die Vorgaben zur Informationssicherheit androht. Bisher ungeklärt und durch die Rechtsprechung zu klären ist, ob Art. 32 DSGVO die Implementierung eines ISMS ausdrücklich verlangt oder dessen Vorgaben auch auf anderem Wege umsetzbar sind. Jedenfalls deutet die Zertifizierungspflicht des Art. 32 Abs.2 DSGVO unter Verweis auf Artikel 42 DSGVO auf die Möglichkeit der Umsetzung der Vorgaben des Art. 32 durch ISMS und ISO 27001 hin.
Handlungsempfehlung für Unternehmen
Sollten sich Unternehmen für die Implementierung eines ISMS entscheiden, ist es empfehlenswert nicht nur personenbezogene Daten, sondern alle vorhandenen Informationen zu schützen, unabhängig davon ob es sich um personenbezogene Daten handelt (Datenschutz) oder nicht (Datensicherheit, die auch unabhängig davon eingreift, ob die Daten analog oder digital vorliegen). Umfassende ISMS und die ISO 27001 können daher im Idealfall dem Schutz der Informationssicherheit dienen und damit z.B. auch unternehmerisches Know-How vor unbefugtem Zugriff schützen.
Unternehmen sollten nach umfassender Abwägung der Kosten und Vorteile über die Implementierung eines ISMS nachdenken, zumal zum einen die Möglichkeit besteht, dass Art. 32 dahingehend ausgelegt wird, dass ein ISMS zwingend zu implementieren ist und zum anderen andere Gesetze (bspw. das Aktiengesetz und das IT-Sicherheitsgesetz) bereits jetzt eine solche Implementierung verlangen
Die Zertifizierung von ISMS (z.B nach der ISO 27001) kann zudem das Haftungsrisiko und die Höhe möglicher Strafzahlungen minimieren. Insbesondere Unternehmen, die die Anforderungen an Privacy by Design und Privacy by Default, die dem Datenschutz vor Beginn der eigentlichen Datenverarbeitung bereits Rechnung tragen (s. dazu Artikel vom….) umzusetzen haben, können ISMS als Fortführung dieses technischen Datenschutzes verstehen, nachdem es bereits zur Datenverarbeitung gekommen ist.
Zur Erfüllung der Voraussetzungen an die Informations- Daten, und IT-Sicherheit können Unternehmen zusätzlich auf den kürzlich veröffentlichen, zweiseitigen und äußerst übersichtlichen Fragebogen des Bayerischen Landesamtes für Datenschutzaufsicht als Leitlinie zurückgreifen. Dieser bietet zudem eine Checkliste für die Einhaltung weiterer Voraussetzungen der Datenschutzgrundverordnung (z.B. die Wahrung der Betroffenenrechte und Transparenzvorschriften). Insbesondere ein Jahr vor Inkrafttreten der EU-DSGVO ist es Unternehmen sehr zu empfehlen, bereits jetzt ihre Strukturen entsprechend anzupassen, um durch ggf. erforderliche Anpassungsschwierigkeiten keine Bußgelder zu riskieren.
Sie haben Fragen zum Informationssicherheitsrecht?