Die am 25.Mai 2018 in Kraft tretende Datenschutz-Grundverordnung(DS-GVO) zwingt alle Unternehmen dazu, technische und organisatorische Maßnahmen (im weiteren TOM) zu treffen, um die Sicherheit und den Schutz der zu verarbeitenden personenbezogenen Daten ihrer Kunden und Mitarbeiter zu gewährleisten.
Dies ist an und für sich nichts neues, besteht diese Pflicht doch schon im bestehenden Bundesdatenschutzgesetz(BDSG). Insbesondere jedoch auf Grund der hohen möglichen Sanktionen durch die Aufsichtsbehörden sind alle Unternehmen dringend aufgerufen, die erforderlichen Maßnahmen im eigenen Unternehmen rechtzeitig zu überprüfen. Näheres zu diesem Thema, erhalten Sie in dem folgenden  Beitrag.

 

Kurzübersicht der Datenschutzgrundsätze

Mithilfe der TOM sollen Unternehmen insbesondere sicherstellen, die Datenschutzgrundsätze der DS-GVO einzuhalten. Zum besseren Verständnis werden diese im Weiteren kurz vorgestellt:

1. Rechtmäßige Verarbeitung

Daten müssen rechtmäßig verarbeitet werden, d.h. sie dürfen nur dann erhoben werden, sofern es für die Verarbeitung eine Rechtsgrundlage gibt. Näheres zu den Rechtsgrundlagen erfahren Sie im gesonderten ausführlichen Whitepaper zu diesem Thema

  1. Verarbeitung nach Treu und Glauben

Dies betrifft das Verhältnis zwischen dem zu verarbeitenden Unternehmen und der betroffenen Person. Die Verarbeitung soll hierbei „fair“ sein. Es geht hier u.A. darum, dass die betroffene Person mit einer Verarbeitung ihrer Daten rechnen kann, eine heimliche Videoüberwachung würde etwa dieses Prinzip verletzen.

  1. Transparenz

Die Datenverarbeitung soll für die betroffene Person transparent sein, d.h. sie soll leicht zugänglich und verständlich informiert werden, was mit ihren personenbezogenen Daten zu welchem Zweck geschieht, und wer diese wie verarbeitet.

  1. Zweckgebundene Verarbeitung

Die DS-GVO sieht vor, dass Unternehmen vor Beginn der Verarbeitung der Daten festlegen, zu welchem/n Zweck(en) sie die personenbezogenen Daten erheben. Eine nachträgliche Änderung des Zweckes bzw. eine darüber hinausgehende Verarbeitung ist nur unter sehr engen Voraussetzungen möglich.

  1. Datenminimierung

Die Datenverarbeitung soll auf das für den Zweck benötigte Maß reduziert sein. Das heißt, dass sowohl die erhobenen Daten, als auch die Anzahl der Nutzungen sowie die Anzahl der Betroffenen soweit wie möglich eingeschränkt werden. Wie auch schon aus der Zweckbindung ergibt sich aus diesem Grundsatz, dass Daten nicht aus dem Blauen erhoben werden dürfen, für den Fall dass sie irgendwann einmal benötigt werden könnten.

  1. Richtigkeit der Verarbeitung

Die hinterlegen Daten sollen sachlich richtig und nach Möglichkeit auf dem neuesten Stand sein. Unternehmen werden angehalten, aktiv die Richtigkeit der bei ihnen hinterlegten Daten regelmäßig zu prüfen, und gegebenenfalls zu berichtigen.

  1. Speicherbegrenzung

Daten sollen nur solange gespeichert werden, wie es für den eigentlichen Zweck erforderlich ist. Dafür sind Löschfristen und regelmäßige Überprüfungen notwendig, ob die entsprechenden Daten weiterhin benötigt werden oder vernichtet werden können.

  1. Vertraulichkeit und Integrität der Verarbeitung

Dieser Grundsatz bezieht sich auf die Datensicherheit. Die personenbezogenen Daten sollen bestmöglich gegen unbefugte oder unrechtmäßige Zugriffe sowie gegen unbeabsichtigten Verlust, Zerstörung oder Veränderung geschützt werden.

  1. Rechenschaftspflicht

Das Unternehmen ist für die Einhaltung der vorgenannten Prinzipien verantwortlich, und muss dies auch nachweisen können.

Beurteilung des Schutzniveaus – Welche Datenrisiken liegen vor?

