alphaspirit - Fotolia

DSGVO: Auswirkungen des neuen Bundesdatenschutzgesetzes auf die IT-Sicherheit

Das neue Bundesdatenschutzgesetz wird neue Datenschutzkontrollen enthalten, die die IT-Sicherheit technisch-organisatorisch abbilden werden muss.

„Mit der Anpassung des Bundesdatenschutzgesetzes an die Datenschutz-Grundverordnung machen wir einen großen Schritt zur Angleichung der Datenschutzregelungen in Europa und damit zu einem harmonisierten digitalen Binnenmarkt. Frühzeitig und als erstes Land in Europa schaffen wir damit Rechtsklarheit“, so Bundesinnenminister Dr. Thomas de Maizière.

Der Weg hin zu einem neuen Bundesdatenschutzgesetz (BDSG-neu) verläuft über das sogenannte Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU).

Damit die Datenschutz-Grundverordnung (DSGVO / GDPR) ab 25. Mai 2018 in Deutschland zur Anwendung kommt, ist kein nationales Gesetz erforderlich, die DSGVO gilt unmittelbar in der ganzen EU.

Öffnungsklauseln der DSGVO kommen zum Zug

Gründe für ein Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU sind darin zu sehen, dass das bestehende Bundesdatenschutzgesetz (BDSG) auf die DSGVO hin angepasst werden soll und dass verschiedene in der DSGVO vorgesehene Öffnungsklauseln auf nationaler Ebene genutzt werden.

Für die Sicherheit der Verarbeitung kommt aber noch ein weiterer Aspekt hinzu: Das neue BDSG wird wieder Sicherheitsmaßnahmen, die technisch-organisatorischen Maßnahmen (TOMs) im Datenschutz, wie in der Anlage (zu § 9 Satz 1 BDSG), aufführen, wenn auch in veränderter Form. Zur Vorbereitung auf die DSGVO / GDPR müssen sich Unternehmen in Deutschland auch mit den geänderten Datenschutzkontrollen oder TOMs befassen.

Neue und geänderte Maßnahmen für die Datensicherheit

Das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU sieht für die Sicherheit der Verarbeitung insbesondere vor:

  • Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle)
  • Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle)
  • Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle)
  • Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle)
  • Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle)
  • Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle)
  • Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle)
  • Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle)
  • Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit)
  • Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit)
  • Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität)
  • Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle)
  • Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)
  • Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit)

Veränderungen gegenüber dem bestehenden BDSG

  • Die Zutrittskontrolle wird nicht mehr separat genannt und wird nun zu den Zugangskontrollen gezählt.
  • Die Weitergabekontrolle ist enthalten in den Transport-, Übertragungs-, Datenträger- und Benutzerkontrollen.
  • Die Speicherkontrolle ist im bestehenden BDSG Teil der Zugriffskontrolle, in Zukunft wird sie separat genannt.

Neue Datenschutzkontrollen

  • Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit)
  • Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit)
  • Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität)

Während die Zusammenfassung oder Unterteilung von Datenschutzkontrollen insbesondere in der Organisation der Datenschutzkontrollen und in den entsprechenden Checklisten zu beachten sind, müssen für neue Datenschutzkontrollen wie Wiederherstellbarkeit, Zuverlässigkeit und Datenintegrität auch Funktionen und Verfahren gefunden werden, die diese Schutzziele umsetzen, und Prüfungen, die die Umsetzung und Wirksamkeit der Funktionen und Verfahren hinterfragen.

Hier sind die Unternehmen in den nächsten Monaten besonders gefordert. Wichtig ist es dabei aber zu verstehen, dass deutsche Unternehmen damit nicht etwa mehr für die Datensicherheit tun müssen als andere. Vielmehr leiten sich die neuen Datenschutzkontrollen aus der EU-weit geltenden DSGVO ab und werden im neuen BDSG explizit genannt.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

EU-Datenschutz-Grundverordnung: Der Countdown läuft

Kostenloses E-Handbook: EU-Datenschutz-Grundverordnung richtig umsetzen

In fünf Schritten zur Einhaltung der EU-Datenschutz-Grundverordnung

Dokumentation der IT-Sicherheit nach DSGVO

Artikel wurde zuletzt im Juni 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close