Technische und organisatorische Maßnahmen nach DSGVO

Wer personenbezogene Daten verarbeitet, muss diese mittels technischer und organisatorischer Maßnahmen schützen. Die EU-Datenschutz-Grundverordnung (DSGVO) ersetzt hierbei die vom alten Bundesdatenschutzgesetz (BDSG) gewohnten Datenschutzkontrollen sowie die Acht Gebote des Datenschutzes nach Anlage zu § 9 BDSG. Eine Konkretisierung bleibt in der DSGVO jedoch aus. Deshalb empfiehlt es sich, auf einen anderen Standard zurückzugreifen, um die Datenschutz– und Datensicherheits-Maßnahmen zu implementieren bzw. bei Dienstleistern zu überprüfen.

Was schreibt die DSGVO für Maßnahmen vor?

Die DSGVO verpflichtet Verarbeiter von personenbezogenen Daten in Art. 32 dazu, „geeignete technische und organisatorische Maßnahmen [zu treffen], um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Eine weitere Konkretisierung erfolgt nicht, die DSGVO führt stattdessen einige Schutzziele auf:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Was schreiben deutsche Aufsichtsbehörden für Maßnahmen vor?

Auch im neuen Bundesdatenschutzgesetz (BDSG-neu) finden sich für die Privatwirtschaft keine genaueren Definitionen zu den technischen und organisatorischen Maßnahmen. Die deutschen Aufsichtsbehörden haben sich jedoch die in der DSGVO genannten Begriffe – die alle als Ziele aus dem Bereich der Informationssicherheit bekannt sind – nun zu eigen gemacht. Im Rahmen einer Arbeitsgruppe zu Verzeichnissen für Verarbeitungstätigkeiten nach Art. 30 DSGVO wurde eine Mustervorlage zur Beschreibung der „technischen und organisatorischen Maßnahmen“ herausgegeben. Darin werden aufgeführt:

  1. Pseudonymisierung;
  2. Verschlüsselung;
  3. Gewährleistung der Vertraulichkeit;
  4. Gewährleistung der Integrität;
  5. Gewährleistung der Verfügbarkeit;
  6. Gewährleistung der Belastbarkeit der Systeme;
  7. Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall;
  8. Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen.

Das alte und neue Definitionsproblem der Maßnahmen

Schon im alten BDSG verwendeten die Acht Gebote des Datenschutzes aus Sicht des Datenschutz-Praktikers wenig aussagekräftige und schlecht voneinander abzugrenzende Begriffe. So unterstützen „verschlossene Türen“ sowohl Vertraulichkeit und Integrität als auch Verfügbarkeit. Sie müssten aber bei Anwendung der Systematik oder Gliederung des neuen Musterdokuments auch an allen drei Stellen genannt werden.

Leider hat auch der EU-Gesetzgeber die Chance nicht genutzt, klarzustellen, dass es sich bei den in der DSGVO genannten Maßnahmen in Wahrheit um Ziele handelt, die es mit entsprechenden Maßnahmen erst zu erreichen gilt.

Es wäre sehr zu begrüßen gewesen, statt einer nicht sonderlich brauchbaren Gliederung mehr konkrete Tätigkeiten oder Handlungsvorschläge zu liefern, die zur Erreichung der Sicherheitsziele geeignet sind. So steht die Praxis nun weiterhin vor dem Problem, selbst eine Lösung zu finden.

Die ISO 27002 als Hilfestellung

Wenn Sie in Ihrem Unternehmen geeignete technische und organisatorische Maßnahmen entwickeln und implementieren oder diese bei einem Auftragsverarbeiter überprüfen wollen, empfiehlt es sich deshalb, auf einen anderen Standard zurückzugreifen: Eine gute Hilfestellung bietet die ISO 27002, ein international anerkannter Leitfaden für Informationssicherheits-Maßnahmen.

Die Norm beschreibt ab Kapitel 5 detailliert und ganz konkret „gemeinhin akzeptierte Maßnahmen für die Informationssicherheit“. Ein an dieser Norm orientiertes Vorgehen stellt also sicher, keine wesentlichen Bereiche zu übersehen. Die Gliederung der ISO 27002 vermeidet außerdem Überschneidungen:

Hinweis: Die folgende Darstellung zur ISOI 27002 bezieht sich auf die (inzwischen veraltete) Version EN ISO/IEC 27002:2017.