Um festzustellen, ob vorhandene TOM ausreichend sind, muss das vorhandene Schutzniveau der personenbezogenen Daten mit dem Risiko der Verarbeitung verglichen werden.
Die Datensicherheitsrisiken sind

  • Unbeabsichtigte oder unrechtmäßige Vernichtung personenbezogener Daten
    Die Daten sind im Unternehmen nicht mehr vorhanden, obwohl diese zur Erfüllung von Datenverarbeitungszwecken oder aus gesetzlichen Aufbewahrungspflichten noch benötigt werden
    Beispiel: Versehentliche Löschung von Daten ohne ausreichende Backups
  • Unbeabsichtigter oder unrechtmäßiger Verlust
    Hier sind die Daten im Unternehmen ebenfalls nicht mehr vorhanden, es besteht jedoch die Gefahr, dass Dritte Zugang zu diesen erhielten.
    Beispiele: Verlorengegangene Datenträger wie USB-Sticks, Smartphones oder Festplatten
    Im Müll entsorgte Papierakten mit personenbezogenen Daten
  • Unbeabsichtigte oder unrechtmäßige Veränderung
    Zu solchen Veränderungen kann es sowohl durch Fehler(auch durch Software) als auch durch Sabotage kommen
  • Unbeabsichtigte oder unrechtmäßige Offenlegung
    Durch einen Fehler oder auch mit Absicht wurden Daten an Dritte übermittelt, die darauf keinen Einblick haben sollten
    Beispiel: Fehlversand einer E-Mail an falschen Empfänger
  • Unbefugter Zugang
    Jemand erhält Zugang zu personenbezogenen Daten ohne eigentliche Befugnis
    Beispiele: erfolgreicher Hackerangriff durch Cyberkriminelle Mitarbeiter kopiert personenbezogene Daten unberechtigt auf USB-Stick

Unterschied zwischen technischen und organisatorischen Maßnahmen

Um diese Rechenschaftspflicht zu gewährleisten sind die technischen und organisatorischen Maßnahmen (TOM) von Nöten.

Technische Maßnahmen sind dabei all jene, welche sich physisch umsetzen lassen, etwa durch bauliche Maßnahmenwie Alarmanlagen oder durch Soft- und Hardwarevorgaben wie etwa passwortgeschützte Benutzerkonten. Die technischen Maßnahmen beziehen sich auf den Datenverarbeitungsvorgang selbst.

Organisatorische Maßnahmen dagegen betreffen Regeln, Vorgaben und Handlungsanweisungen, mit welchen Mitarbeiter zur Einhaltung des Datenschutzes angehalten werden. Diese beziehen sich auf den äußeren Ablauf bzw. die äußeren Rahmenbedingungen des Datenverarbeitungsvorgangs.

Kriterien für den Einsatz der technischen und organisatorischen Maßnahmen

Die DS-GVO verlangt dem Unternehmer ab, für die durch ihn zu verarbeitenden personenbezogenen Daten durch geeignete TOM ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Zur Bestimmung dieses Risikos und der notwendigen Technologien nennt die DS-GVO in Art. 32 verschiedene Kriterien, die im Weiteren näher vorgestellt werden sollen.

1. Stand der Technik

Der Stand der Technik ist ein unbestimmter Rechtsbegriff.

Gemeint sind damit die bekannten, wirksamen und etablierten Maßnahmen, welche auf dem Markt verfügbar sind, und welche eingesetzt werden. Hier kommt es auch auf die aktuelle Marktsituation und die Wettbewerber eines Unternehmens an. Wenn es also im Markt üblich ist, bestimmte Technologien einzusetzen, so sind diese als Stand der Technik zu betrachten, und man ist als Unternehmen angehalten, diese Technologien ebenfalls zu implementieren.

Ein Beispiel im E-Commerce wäre der Einsatz von SSL-Zertifikaten zur verschlüsselten Übertragung von personenbezogenen Daten etwa bei Bestellformularen oder Loginseiten. Diese Technik ist inzwischen allgemein üblich, weswegen jeder Onlineshopbetreiber dringend dazu aufgerufen ist, diese Technik einzusetzen.

Wichtig ist hier, dass der Stand der Technik sich in einem steten Wandel befindet. Es können sich sowohl neue Technologien herausbilden als auch bestehende Technologien als unsicher herausstellen.
Unternehmen sind daher aufgerufen, sich hier regelmäßig auf dem Laufenden zu Halten.

