Von Rechtsanwalt Ralf Rösler
Der bisherige Maßnahmenkatalog in § 9 BDSG und dessen Anlage mit seinen konkreten technisch-organisatorischen Anforderungen an Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle sowie das Verschlüsselungsgebot treten am 25.05.2018 außer Kraft, ohne dass die DS-GVO hierfür einen ausformulierten Ersatz bietet. Auch das BDSG 2018 enthält in seinem auf die DS-GVO bezogenen Teil 2 keine vergleichbaren Regelungen.
Rechtsanwalt Ralf Rösler.
Foto: © SAZ/Roland SchellwaldArt. 32 DS-GVO beschreibt nur generell ein Verfahren, wie technisch-organisatorische Maßnahmen vom Verantwortlichen und vom Auftragsverarbeiter auszuwählen sind, um ein angemessenes Schutzniveau und damit eine Sicherheit der Datenverarbeitung zu gewährleisten. Maßgeblich ist ein risikobasierter Ansatz unter Berücksichtigung von Art, Umfang, den Umständen und den Zwecken der Verarbeitung (Art. 24 DS-GVO). Alle Verfahren und Systeme, die personenbezogene Daten verarbeiten, müssen dabei einer Risikoanalyse unterzogen werden. Es gilt die Faustregel: Risiko = mögliche Schadensschwere x Eintrittswahrscheinlichkeit.
Im Unterschied zur IT-Sicherheit, welche vom Schadensrisiko für das Unternehmen ausgeht, berücksichtigt der Datenschutz das Risiko für die Rechte des Betroffenen. Insoweit gibt es hinsichtlich der Sicherheit der Verarbeitung eine große Schnittmenge, die Anwendungsbereiche sind aber nicht deckungsgleich.
Die bekannten Schutzziele „Vertraulichkeit, Integrität und Verfügbarkeit“ werden künftig durch das weitere Ziel „Belastbarkeit“ der EDV-Systeme und Dienste ergänzt.
Wie der Begriff „resilience“ in der englischen Sprachfassung der DS-GVO zeigt, ist hiermit eine „Widerstandsfähigkeit“ gemeint, also die Fähigkeit von technischen Systemen, bei einem Teilausfall nicht vollständig zu versagen. Denkbar sind die Toleranz von Storage-Lösungen gegenüber Fehlern und Störungen oder Schutzmaßnahmen vor einer Systemüberlastung oder Hacker-Angriffen. Letztlich ist die Belastbarkeit ein Unterfall der Verfügbarkeit.
Um die erforderlichen technisch-organisatorischen Maßnahmen zu bestimmen, ist zunächst der Schutzbedarf der relevanten personenbezogenen Daten festzustellen; man wird hier die Kategorien normal (zum Beispiel Adressdaten), hoch (zum Beispiel Kontodaten) und sehr hoch (zum Beispiel Gesundheitsdaten) verwenden können.
Es schließt sich eine Bewertung der Risiken an, die mit der konkreten Datenverarbeitung für die Rechte und Freiheiten der Betroffenen verbunden sind. Hier ist an unbefugte Zugriffe, Datenveränderungen und -verluste zu denken und die zu deren Verhinderung möglichen Maßnahmen.
Sodann sind nach dem Stand der Technik die geeigneten risikoabhängigen Maßnahmen auszuwählen, bei denen der Aufwand anhand der Implementierungskosten noch als verhältnismäßig erscheint. Soweit möglich, sind die Daten zu verschlüsseln oder zumindest zu pseudonymisieren, eine Ausfallsicherheit ist zu gewährleisten und Zugriffsbeschränkungen sind nach dem need-to-know Prinzip einzurichten.
Die Praxis ist an konkretere Vorgaben zu den technisch-organisatorischen Maßnahmen gewöhnt, deren üblicher Katalog der Reihe nach abgearbeitet werden kann. Art. 32 DS-GVO trägt in seiner Allgemeinheit so eher zu einer Verunsicherung der Verantwortlichen bei.
Hier bietet sich eine pragmatische Lösung an, die auf den bisher nach § 9 BDSG getroffenen Maßnahmen aufbaut.
Das neue Europarecht wirft viele Fragen auf.
Foto: © Fotolia Teil 3 des BDSG 2018 betrifft zwar nicht die DS-GVO (EU) 2016/679, sondern setzt die Richtlinie (EU) 2016/680 zur Datenverarbeitung öffentlicher Stellen bei Straf- und Ordnungswidrigkeitenverfahren um. Dort findet sich allerdings in § 64 BDSG 2018 als Umsetzung von Art. 29 der RL (EU) 2016/680 eine überarbeitete und erweiterte Fassung (14 Punkte) des bisherigen Maßnahmenkatalogs nach der Anlage zu § 9 BDSG (8 Punkte). Diese ist auch auf sensible Daten anwendbar.
Solange es an konkreten Vorgaben der Aufsichtsbehörden zu Art. 32 DS-GVO fehlt, spricht nichts dagegen, dass auch nicht-öffentliche Stellen ihre technisch-organisatorischen Maßnahmen am Katalog des § 64 BDSG 2018 in entsprechender Anwendung orientieren.
Alle getroffenen Maßnahmen sind in einem hierfür einzurichtenden Verfahren regelmäßig zu überprüfen und gegebenenfalls anzupassen (Art. 32 (1) d) DS-GVO); sie sind auf Anforderung der Aufsichtsbehörde nachzuweisen.
Technisch-organisatorische Maßnahmen (TOMs)
Es sind die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. Dabei sind die einschlägigen Technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen. Eine Pseudonymisierung und Verschlüsselung soll erfolgen, soweit solche Mittel in Anbetracht der Verarbeitungszwecke möglich sind. Die Maßnahmen sollen die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen und dazu führen, dass die Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können.
Die nach einer Risikobewertung getroffenen technisch-organisatorischen Maßnahmen sollen Folgendes bezwecken:
1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle),
2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle),
3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),
4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle),
5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle),
6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),
7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),
8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle),
9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit),
10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),
11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),
12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit).
Ein Zweck nach Nummer 2 bis 5 kann insbesondere durch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren erreicht werden.
Wollen Sie mehr über die DS-GVO erfahren? Am 21. März 2018 findet das Kompaktseminar „EU-Datenschutzgrundverordnung und ePrivacy” bei SAZ in Garbsen/Hannover statt. Referent ist der Autor dieses Artikels, Rechtsanwalt Ralf Rösler. Weitere Informationen zum Seminar erhalten Sie hier.