Technische und organisatorische Maßnahmen zum Datenschutz

Inhalt

Die Datenschutz Grundverordnung (DSGVO) gilt mittlerweile nun schon seit einigen Jahren. Dennoch stellen wir fast täglich in unserer Arbeit fest, wie groß die Unsicherheiten bei der korrekten Interpretation und Umsetzung sind. Einen Bereich, in dem auffällig viele Schwierigkeiten bestehen und in dem – unverblümt ausgedrückt – auch jede Menge Unsinn fabriziert wird, stellen die technischen und organisatorischen Maßnahmen dar. Nicht nur im Kontext der eigenen Verantwortung bestehen hier offensichtlich größere Probleme bei Verantwortlichen. Auch im Rahmen der Auftragsverarbeitung liefern Dienstleister erschreckend oft Beschreibungen der Maßnahmen nach Art. 32 DSGVO die wenig geeignet sind, ihren Zweck zu erfüllen.

Neben den handwerklichen Fehlern, die oft den Eindruck vermitteln, als wäre die Beschreibung primär mit dem Ziel größtmöglicher Aufwandsvermeidung erstellt worden – Hauptsache es steht irgendwas auf dem Papier –, scheinen auch die einzelnen Begriffe schlichtweg nicht korrekt verstanden zu werden. Sie werden laienhaft interpretiert, vermischt, verwechselt und nicht zuletzt übergangen oder übersehen.

In einem früheren Artikel boten wir bereits Hilfestellung für die Umsetzung geeigneter Maßnahmen. Heute gehen wir einen Schritt zurück und erläutern die einzelnen in Art. 32 DSGVO genannten Maßnahmen. Damit schaffen wir das notwendige Grundverständnis für die korrekte Umsetzung und eine brauchbare Beschreibung.

Die in Art. 32 DSGVO genannten Maßnahmen

Eine Bemerkung vorab. Diese in Art. 32 DSGVO enthaltene Liste ist nicht abschließend. Je nach Anwendungsszenario muss eine Verarbeitung auch durch weitere und andere Maßnahmen abgesichert werden. Die Beispiele, die der europäische Gesetzgeber an dieser Stelle nennt, dürfen aber als Minimum dessen angesehen werden, womit man sich mindestens beschäftigen muss. Dementsprechend sollte eine Beschreibung auch auf jede einzelne Maßnahme eingehen und wenn dies nur erfolgt, um klarzustellen, dass die Maßnahme zwar im konkreten Einzelfall nicht relevant ist aber eben nicht übersehen wird.

Pseudonymisierung

Die Pseudonymisierung ist in Art. 4 Nr. 5 DSGVO definiert. Entscheidend ist, dass bei der eigentlichen Verarbeitung von Daten die Einzelinformationen, die eine Identifikation des Betroffenen ermöglichen, fehlen. Diese letztgenannten Informationen müssen also vor der Verarbeitung aus den verarbeiteten Datenbeständen entfernt werden. Zudem muss verhindert werden, dass pseudonyme Daten und die zur Identifikation notwendigen Informationen wieder zusammengefügt werden. Eine Entpseudonymisierung darf nicht ohne weiteres möglich sein.

Der Begriff wird sehr oft mit der Anonymisierung vermischt oder verwechselt. Anonyme Daten können einer Person gar nicht mehr zugeordnet werden, sie sind keine personenbezogenen Daten und unterliegen nicht (mehr) dem Datenschutz. Bei pseudonymen Daten ist die Zuordnung über zusätzliche Informationen weiterhin möglich, aber eben unterbunden. In beiden Fällen wird in der Praxis meist übersehen, dass es oft nicht ausreicht, eindeutige Identifikatoren wie etwa den Namen zu entfernen. Auch andere Informationen die für sich gesehen oder in Kombination mit weiteren Daten eindeutige Treffer ermöglichen, müssen beseitigt werden.

Tipp: Lesen Sie auch unsere ausführlichen Ratgeber zur Pseudonymisierung und Anonymisierung.

Verschlüsselung

Gemeint ist der Einsatz von Kryptographie. Personenbezogene Daten werden durch den Einsatz kryptographischer Maßnahmen vor unbefugtem Zugriff geschützt. Dies kann bzw. muss bei Daten in Ruhe und/oder bei Übertragung sichergestellt sein und zwar lückenlos. Die eingesetzten Verschlüsselungsmethoden müssen ausreichend stark und sicher sein. Gegebenenfalls verwendete Schlüssel sind sicher zu verwalten.

