EU-Datenschutz-Grundverordnung– Checklisten müssen überarbeitet werden

Die Checklisten zur Datensicherheit müssen risikoabhängig und individueller werden, um der EU-Datenschutz-Grundverordnung (DSGVO) zu entsprechen.

Datenschutz und Datensicherheit gelten als komplex, die Entwicklung eines Konzeptes für die Datensicherheit als entsprechend aufwändig. Viele Unternehmen haben deshalb bisher die sogenannten Technisch-Organisatorischen Maßnahmen (TOM) aus der Anlage (zu § 9 Satz 1) des Bundesdatenschutzgesetzes (BDSG) genutzt, um eine Leitlinie zu haben. Viele Checklisten zur Umsetzung und Prüfung der Datensicherheit basieren auf den Schritten der Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, um nur einige der Datenschutz-Kontrollen zu nennen.

Ab Mitte 2018 wird die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) Geltung erlangen und dann die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) ersetzen. Auch das Bundesdatenschutzgesetz (BDSG) in der aktuellen Form ist damit Geschichte. Ein Blick in die EU-DSGVO zeigt, dass es verschiedene Veränderungen zum BDSG gibt.

Wie die Bundesbeauftragte für den Datenschutz ausführte, gehört dazu zum Beispiel das Marktortprinzip, dass alle auch außereuropäischen Unternehmen dann zur Einhaltung des europäischen Datenschutzrechts verpflichtet, wenn sie auf dem europäischen Markt ihre Dienstleistungen anbieten. Andere neue Elemente sind die Prinzipien von Privacy by Design und Privacy by Default, die Einführung von Datenschutz-Folgenabschätzungen, die Unterrichtung von Betroffenen und Aufsichtsbehörden über Datenschutzverstöße oder eine Regelung zur Begrenzung der Profilbildung.

Einige aus dem BDSG bekannte Punkte jedoch sucht man vergebens, darunter die gerne für Checklisten genutzte Aufzählung der technisch-organisatorischen Maßnahmen. Es versteht sich, dass die technisch-organisatorischen Maßnahmen, die bisher für den Datenschutz und die Datensicherheit erforderlich waren, nun nicht plötzlich überflüssig sind. Doch das Konzept zur Datensicherheit sollte man nun anders aufbauen, um den neuen Ansprüchen an den Datenschutz gerecht zu werden.

Risikoanalysen sind das neue Fundament

Die EU-DSGVO behandelt die Sicherheit der Datenverarbeitung in Artikel 32. Im Gegensatz zur Anlage (zu § 9 Satz 1) des BDSG nennt der Artikel der Verordnung aber keine Maßnahmen wie Zutrittskontrolle oder Weitergabekontrolle. Stattdessen findet man dort, dass „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.

Im BDSG heißt es dagegen: „Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht“.

Im Vergleich zum BDSG betont die EU-DSGVO also die „unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“. Damit wird klar, dass Risikoanalysen durchgeführt werden müssen, um die geeigneten technisch-organisatorischen Maßnahmen zu definieren. Man kann also nicht davon ausgehen, dass eine bestimmte Maßnahme grundsätzlich für die Datensicherheit zu ergreifen ist, sondern die Maßnahmen sind risikoabhängig.

Konkret besagt die DSGVO: „Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind“.

EU-DSGVO nennt wenige konkrete Beispiel-Maßnahmen

Es ist natürlich möglich, in Checklisten eine lange Liste verschiedener Maßnahmen für die Datensicherheit zu hinterlegen, doch die konkreten Maßnahmen müssen dynamisch und risikoabhängig ausgewählt werden. Die EU-DSGVO nennt bewusst nur wenige Beispiele, darunter die Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen, die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen und ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Ob diese Beispiele aus der EU-DSGVO als technisch-organisatorische Maßnahmen zum Tragen kommen oder nicht, ist abhängig von dem Ergebnis der jeweiligen Risikoanalyse. Die Datensicherheit ist damit weniger eine Frage vollständiger Checklisten, sondern vielmehr eine Frage, ob die Prozesse der Risikoanalyse und das Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen richtig geplant, ausgeführt und dokumentiert sind. Checklisten wird und muss es weitergeben, doch diese müssen sehr individuell angepasst werden auf das jeweilige Unternehmen, die Risiken und die Verarbeitung personenbezogener Daten.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Mai 2016 aktualisiert

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close