Ich möchte in diesem Artikel einen Überblick zum technischen Datenschutz geben und dabei die Rahmenbedingungen zur Auswahl, Steuerung und Umsetzung von technischen und organisatorischen Maßnahmen (TOM) gemäß der Datenschutzgrundverordnung (DSGVO) beleuchten.

Die erste Frage, die man sich stellt, ist welche Anforderungen für die Ausgestaltung des technischen Datenschutzes gemäß der DSGVO bestehen. Beim Lesen der DSGVO erkennt man, dass das Thema Datensicherheit dort einen höheren Stellenwert als bisher erhalten hat. Dies zeigt sich zunächst darin, dass die Pflicht, geeignete technische und organisatorische Maßnahmen (TOM) umzusetzen, in Art. 5 Abs. 1 lit. f. als Grundsatz in die DSGVO aufgenommen wurde.

In Artikel 32 Absatz 1 wird dann die Umsetzung der TOM für die Datensicherheit konkretisiert, die auf folgende Sicherheitsziele abzielen:

  • Vertraulichkeit,
  • Integrität,
  • Verfügbarkeit,
  • Belastbarkeit der Systeme und Dienste und
  • eine Pflicht zur Datensicherung

Dort sind auch Anforderungen an die TOMs aus Sicht der DSGVO dargestellt. Man kann die Anforderungen in die folgenden vier Aspekte gruppieren:

  • Stand der Technik,
  • Implementierungskosten
  • Risiko (für die Rechte und Freiheiten natürlicher Personen) und
  • Art, Umfang, Umstände und Zweck der Verarbeitung.

Damit wird klar, dass man bei der Auswahl der TOMs nicht frei ist. Es gibt einen festgelegten regulatorischen Rahmen für die Auswahl und die Umsetzung der TOMs. Man erkennt aber auch, dass durch die verantwortliche Stelle nicht das maximale und höchstmögliche Maß an Sicherheit der Verarbeitung zu gewährleisten ist. Es muss ein dem Schutzbedarf angemessenes Schutzniveau sichergestellt werden. Dadurch ergeben sich Gestaltungs- und Bewertungsspielräume, die man nutzen sollte. Genau hier sind viele maßgebliche Stellschrauben für die Kosten und Aufwände für die Umsetzung der aus der DSGVO resultierenden Maßnahmen verborgen!

Wenn man die Spielräume sinnvoll nutzen möchte, sollte man vor der eigentlichen Festlegung der Sicherheitsmaßnahmen (TOM) zunächst den Schutzbedarf der im Geltungsbereich der Betrachtung liegenden Anwendungen und Daten bewerten und dokumentieren. Denn nur wenn der jeweilige Schutzbedarf bekannt ist, kann im weiteren Fortgang eine belastbare und für Dritte nachvollziehbare Angemessenheitsbetrachtung der noch festzulegenden TOMs durchgeführt werden. Dabei lohnt sich oft ein Blick in Richtung Qualitätsmanagement oder Informationssicherheitsmanagement (ISMS) der betrachteten Organisation. Dort kann man häufig erforderliche Informationen und Rahmenbedingungen für die Schutzbedarfsfeststellung finden.

Ein weiterer grundlegender Gedanke, den man zunächst auf sich wirken lassen sollte: Technischer Datenschutz, und somit auch die Auswahl der TOMs sind kein einmaliger Vorgang. Es stellt den Einstieg in einen gesteuerten Datenschutzmanagement-Prozess dar, der einen wiederkehrenden Zyklus sicherstellt. Dabei müssen bereits umgesetzte Maßnahmen regelmäßig auf ihre Wirksamkeit und Angemessenheit hin überprüft und wenn erforderlich angepasst, ergänzt und verbessert werden.

Ein nicht zu unterschätzender Punkt ist dabei im Rahmen der Steuerung dieser Aktivität die erforderliche Dokumentation dieser Vorgänge, um im Bedarfsfall einen Nachweis erbringen zu können.

In diesem Zusammenhang ist es extrem sinnvoll über den „Datenschutztellerrand“ zu blicken. Denn häufig existiert ein solcher Prozess bereits in der eigenen Organisation in Kontext eines vorhandenen Informationssicherheitsmanagements (ISMS). Man muss dann lediglich eine geeignete organisatorische Schnittstelle vom Datenschutz aus zum bestehenden ISMS-Prozess etablieren und vermeidet so redundante und teure Aufwände.

Nachdem wir nun wissen, dass wir ein angemessenes Schutzniveau sicherstellen und die dazu erforderlichen Maßnahmen regelmäßig prüfen und verbessern müssen, können wir nun den Kriterien zur Auswahl der erforderlichen TOMs zuwenden. Wie bereits oben dargestellt, ergeben sich diese aus Artikel 32 der DSGVO.