2. Implementierungskosten

Zu berücksichtigen sind die Implementierungskosten der TOM. Der finanzielle Aufwand für die Implementierung soll die dadurch erreichbare Verbesserung des Schutzniveaus nicht übersteigen.

Da die Kriterien stets dem risikobasierten Ansatz folgen, ist auch hier festzustellen, dass je höher das Risiko der Datenverarbeitung ist, desto höhere Implementierungskosten müssen vom Unternehmen gegebenenfalls getragen werden. Dies ist daher auch kein Kriterium, welches einem Unternehmen pauschal die Ausrede erlaubt, eine Maßnahme wäre zu teuer gewesen. Wenn das Risiko besonders hoch ist, etwa, weil besonders sensible Daten verarbeitet werden, so muss das Unternehmen unter Umständen auch relativ teure Maßnahmen ergreifen. Allerdings muss eine Maßnahme nicht implementiert werden, sofern diese teuer wäre, der Schutz der Daten sich jedoch nur gering verbessern würde.

3. Art, Umfang, Umstände und Zwecke der Datenverarbeitung

Die Art der Daten bezieht sich auf die zu erfassenden Datenkategorien. Wichtig ist hier insbesondere, ob bei der Datenverarbeitung (auch) besonders sensible Daten, wie Gesundheitsdaten, Daten zur Religion oder zu sexuellen Vorlieben, verarbeitet werden. Da bei einem Datenverlust von solch sensiblen Daten ein besonders hohes Risiko für den Betroffenen besteht, sind diese auch besonders zu schützen. Auch ob die Verarbeitung automatisch oder manuell passiert spielt hier eine Rolle.

Beim Umfang der Daten geht es darum, wie viele Daten durch die Datenverarbeitung verarbeitet werden. Bei der Verarbeitung umfangreicher Daten sind höhere Schutzmechanismen notwendig als bei einem kleinen Datensatz.

Die Umstände der Datenverarbeitung beziehen sich auf die tatsächlichen wie rechtlichen Gegebenheiten welche die Datenverarbeitung betreffen. Hier geht es unter anderem darum, inwiefern die Nutzer mit der konkreten Datenverarbeitung rechnen können. Auch ob die Daten direkt von der betroffenen Person angegeben wurden oder von Dritten stammen spielt hier eine Rolle. Gleiches gilt für die Übertragung in Länder außerhalb der EU oder etwa der Einsatz von Cloud Technologie.

Die Zwecke der Datenverarbeitung sind ebenfalls relevant. Ein erhöhtes Risiko besteht hier insbesondere, sofern der Zweck darin besteht, Profile von Kunden zu erstellen. Auch eine besonders hohe Reichweite des oder der festgelegten Zweck(e) sprechen für ein erhöhtes Risiko.

4. Eintrittswahrscheinlichkeit und Schwere des Risikos für Rechte und Freiheiten natürlicher Personen

Schlussendlich spielt zunächst die Eintrittswahrscheinlichkeit sowie die Schwere des Risikos für die Rechte und Freiheiten von natürlichen Personen eine Rolle.
Je wahrscheinlicher es ist, dass für die Rechte und Freiheiten von natürlichen Personen ein Risiko besteht, desto höher sind die Anforderungen für das Unternehmen entsprechende TOM zu implementieren. Die Schwere eines solchen Risikos bezieht sich auf die Höhe eines Risikos.

Zwischenfazit:

Die DS-GVO zwingt Unternehmen zum Einsatz von technischen und organisatorischen Maßnahmen um ein dem Risiko angemessenes Schutzniveau für die von ihm zu verarbeitenden Daten zu bieten.
Je höher das Risiko einer Datenverarbeitung für die Rechte und Freiheiten natürlicher Personen, desto umfangreichere TOM sind notwendig, um die personenbezogenen Daten ausreichend zu schützen. Um sich klarzumachen, welche TOM notwendig sind, muss sich ein Unternehmen daher zunächst dem Risiko der Datenverarbeitung für die einzelnen Vorgänge bewusst sein.

Übersicht über mögliche technische und organisatorische Maßnahmen

Die DS-GVO nennt in seinen Artikeln selbst nur zwei konkrete Maßnahmen. Diese sind:

Pseudonymisierung

Daten können, sofern die Datenverarbeitung dies zulässt, mit einem Pseudonym, d.h. einem nicht personenbezogenen Namen, einer Nummer oder ähnlichem versehen werden, welches eine Zuordnung erschwert.