Vertraulichkeit

Dieser Begriff aus der klassischen Informationssicherheit wird meist korrekt eingeordnet. Es geht um den Schutz von Informationen vor unbefugter Preisgabe. Die zur Umsetzung dieses Ziels erforderlichen Maßnahmen beziehen sich auf die räumlich-physikalische Sicherheit (Zutrittskontrolle), den logischen Schutz vor unbefugtem Zugriff auf Systeme, Anwendungen und Daten (Zugangskontrolle), die Sicherstellung, dass Daten ausschließlich an Berechtigte übertragen werden (Weitergabekontrolle) und auch die zuvor genannte Verschlüsselung gehört mit zu den geeigneten Verfahren.

Aus Sicht eines Verantwortlichen geht es konkret etwa um die Einrichtung räumlicher Sicherheitsbereiche, Berechtigungskonzepte und die gesteuerte Weitergabe von Informationen entsprechend einer eindeutigen Klassifizierung. Auch andere einfache Maßnahmen, wie das Anbringen von Sichtschutz oder die Aufstellung von Systemen und eine Clean-Desk-Policy sowie automatische Bildschirmsperren und Abmeldungen gehören in diesen Bereich.

Erfahrungsgemäß empfiehlt sich bei der Kontrolle der eigenen Umsetzung oder der Maßnahmen eines Dienstleisters ein kurzer Blick auf die möglichen Verarbeitungsorte. Zu oft wird alleine die Sicherheit des Rechenzentrums geschildert und Aussagen zur Sicherheit in den eigenen Arbeitsräumen und erst recht zu den Maßnahmen an anderen Arbeitsplätzen, insbesondere im Home-Office, fehlen häufig gänzlich.

Weiterlesen: Eine Checkliste zu Datenschutz und Informationssicherheit bei mobiler Arbeit finden Sie hier.

Selbstverständlich gehört es auch in diesen Bereich, Mitarbeiter und Dienstleister zuverlässig auf die Wahrung der Vertraulichkeit zu verpflichten.

Kostenloser Download: Nutzen Sie unser Muster für eine Verpflichtungserklärung und Vertraulichkeitserklärung.

Integrität

Geschützt werden die Authentizität von Daten, deren Richtigkeit, Vollständigkeit und der Schutz vor unbefugter Veränderung.

Wesentlich gehört hierzu die Eingabekontrolle, also die Protokollierung, wer wann welche Daten in welcher Art und Weise verarbeitet hat, um Veränderungen nachvollziehbar zu machen. Ergänzend können beispielsweise Signaturen und Prüfziffern eingesetzt werden, um nachzuweisen, dass Informationen unverändert sind.

Verfügbarkeit

Auch hier handelt es sich um einen althergebrachten Begriff aus der Informationssicherheit, der unter dem Blickwinkel der Datenschutz-Grundverordnung nicht anders zu verstehen ist als bisher. Dennoch werden die Maßnahmen aus diesem Bereich in der Praxis nicht sauber beschrieben. Häufig ist der Blick einerseits zu eng und konzentriert sich allein auf einige wenige Maßnahmen, die ausschließlich zentrale Systeme schützen. Andererseits werden unter diesem Begriff auch Maßnahmen subsumiert, die an dieser Stelle nichts verloren haben; meist angeführt von der Beschreibung der Datensicherungsmaßnahmen.

Im Zusammenhang mit der Verfügbarkeit sind Maßnahmen gefragt, die sicherstellen, dass Informationen zur Verfügung stehen, wann und wo sie berechtigterweise benötigt werden. Neben einer Beschreibung von Redundanzen ist hier etwa auch zu beantworten, wie die Schutzmaßnahmen vor Umweltgefahren oder mutwilliger Beschädigung aussehen. Auf das Fehlen von single points of failure (einzelnen Schwachstellen) muss eingegangen werden und möglicherweise auch auf die zur Verfügung stehenden Bandbreiten. Die Sicht darf dabei nicht alleine auf den Serverraum und die Elektrik beschränkt werden. Auch die Systeme und Netzwerkkomponenten, die Mitarbeiter für ihre Arbeit benötigen, müssen betrachtet werden.

Belastbarkeit

Kaum ein Maßnahmenbereich wird so häufig nicht behandelt, wie dieser. Meist wird der Begriff zwar in der entsprechenden Überschrift eines beschreibenden Absatzes noch genannt, fast regelmäßig fehlen aber dann passende Aussagen dazu.

