Der Datenschutz in Europa wird mit der Datenschutz-Grundverordnung vereinheitlicht. In unserer Beitragsreihe stellen wir Ihnen die wichtigsten Änderungen vor, die in der ersten Jahreshälfte 2018 für alle verpflichtend werden. In unserem heutigen Beitrag gehen wir ausführlich auf die neuen Regelungen zur IT-Sicherheit ein.

Das Thema IT-Sicherheit hat in der Datenschutz-Grundverordnung einen höheren Stellenwert erhalten als bisher im BDSG. Dies zeigt sich zum einen daran, dass die Pflicht, geeignete technische und organisatorische Maßnahmen umzusetzen, als Grundsatz in die Datenschutz-Grundverordnung (DSGVO) aufgenommen wurde, Art. 5 Abs. 1 (f) DSGVO:

„Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (Integrität und Vertraulichkeit)“.

Zum anderen werden erstmals Prinzipien des Data Protection by Design und Data Protection by Default in Art. 25 gesetzlich normiert.

1. Technische und organisatorische Maßnahmen

In Art. 32 der DSGVO werden Anforderungen an die Datensicherheit formuliert, die bislang in § 9 Bundesdatenschutzgesetz (BDSG) und der dazu gehörigen Anlage enthalten waren. Wer glaubt, in dem neuen Regelwerk eine präzisere Auflistung von Maßnahmen zu finden oder gar eine Handlungshilfe, der wird erst einmal enttäuscht. Die Vorgaben in Art. 32 der DSGVO sind ähnlich abstrakt formuliert wie bisher im BDSG:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Sicherheitsmaßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; …“  (Artikel 32, Abs. 1).

Gegenüber dem bisherigen BDSG hat sich inhaltlich nicht viel geändert: Bislang hieß es in § 9 BDSG und deren Anlage, technisch-organisatorische Maßnahmen seien je nach Art und Kategorie der zu schützenden Daten zu treffen und seien nur dann erforderlich, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Nunmehr müssen sich gemäß DSGVO die technisch-organisatorischen Maßnahmen auch nach dem Zweck der Verarbeitung sowie nach dem Stand der Technik richten. Letzteres wurde bislang im BDSG explizit nur für Verschlüsselungsmaßnahmen gefordert. Außerdem müssen künftig – auch das ist neu –  gemäß Art. 32 Abs. 1 bei der Planung und Umsetzung von technischen und organisatorischen Maßnahmen das von dem Datenverarbeitungsverfahren ausgehende Risiko zur Beeinträchtigung von Persönlichkeits- und Freiheitsrechten berücksichtigt werden. Die Abschätzung des Risikos ist das Ergebnis einer Datenschutz-Folgenabschätzung, die vor Inbetriebnahme der Verfahren durchzuführen ist.

2. Pseudonymisierung und Verschlüsselung

Die Pseudonymisierung und Verschlüsselung personenbezogener Daten wurden explizit als geeignete Maßnahme in die Verordnung aufgenommen. Dies ist zu begrüßen, allerdings beschränkt sich die DSGVO auf diese beiden Mechanismen. In der DSGVO wird leider nicht mehr auf die Anonymisierung eingegangen, obwohl diese unter bestimmten Einsatzbedingungen ebenso geeignet wäre, den Grundsatz der Datenminimierung adäquat umzusetzen.

3. Sicherheitsziele statt Kontrollmaßnahmen

Die in die Jahre gekommenen und nicht mehr zeitgemäß wirkenden Begriffe wie Zutritts-, Zugangs- und Zugriffskontrolle etc. sind weggefallen. Stattdessen werden Begriffe wie Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste als Sicherheitsziele definiert, die bei der Verarbeitung personenbezogener Daten sicherzustellen sind.

Die jetzige Änderung des Bewertungsmaßstabs ist unproblematisch. Die in die Verordnung aufgenommenen Sicherheitsziele bieten weiterhin ausreichend Interpretationsspielraum bei der Umsetzung geeigneter technischer und organisatorischer Maßnahmen.

4. Pflicht zur Durchführung von Penetrationstests

Gemäß Art. 32 Abs. 1 Satz 1 d) muss die Qualität der technischen und organisatorischen Maßnahmen künftig ausreichend getestet werden. Diese Regelung ist neu und verpflichtet die Betreiber von technischen Systemen,

„ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“

einzurichten. Gemeint sind hiermit u.a. differenzierte Penetrationstests, die explizit die Umgehung und Aussetzung von Sicherheitsmechanismen zum Ziel haben.

5. Data Protection by Design und Data Protection by Default

Vorgaben zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen enthält auch Art. 25: Erstmalig werden Grundsätze des data protection by design und data protection by default gesetzlich normiert: Bei data protection by design soll durch Einsatz geeigneter  technischer Maßnahmen (beispielsweise Pseudonymisierungstechniken) gezielt der Grundsatz der Datenvermeidung wirksam umgesetzt werden. Bei dataprotection by default soll durch geeignete Voreinstellung und Parametrisierung von IT-Systemen erreicht werden, dass nur solche Daten verarbeitet werden, die für die Zwecke der Verarbeitung erforderlich sind.

6. Datenschutz-Folgenabschätzung

Bei der Planung und Umsetzung geeigneter technischer und organisatorischer Maßnahmen ist u.a. die Eintrittswahrscheinlichkeit und die Schwere des Risikos für die persönlichen Rechte und Freiheiten zu berücksichtigen. Sofern voraussichtlich ein hohes Risiko zu erwarten ist, insbesondere bei Profiling-Verfahren, bei der Verarbeitung besonderer personenbezogener Daten, bei Daten über strafrechtliche Verurteilungen und Straftaten oder bei der weiträumigen Überwachung öffentlicher Bereiche, ist eine Datenschutz-Folgenabschätzung durchzuführen, Art. 35 Abs. 1:

„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“

Die Datenschutz-Folgenabschätzung ersetzt die bisherige Vorabkontrolle aus dem BDSG. Die Ergebnisse der Datenschutz-Folgenabschätzung beeinflussen wiederum die Auswahl geeigneter technischer und organisatorischer Maßnahmen.

7. Bußgelder

Erheblich verschärft wurden in der DSGVO die Bußgeld-Regelungen hinsichtlich unzureichender technischer Aspekte: Werden ungeeignete technische und organisatorische Sicherheitsmaßnahmen umgesetzt oder werden die Sicherheitsmaßnahmen unzureichend getestet oder erfolgt vorab keine Datenschutz-Folgenabschätzung, können durch die Datenschutz-Aufsichtsbehörden künftig Bußgelder in Höhe von max. 10 Millionen Euro oder bis max. 2% des weltweit erzielten Jahresumsatzes eines Unternehmens verhängt werden.

Fazit

Die Veränderungen der DSGVO sind überschaubar, die sich für den Bereich der IT-Sicherheit ergeben. Interessant sind vor allem die Neuregelungen zur Datenschutz-Folgenabschätzung sowie die Grundsätze zu data protection by design und data protection by default. Allerdings drohen bei ungeeigneten Sicherheitsmaßnahmen erhebliche Bußgelder.

Weitere Beiträge zur DSGVO finden Sie in unserem Blog.

Update 11.4.2016: Der Artikel wurde an die konsolidierte Fassung der DSGVO vom 6.4.2016 angepasst.

| | , | , , , ,