Wichtig für eine wirksame Pseudonymisierung ist, dass die pseudonymisierten Daten ohne Hinzuziehung zusätzlicher Informationen keine Zuordnung erlauben.

Ein Pseudonym, welches beispielsweise aus Anfangsbuchstabe des Nachnamens und dem vollständigen Vornamen bestände, wäre daher mit Sicherheit nicht ausreichend, wäre es doch meist ein leichtes, diese mit dem betreffenden Nutzer in Verbindung zu bringen.

Weiterhin müssen das Pseudonym und die zur Identifizierung notwendigen Daten getrennt voneinander aufbewahrt werden. Dies kann sowohl räumlich (verschiedene Aktenschränke in verschiedenen Räumen) als auch technisch (z.B. getrennte Datenbanken) umgesetzt sein.

Und schlussendlich muss sichergestellt werden, dass diejenigen, welche pseudonymisierte Daten verarbeiten, durch technische und organisatorische Maßnahmen gehindert werden, auf die zur Identifizierung notwendigen Daten zuzugreifen.

Ist man also als Unternehmen zur Pseudonymisierung grundsätzlich verpflichtet?

Nein. Wie alle anderen TOM ist die Pseudonymisierung eine mögliche aber keine obligatorische Maßnahme. Viele Datenverarbeitungsvorgänge wären pseudonymisiert gar nicht möglich.

Um die Bestellung eines Kunden in einem Onlineshop zu bedienen, ist eine Zuordnung seiner einzelnen Datensätze selbstverständlich notwendig und daher auch weiterhin zulässig.
Wo sich Vorgänge aber pseudonymisiert verarbeiten lassen können, ist es zu empfehlen, diese Technik einzusetzen. Denkbar wäre dies etwa bei allgemeinen Analysen, etwa, aus welchen regionalen Bereichen Kunden bestellen.

Insbesondere gilt dies, wenn solche Analysen oder andere Datenverarbeitungen von externen Dienstleistern vorgenommen werden. Um hier einen Datenmißbrauch durch Dritte zu verhindern, sollte mit Pseudonymen gearbeitet werden, sofern dies machbar ist.

Verschlüsselung

Daten können verschlüsselt werden. Hierbei wird die Information mit Hilfe eines kryptografischen Verfahrens in eine unleserliche Zeichenfolge verwandelt.
Bei der Nutzung der Verschlüsselung bleibt der Personenbezug der Daten erhalten. Die Daten werden jedoch so verändert gespeichert, dass sie ohne Kenntnis des zugehörigen Schlüssels nach Möglichkeit nicht oder nur mit völlig unverhältnismäßigem Aufwand lesbar gemacht werden können.
Dies soll insbesondere verhindern, dass personenbezogene Daten etwa bei einem Hackerangriff in die Hände von unbefugten Dritten gelangen können.

Wie bei der Pseudonymisierung besteht keine grundsätzliche Pflicht zur Verschlüsselung, sie ist jedoch in vielen Konstellationen eine anzuratende Maßnahme.
In vielen Bereichen ist eine Verschlüsselung heutzutage auch üblich und somit Stand der Technik und sollte daher stets praktiziert werden. Insbesondere Passwörter, die Zugang zu personenbezogenen Daten liefern, sollten stets unter Zuhilfenahme sogenannter „gesalzener Hashes“ verschlüsselt werden.

Alle anderen Maßnahmen sind nicht konkret genannt, sondern nur eine Vorgabe, was diese erreichen sollen.

Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme & Dienste

Maßnahmen sollen die Vertraulichkeit der verwendeten Systeme & Dienste schützen. Es soll verhindert werden, dass es zu unbefugter oder unrechtmäßiger Verarbeitung kommt.
Hierunter fallen Maßnahmen, welche den Zutritt, Zugang und Zugriff auf Systeme und Dienste regeln.
Beispiele: Bauliche Maßnahmen, Zugangskontrollen, Zugriffsrechte, Alarmanlagen

Ebenso soll die Integrität der Systeme geschützt werden. Daten sollen stets richtig und verlässlich sein und dürfen nicht unbeabsichtigt oder schadhaft geändert oder zerstört werden können.

