Was Stand der Technik in der DSGVO bedeutet

Die Datenschutz-Grundverordnung fordert IT-Sicherheit nach dem Stand der Technik. Orientierung hierzu liefern zum Beispiel Empfehlungen des BSI.

96 Prozent der Unternehmen haben noch immer keinen vollständigen Überblick, was die neuen Regelungen der Datenschutz-Grundverordnung (DSGVO) für sie bedeuten und welche Herausforderungen damit verbunden sind. In Deutschland betrifft das sogar 99 Prozent der Unternehmen, so ein Ergebnis der Symantec-Studie „State of European Data Privacy Survey“. Im Bereich der technischen Umsetzung haben 91 Prozent der Befragten Bedenken, ob ihr Unternehmen in der Lage sein wird, die DSGVO einzuhalten.

Werden Forderungen der DSGVO nicht erfüllt, kann dies ab Mai 2018 massive Folgen haben. Es drohen sehr spürbare Sanktionen: Mängel in der Datensicherheit zum Beispiel können mit Bußgeldern von bis zu zehn Millionen Euro oder bis zu zwei Prozent des weltweit erzielten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.

Unternehmen, die sich dem bewusst sind und die sich aktiv informieren, wünschen sich eine möglichst genaue Anleitung, was alles zu tun ist, um die Datenschutz-Grundverordnung einzuhalten. Gerade im Bereich Technik und IT-Sicherheit stehen komplexe Aufgaben an, die es bald zu lösen gilt. Deshalb ist es verständlich, wenn sich die Unternehmen erhoffen würden, dass in der DSGVO zum Beispiel Details zu den erforderlichen IT-Sicherheitsmaßnahmen stehen.

Bis auf wenige Ausnahmen (wie Pseudonymisierung und Verschlüsselung personenbezogener Daten) werden die Maßnahmen für die Sicherheit der Verarbeitung jedoch nur so charakterisiert: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“

Den Grund dafür, warum dies so ist, liefern die sogenannten Erwägungsgründe zur DSGVO. So heißt es dort zum Beispiel: „Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen.“ Es werden also ganz bewusst keine konkreten IT-Sicherheitsverfahren genannt, weil diese schnell veralten könnten. Stattdessen muss man sich an dem Stand der Technik orientieren. Doch viele Unternehmen haben Probleme damit, was dies denn genau bedeutet.

Stand der Technik bei BDSG und DSGVO

Die Forderung nach technisch-organisatorischen Maßnahmen, die dem Stand der Technik entsprechen, ist keine Neuerung durch die DSGVO. Bereits im BDSG (Bundesdatenschutzgesetz) findet sich die Forderung nach der Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. In der DSGVO wird der Stand der Technik grundsätzlich bei allen Maßnahmen gefordert, die der Sicherheit der Verarbeitung dienen sollen (Artikel 32 DSGVO).

Auch in anderen Compliance-Feldern ist der Bezug auf den „Stand der Technik“ üblich, ganz einfach, um der Dynamik der Technik innerhalb von Vorschriften, Regeln und Gesetzen Rechnung tragen zu können, ohne einen laufenden Änderungsbedarf in den Vorgaben zu haben.

Unterstützung durch Aufsicht, BSI und Branchenverbände

Noch ist in der Fachliteratur nicht viel zum Stand der Technik in Verbindung mit der Datenschutz-Grundverordnung zu finden. Trotzdem können sich Unternehmen heute schon Orientierung verschaffen, was aktuell Stand der Technik ist. Im Bereich der IT-Sicherheit sind hier Empfehlungen und Richtlinien des BSI (Bundesamt für Sicherheit in der Informationstechnik) und von ENISA (European Union Agency for Network and Information Security) hilfreich, auch wenn die Dokumente zum Beispiel auf das IT-Sicherheitsgesetz referenzieren, denn der Stand der Technik ist und bleibt der Stand der Technik. Anders sieht es aus, wenn nur auf spezielle Branchenstandards referenziert wird und das Unternehmen der Branche nicht angehört. Dann könnte die Empfehlung den Schutzbedarf der eigenen Branche verfehlen, also zu hohe oder zu niedrige Schutzniveaus benennen.

So hat das BSI unter anderem die Empfehlung „Telemediendienste – Absicherung nach Stand der Technik“ veröffentlicht, die zweifellos auch bei technischen Fragen der Datensicherheit helfen können, wenn es um Telemedien geht. Die Sicherheitsempfehlung richtet sich an Anbieter und Verantwortliche von geschäftsmäßig angebotenen Telemediendiensten, wie Betreiber von Online-Shops und Unternehmen, die Hosting- und Server-Dienstleistungen anbieten.

Auch Branchenverbände wie TeleTrusT bieten Unterstützung an, wenn es um die Klärung der Frage nach dem Stand der Technik geht. Hier geht es zwar um das IT-Sicherheitsgesetz, jedoch können Unternehmen auch Hinweise entnehmen, die für die DSGVO hilfreich sind. Grundsätzlich muss dabei auf den tatsächlichen Schutzbedarf der personenbezogenen Daten geachtet werden, damit die Datensicherheitsmaßnahmen verhältnismäßig bleiben. Bei sehr hohem Schutzbedarf für personenbezogene Daten können jedoch die Sicherheitshinweise für kritische Infrastrukturen durchaus sinnvoll für die Umsetzung sein.

In jedem Fall aber können Unternehmen nicht davon ausgehen, dass sie bei einer Datenschutzkontrolle durch eine Datenschutz-Aufsichtsbehörde sagen können, sie wüssten nicht, was der Stand der Technik ist und hätten deshalb kein entsprechendes Datensicherheitskonzept. Die Orientierung an den technischen BSI-Empfehlungen werden die Datenschützer auch in Zukunft für sinnvoll erachten. Zusätzlich veröffentlichen auch die Datenschutz-Aufsichtsbehörden selbst Orientierungshilfen zu verschiedenen Themen. Ebenso wird der sogenannte Europäische Datenschutzausschuss, der aus Vertretern der Datenschutz-Aufsichtsbehörden in der EU gebildet wird, in Zukunft Leitlinien veröffentlichen. Informationen zum Stand der Technik gibt es also durchaus, die Umsetzung muss allerdings auch wirklich erfolgen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

EU-Datenschutzverordnung: Deutsche Unternehmen sind schlecht vorbereitet.

EU-Datenschutz-Grundverordnung –Checklisten müssen überarbeitet werden.

Datenschutz-Grundverordnung: Was sich bei den Software-Einstellungen ändern muss.

DSGVO: Neue Pflichten gegenüber der Aufsichtsbehörde.

Artikel wurde zuletzt im November 2016 aktualisiert

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close