Integrität und Vertraulichkeit bei der Datenverarbeitung

Integrität und Vertraulichkeit in der DSGVO

Der Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 f) DSGVO sieht vor, dass personenbezogene Daten in einer Art und Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten gewährleistet. Insbesondere ist dafür zu sorgen, dass die personenbezogenen Daten

1. vor unbefugter und unrechtmäßiger Verarbeitung (Vertraulichkeit) und
2. vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung (Integrität) bewahrt werden.

Um dies zu erreichen, muss der Verantwortliche oder Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen (TOM) treffen.

Der Grundsatz der Integrität und Vertraulichkeit wird insbesondere in Art. 32 DSGVO (Sicherheit der Verarbeitung) konkretisiert. Dort werden über die Schutzziele der Integrität und Vertraulichkeit hinaus noch weitere Schutzziele genannt, welche jedoch nach dem Gesetzeswortlaut („schließen gegebenenfalls unter anderem Folgendes ein“) nicht abschließend sind:

• Pseudonymisierung
• Verschlüsselung
• Verfügbarkeit
• Belastbarkeit der Systeme
• Rasche Wederherstellbarkeit der Verfügbarkeit
• Verfahren zur regelmäßigen Überprüfung

Risikoangemessenes Schutzniveau

Doch welche konkreten Maßnahmen eignen sich, um Vertraulichkeit und Integrität zu gewährleisten? Im Gegensatz zum alten Bundesdatenschutzgesetz (BDSG a.F.) mit seinen „Acht Datenschutzgeboten“ lässt die DSGVO dies offen. Nach Art. 5 Abs. 1 f) DSGVO und Art. 32 Abs. 1 DSGVO müssen individuell „angemessene“ technische und organisatorische Maßnahmen getroffen werden. Welche Maßnahmen angemessen sind, bestimmt sich laut Art. 32 Abs. 1 DSGVO nach dem Risiko. Wichtig ist, dass es stets auf Risiken für Betroffene ankommt, nicht auf Risiken für den Verantwortlichen bzw. das Unternehmen.

Eine Legaldefinition des Risikos ist in der DSGVO nicht vorgesehen. Aus den Erwägungsgründen 75 und 94 DSGVO kann jedoch hergeleitet werden, dass es zur Ermittlung des Risikos einerseits auf die Schwere eines Schadens, andererseits auf dessen Eintrittswahrscheinlichkeit ankommt. Bei dem Schaden kann es sich um „physische, materielle und immaterielle“ Schäden handeln, wie beispielsweise „Diskriminierung, Identitätsdiebstahl oder-betrug, finanzieller Verlust, Rufschädigung“.

Die Schwierigkeit besteht darin, dass es weder einen konkreten Risikobegriff noch einen festgelegten Maßstab für angemessene TOM gibt. Vielmehr ist relativ viel Interpretationsspielraum gegeben. Entscheidend dürfte sein, dass es sich um vertretbare Risikobewertung und vertretbare Maßnahmen handelt. Je höher das Risiko, desto weitreichender müssen die technischen und organisatorischen Maßnahmen sein.

Besteht für Betroffene ein hohes Risiko, so muss der Verantwortliche eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO vornehmen. Im Rahmen dieser Datenschutz-Folgenabschätzung muss der Verantwortliche versuchen, das Risiko einzudämmen. Aus dem Umkehrschluss kann man schließen, dass die TOM nicht alle Risiken vollständig beseitigen, sondern es ausreichend ist, wenn das Risiko auf ein normales Niveau gesenkt wird.

Das Kurzpapier Nr. 18 der DSK (Datenschutzkonferenz, das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) bietet hilfreiche Informationen zur Risikobewertung, wenn auch ohne konkret auf die Relevanz für die technischen und organisatorischen Maßnahmen einzugehen.

Weitere Kriterien für das Schutzniveau

Bei der Implementierung angemessener technischer und organisatorischer Maßnahmen ist insbesondere auch Stand der Technik zu berücksichtigen. Die TOM müssen zudem ständig angepasst werden, wenn die technologische Entwicklung dies erfordert.

Der Stand der Technik meint allerdings nicht zwingend die besten und effektivsten Maßnahmen. Wie bereits erläutert, ist es ausreichend, die Risiken auf ein normales Risiko zu senken. Hierbei kann sich das Unternehmen an den markt- und branchenüblichen Maßnahmen orientieren. Teilweise gibt es auch Informationen und Empfehlungen wie beispielsweise die IT-Grundschutz-Kataloge des BSI (Bundesamt für Sicherheit in der Informationstechnik).

Die Implementierungskosten können bei der Bewertung der Angemessenheit ebenfalls berücksichtigt werden. Sind die Implementierungskosten zu hoch, muss ein Unternehmen dennoch alle anderen Möglichkeiten ausschöpfen und entsprechende Maßnahmen treffen um ein hohes Risiko für die Rechte und Freiheiten von Betroffenen zu verhindern.

Nachweis durch Verhaltensregeln oder Zertifizierungsverfahren

Im Rahmen der Nachweise technischer und organisatorischer Maßnahmen trifft man oft auf eine ISO/IEC 27001:2013 Zertifizierung. Hierbei handelt es sich um ein zertifiziertes Informationssicherheits-Managementsystems (ISMS) welches im Anhang A Controls beinhaltet, die sich mit den Schutzzielen des Art. 32 DSGVO decken.

Neben der ISO/IEC 27001:2013 Zertifizierung ist jedoch zu bedenken, dass der Geltungsbereich des Zertifikats nur das ISMS umfasst. Ein solches Zertifikat allein genügt nicht den Anforderungen der DSGVO; es ist zusätzlich an die Erfordernisse eines Datenschutzmanagementsystems (DSMS) zu denken. Insbesondere sind die in der ISO/IES 27001:2013 aufgeführten Controls aus der Sicht des Datenschutzes und der DSGVO zu betrachten. Im Rahmen der Lieferantenbeziehungen ist etwa an die Anforderungen der Auftragsverarbeitung zu denken, und beim Umgang mit Sicherheitsvorfällen auch an Datenschutzverletzungen nach Art. 33 bzw. 34 DSGVO.

Verstöße gegen Vertraulichkeit und Integrität können teuer werden

Der Grundsatz von Vertraulichkeit und Integrität fordert der verantwortlichen Stelle viel ab, auch, weil hier Datenschutz und Informationssicherheit kombiniert werden müssen. Unternehmen sollten die Umsetzung jedoch nicht auf die lange Bank schieben. Denn Verstöße gegen die Grundsätze des Art. 5 DSGVO können laut Art. 83 Abs. 5 lit. a DSGVO mit den höchsten in der DSGVO vorgesehenen Bußgeldern geahndet werden.