Beispiele: Datensicherung / Backups, Prüfsummen, Virenscanner, Firewalls, Software-Updates

Daten bzw. Datenverarbeitungssysteme sollten darüber hinaus stets dann verfügbar sein, wenn diese benötigt werden. An viel verwendete Systeme ist daher ein höherer Anspruch zu stellen als an selten benötigte.
Daher sind die Systeme bestmöglichst gegen innere und äußere Einflüsse zu schützen. Solche Einflüsse können aus Akten höherer Gewalt entstehen (Stromausfall, Wassereinbruch, Blitzeinschlag)aber auch durch Sabotageakte oder Vandalismus.
Beispiele: Abgesicherte Stromanschlüsse, Unterbrechungsfreie Stromversorgung(USV), Blitzableiter

Datenverarbeitungssysteme & – Dienste müssen auch belastbar sein. Dies bedeutet einerseits, dass etwa ein Webserver auch bei kurzfristig starker Beanspruchung durch viele gleichzeitige Anfragen zuverlässig die angeforderten Daten liefert, als auch die Fähigkeit, externen Angriffen etwa durch Hacker zu widerstehen bzw. diese zu überstehen.
Beispiele: Skalierende Systeme, Denial of Service – Abwehrtechniken, RAID-Systeme

Wiederherstellung von Verfügbarkeit bei Zwischenfall

Zwar sollte durch die vorgenannten Maßnahmen möglichst vermieden werden, dass es überhaupt zu einer Datenpanne kommt. Trotzdem lässt sich das Risiko eines technischen oder physischen Zwischenfalls nie völlig ausschließen. Daher schreibt die DS-GVO vor, dass man als Unternehmen in der Lage sein muss, auf einen solchen Zwischenfall, sei es etwa ein Hackerangriff durch eine Denial of Service-Attacke oder ein Stromausfall, schnell zu reagieren, und Daten bzw. den Zugang zu diesen durch Datenverarbeitungssysteme möglichst schnell wiederherzustellen.
Beispiele: Back-up-Systeme, Wiederherstellungsverfahren, Vertretungspläne für Personal, Notstromversorgung, konkrete Notfallpläne, gespiegelte Datenbanken oder redundante Server

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Es reicht nicht aus, sich einmalig zu den technischen und organisatorischen Maßnahmen Gedanken zu machen.

Stattdessen muss regelmäßig überprüft werden, ob die Maßnahmen ihre Zwecke noch erfüllen, oder ob der technische Fortschritt oder neu entstandene Risiken neue oder abgeänderte Maßnahmen erfordern. Hierfür bedarf es regelmäßiger Überprüfungen. Wie oft dies geschehen muss, ist nicht fest vorgegeben, eine solche Überprüfung sollte jedoch mindestens in jährlichen Abständen erfolgen. Unter Umständen sind auch kürzere Prüfintervalle von Nöten. Insbesondere sollte schnell gehandelt werden, so etwa eine Sicherheitslücke bei einem verwendeten System bekannt wird.

Beispiele: Regelmäßige intern oder extern protokollierte Prüfungen, Evaluierungen durch Betroffene & Nutzer, Penetrationstests, Skalierbarkeit von Systemen

Folgen bei fehlenden oder mangelhaften Technischen und Organisatorischen Maßnahmen

Anders als bisher ist die Nichteinhaltung der Pflicht, geeignete technische und organisatorische Maßnahmen einzusetzen, ab dem 25.Mai 2018 kein Kavaliersdelikt mehr, sondern kann durch die zuständige Aufsichtsbehörde mit einer Geldbuße in Höhe von bis zu 10 Millionen Euro bzw. 2% des weltweiten Jahresumsatzes eines Unternehmens belegt werden.

 

Konkrete Hilfestellungen

Fazit

Schon jetzt hat im Grunde jedes Unternehmen mehr oder weniger umfangreiche technische und organisatorische Maßnahmen im Einsatz, um sowohl seine eigenen Daten sowie die Daten, welche durch das Unternehmen verarbeitet werden zu schützen.
Das zukünftige Haftungsrisiko empfiehlt jedoch, die bestehenden Maßnahmen auf ihre Wirksamkeit zu überprüfen und zu analysieren, ob weitere Maßnahmen notwendig sind.
Hierzu gilt es, sich den Risiken der Datenverarbeitung in den eigenen Verfahren bewusst zu werden. Im Anschluss sollte untersucht werden, wie diese Risiken durch technische und organisatorische Maßnahmen weiter eingedämmt werden können.
Konkrete Hilfe bekommen Unternehmen unter anderem im IT-Grundschutz-Kompendium des BSI oder durch den IT-Security Navigator