Zu behandeln und darzustellen ist hier die Toleranz bzw. Widerstandsfähigkeit von Systemen und Anwendungen gegen Störungen und Unregelmäßigkeiten. Vor allem Aussagen zur Härtung und laufenden Überwachung sind hier zu erwarten. Auch eine automatische Lastverteilung, Möglichkeiten zur Skalierung im laufenden Betrieb oder die Abschaltung und Isolierung instabiler Systeme sind  weitere Gesichtspunkte.

Wiederherstellbarkeit

An dieser Stelle geht es darum, die tatsächlich beeinträchtigte Verfügbarkeit und den Zugang zu Daten so schnell wie möglich wieder zu gewährleisten. Hier ist die Datensicherung und die Möglichkeit eines restores (Wiederherstellung) korrekt aufgehoben. Aber auch die Möglichkeiten des Wiederaufbaus einzelner Systeme oder sogar kompletter Systemlandschaften sind hier möglicherweise relevant; also im Extremfall auch Gesichtspunkte der kurzfristigen Wiederbeschaffung zerstörter Komponenten. Als zusätzliche Absicherung wären gegebenenfalls Standby oder Ausweichsysteme oder gar ganze Rechenzentren interessant.

Verfahren zur Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

Zu dieser in Art. 32 DSGVO letztgenannten Maßnahme wird erfahrungsgemäß viel geschrieben; nur leider selten das richtige. Gefragt ist hier nach den internen Audits, nach der laufenden und angemessenen Selbstkontrolle.

Ob ein Datenschutzbeauftragten bestellt wurde, ist für sich allein gesehen ebenso irrelevant, wie die Frage, ob es Auftragsverarbeitungsverträge oder Vertraulichkeitsverpflichtungen gibt oder ob auf eingetretene Störungen oder Reklamationen reagiert wird. Auch der vielfach zu begegnenden, pauschalen und nicht weiter ausgeführten Behauptung, dass ein Datenschutz-Managementsystem (DSMS) eingerichtet wäre, ist unzureichend. Und warum an dieser Stelle fast gewohnheitsmäßig auf das Vorhandensein der Beschreibung der Verarbeitungstätigkeiten eingegangen wird, erschließt sich ebenfalls nicht.

Die zentral zu beantwortende Frage ist stattdessen, wie laufend – und gerade ohne einen konkreten Anlass – gemessen und sichergestellt wird, dass die eingesetzten technischen und organisatorischen Maßnahmen funktionieren. Zu erwarten sind damit also Aussagen zum Auditprogramm, welches sich der Verantwortliche selbst auferlegt. Wie oft und in welchem Umfang findet welche Prüfung durch wen statt?

Ergänzend: Die Frage der Angemessenheit oder der Verhältnismäßigkeit

In der täglichen Praxis begegnen uns mit schöner Regelmäßigkeit Situationen, in denen die vermeintlich fehlende Angemessenheit oder eben die vorhandene Unverhältnismäßigkeit als Rechtfertigung herangezogen werden, um als besonders aufwendig oder teuer empfunde Maßnahmen nicht umzusetzen. Paradebeispiele hierfür sind der Verzicht auf interne Audits oder andere Kontrollen, etwa die regelmäßige Prüfung von Berechtigungen oder die Auswertung von Protokollen.

Dieses Verständnis ist falsch. Entscheidend ist nicht der Aufwand oder die Kosten, die mit einer Datensicherheitsmaßnahme verbunden sind, sondern inwieweit dem zu behandelnden Risiko begegnet wird. Maßnahmen sind dann angemessen, wenn sie das Risiko so begrenzen, dass es im Ergebnis für den Betroffenen noch zumutbar und unter Abwägung aller Umstände vertretbar ist. Dies ist das zu erreichende Minimum, mehr muss nicht umgesetzt werden.

Der Verantwortliche muss also nicht mehr umsetzen und nicht mehr investieren als zur Erreichung dieses Minimums notwendig ist. Das allerdings muss er umsetzen. Wird die Schaffung der einem bestimmten Risiko angemessenen Datensicherheit – in welcher Hinsicht auch immer – zu aufwendig, darf nicht die Maßnahme unterlassen werden, sondern die Datenverarbeitung hat zu unterbleiben!

Jede andere Interpretation würde den Sinn der Vorschrift ad absurdum führen; je riskanter und damit aufwendiger abzusichern eine Verarbeitung wäre, desto weniger müsste man umsetzen? Das kann nicht sein.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.