Hier wird beschrieben, welche Vorgaben und welche Unterstützung seitens der Unternehmens- oder Behördenleitung notwendig sind.

Dieses Kapitel enthält Hinweise, wie die Umsetzung der Informationssicherheit in einer Organisation eingeleitet und gesteuert werden kann. Die Informationssicherheit bei Telearbeit und der Nutzung von Mobilgeräten ist ebenfalls Thema.

Inhalt dieses Kapitels ist die Sicherstellung, dass Beschäftigte und Auftragnehmer für ihre Aufgaben geeignet sind und dass sie ihre Verantwortlichkeiten kennen und erfüllen.

Hier wird beschrieben, wie Werte der Organisation identifiziert und Verantwortlichkeiten festgelegt werden können, um ein angemessenes Schutzniveau zu erreichen. Ebenfalls wird eingegangen auf Maßnahmen gegen die unerlaubte Offenlegung, Veränderung, Entfernung oder Zerstörung von Informationen, die auf Datenträgern gespeichert sind.

Thema ist die Beschränkung des Zugangs zu Informationen und informationsverarbeitenden Einrichtungen und die Sicherstellung, dass nur befugte Benutzer Zugang zu Systemen und Diensten haben.

Dieses Kapitel behandelt alles, was mit dem wirksamen Gebrauch von Kryptographie in Verbindung steht.

Enthalten sind Maßnahmen, um unbefugten Zutritt, Beschädigungen oder andere Beeinträchtigungen von Informationen und informationsverarbeitenden Einrichtungen zu verhindern. Ebenfalls wird der Schutz vor Verlust, Beschädigung, Diebstahl oder Gefährdung von Werten und die Unterbrechung von Organisationstätigkeiten behandelt.

Kapitel 12 beschreibt den ordnungsgemäßen und sicheren laufenden Betrieb von informationsverarbeitenden Einrichtungen: etwa den Schutz vor Schadsoftware, den Schutz vor Datenverlust, die Sicherstellung der Integrität von Systemen im Betrieb.

Hier ist der Schutz von Informationen in Netzwerken und den unterstützenden informationsverarbeitenden Einrichtungen thematisiert. Auch die Sicherheit von übertragener Information, sowohl innerhalb einer Organisation als auch mit jeglicher externen Stelle, wird behandelt.

Dieses Kapitel soll sicherstellen, dass Informationssicherheit ein fester Bestandteil über den gesamten Lebenszyklus von Informationssystemen ist. Entwicklung und Testphasen sind einbezogen.

Hier wird der extrem wichtige Bereich „Dienstleister“ behandelt. Wie werden die für Lieferanten zugänglichen Werte des Unternehmens geschützt? Wie lässt sich ein vereinbartes Niveau der Informationssicherheit und der Dienstleistungserbringung bei Lieferantenverträgen aufrechterhalten?

Kapitel 16 beschreibt das Event- und Störungsmanagement. Wie sieht eine konsistente und wirksame Herangehensweise für die Handhabung von Informationssicherheitsvorfällen einschließlich der Benachrichtigung über Sicherheitsereignisse und Schwächen aus?

Welche Anforderungen bestehen an die eigene Betriebsbereitschaft und wie lässt sich diese aufrechterhalten? Wir wird die Verfügbarkeit von informationsverarbeitenden Einrichtungen sichergestellt?

Zuletzt wird das geeignete Vorgehen beschrieben, allgemein Verstöße gegen gesetzliche, regulatorische, selbstauferlegte oder vertragliche Verpflichtungen zu vermeiden.

Fazit: Anpassung auf Einzelfall bleibt notwendig

Mit der ISO 27002 liegt ein geeigneter Kriterienkatalog für die konkrete Umsetzung technischer und organisatorischer Maßnahmen (sogenannte „Controls“) vor, um die in der DSGVO genannten Schutzziele zu erreichen.

Je nach Szenario der Datenverarbeitung im Unternehmen können aber auch andere Bewertungen erfolgen. Die Maßnahmen der ISO 27002 müssen deshalb stets auf den Einzelfall angepasst angewandt werden.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.