Da gibt es zunächst den sogenannten Stand der Technik. Dieser ist in der DSGVO nicht normiert. In der Gesetzgebung findet man oftmals diesen Terminus. Dieser definiert keine konkrete Maßnahme oder keinen technologischen Stand. Die Verwendung des allgemeinen Begriffs ist vom Gesetzgeber bewusst gewollt. Einerseits gibt der Gesetzestext, die durch den Gesetzgeber gewollte Zielrichtung vor. Andererseits bleibt der Gesetzestext unabhängig von der technologischen Entwicklung entkoppelt und ist somit stets aktuell.

Es gibt in der Literatur durchaus Abstufungen des Begriffs „Stand der Technik“, drauf möchte ich aber in diesem Artikel nicht eingehen. Eine abgestufte Berücksichtigung des Begriffs ist für unsere eher grundsätzliche Betrachtung nicht erforderlich und würde den Rahmen dieses Artikels deutlich sprengen. Vielleicht gibt es zu dem Thema mal einen eigenen Blogbeitrag. An dieser Stelle wäre ebenfalls wieder eine Stellschraube für die Kosten und Aufwände für die Umsetzung der aus der DSGVO resultierenden Maßnahmen verborgen.

Für unsere Betrachtung ist man bezüglich des Standes der Technik auf der sicheren Seite, wenn man bewährte (aktuelle) Standards sowie aktuelle Best-Practice-Ansätze nutzt. Wie beispielsweise:

  • BSI Mindeststandards,
  • BSI IT-Grundschutz-Kompendium mit den zugehörigen Umsetzungshinweisen,
  • BSI Standards 200-1, 200-2 und 200-3 und
  • ISO 27002, Anhang A.

Die DSGVO sieht weiterhin die Berücksichtigung der Implementierungskosten der TOMs vor. Damit ist klar, dass auch wirtschaftliche Aspekte eine Rolle spielen.  Also sollten die Kosten für TOMs in einem angemessenen Verhältnis zu Schutzzweck stehen, abhängig von der wirtschaftlichen Leistungsfähigkeit einer Organisation. Sie ahnen es schon, auch hier ist wieder eine Stellschraube für die Aufwände verborgen.

Die Dokumentation der Abwägung des Grades der Maßnahmenumsetzung auf Grund der Implementierungskosten ist ein wichtiger Faktor. Insbesondere dann, wenn man sich auf Grund der Implementierungskosten zu einer teilweisen oder abgestuften Umsetzung von Maßnahmen entschieden hat.

Es muss dabei klar dokumentiert sein, WER diese Entscheidung auf Grund WELCHER Fakten getroffen hat und WER das daraus resultierende Risiko trägt. Insbesondere muss erkennbar sein, dass derjenige, der das Risiko trägt, auch Kenntnis aller Fakten der Risikoübernahme hatte bzw. hat.

Risiko für die Rechte und Freiheiten natürlicher Personen

Bei der Risikobetrachtung ist zu berücksichtigen, dass die „klassische“ IT-Sicherheit im Rahmen des Informationssicherheitsmanagements die Datensicherheit des Unternehmens gewährleistet. Die DSGVO verlangt aber gemäß Art. 32 eine Betrachtung und Behandlung der Risiken für die betroffenen Personen. Den Rechten und berechtigten Interessen, aller von der Verarbeitung betroffenen Personen, muss Rechnung getragen werden. Diese verschiedenen Risikoarten müssen unbedingt aus Datenschutzsicht berücksichtigt werden.

Art, Umfang, Umstände und Zweck der Verarbeitung haben ebenfalls erheblichen Einfluss auf die Auswahl der TOMs, den man berücksichtigen muss. Vor allem der Schutzbedarf und bestehende Bedrohungen können bei unterschiedlichen Organisationen extrem verschieden sein. Daraus resultiert beispielsweise eine Verschiebung bei der Gewichtung der Sicherheitsziele, hinsichtlich des Schutzbedarfs.

In Organisationen, die ihren geschäftlichen Fokus beispielsweise auf Produktion oder viel Kundenverkehr legen, ist die Verfügbarkeit von Services und IT-Systemen sehr wichtig. Hier würde ein Ausfall meist hohe Kosten und einen Reputationsverlust nach sich ziehen

Wohingegen bei Organisationen im Bereich von Entwicklung und Forschung, die Vertraulichkeit häufig einen hohen Stellenwert hat. Ein Offenlegen von Firmengeheimnissen, kann zu erheblichen finanziellen Einbußen führen.

Wie man sieht existieren einige Faktoren, die Einfluss auf die Auswahl und den Umsetzungsgrad von TOMs nehmen. Diese Komplexität überfordert oft betroffene Organisationen und es entsteht dort die Wahrnehmung, dass die Umsetzung der Datensicherheits-Anforderungen der DSGVO extrem komplex und aufwendig ist.

Natürlich entstehen Aufwände für die Auswahl, Steuerung und Umsetzung von Sicherheitsmaßnahmen (TOMs), das ist unbestritten.

Aber wenn man das Thema strukturiert und methodisch angeht, kann man die Gestaltungsspielräume sinnvoll nutzen und damit die entstehenden Aufwände in einem für die jeweilige Organisation bewältigbaren und sinnvollen Rahmen halten.