Maßnahmen nach Artikel 32 DSGVO
Die Datenschutzgrundverordnung verlangt, dass jedes Unternehmen interne Maßnahmen zur Daten- und IT-Sicherheit umsetzt und auf Verlangen nachweist. Die Maßnahmen sind technischer und organisatorischer Natur.
Es geht dabei also bspw. um aktuelle Virenscanner, Firewall, Passwortschutz, Verschlüsselung von Daten und Kommunikation, sowie um Anweisungen an die Mitarbeiter, interne Prozessbeschreibungen, Vergabe von Verantwortlichkeiten und so weiter. Das entspricht dem risikobasierten Ansatz der DSGVO.
Die Vorschrift dazu lautet:
Art. 32 DSGVO – Sicherheit der Verarbeitung
- Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
- Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.
- Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
- Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
Dabei definieren sich die Schlüsselbegriffe Vertraulichkeit, Verfügbarkeit und Integrität wie folgt:
Welche konkreten Maßnahmen sind gemeint?
Beispielhaft kann zu den von Ihnen zu schaffenden Voraussetzungen folgende Unterteilung vorgenommen werden, die Sie individuell bei sich im Unternehmen prüfen und erfassen, sowie dann in einer Übersicht Ihrer technischen und organisatorischen Maßnahmen dokumentieren müssen (die genannten Maßnahmen müssen am Ende natürlich den tatsächlich bei Ihnen umgesetzten Maßnahmen entsprechen):
Vertraulichkeit
- Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen, z.B.: Schlüssel, Magnet- oder Chipkarten, elektrische Türöffner, Portier, Sicherheitspersonal, Alarmanlagen, Videoanlagen;
- Zugangskontrolle: Schutz vor unbefugter Systembenutzung, z.B.: Kennwörter (einschließlich entsprechender Policy), automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern;
- Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Standard-Berechtigungsprofile auf „need to know-Basis“, Standardprozess für Berechtigungsvergabe, Protokollierung von Zugriffen, periodische Überprüfung der vergebenen Berechtigungen, insb von administrativen Benutzerkonten;
- Pseudonymisierung: Sofern für die jeweilige Datenverarbeitung möglich, werden die primären Identifikationsmerkmale der personenbezogenen Daten in der jeweiligen Datenanwendung entfernt, und gesondert aufbewahrt.
- Klassifikationsschema für Daten: Aufgrund gesetzlicher Verpflichtungen oder Selbsteinschätzung (geheim/vertraulich/intern/öffentlich).
Integrität[1]
- Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur.
- Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement.
Verfügbarkeit und Belastbarkeit
- Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV, Dieselaggregat), Virenschutz, Firewall, Meldewege und Notfallpläne; Security Checks auf Infrastruktur- und Applikationsebene, Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum, Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern;
- Rasche Wiederherstellbarkeit;
- Löschungsfristen: Sowohl für Daten selbst als auch Metadaten wie Logfiles u.ä.
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
- Datenschutz-Management, einschließlich regelmäßiger Mitarbeiter-Schulungen;
- Incident-Response-Management;
- Datenschutzfreundliche Voreinstellungen;
- Auftragskontrolle: Keine Auftragsdatenverarbeitung im Sinne von Art 28 DSGVO ohne entsprechende Weisung des Auftraggebers, z.B.: eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Auftragsverarbeiters (ISO-Zertifizierung, ISMS), Vorabüberzeugungspflicht, Nachkontrollen.
Bitte setzen Sie sich mit mir zur Umsetzung und schriftlichen Dokumentation Ihrer individuellen Maßnahmen in Verbindung.
Die Aufsichtsbehörden für den Datenschutz werden verstärkt nach diesen Dokumentationen fragen.
Zusätzlich Risikoanalyse!
Ob die so von Ihnen umgesetzten Maßnahmen ausreichend sind hängt dann davon ab, in welchem Umfang und zu welchem Zweck Sie welche Datenkategorien mit welchem Risiko verarbeiten. Daher ist auch stets eine Risikoanalyse erforderlich, die das konkret von Ihnen „ausgelöste“ Risiko aus Sicht der Betroffenen (also der Personen, um deren Daten es geht) beschreibt.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat hierzu eine Risikomatrix erstellt (so genannte Schwellwertanalyse), die Sie zur Einstufung Ihres konkreten Risikos durchführen müssen:
Zu fragen ist dabei also welcher Schaden in einem worst case Szenario eintreten kann und wie wahrscheinlich dann der Eintritt eines solchen Szenarios ist.
Dabei können verschiedene Datenverarbeitungen bei Ihnen durchaus auch verschiedene Risiken bergen. Denn verarbeiten Sie bspw. auch sensible Daten (bspw. Gesundheitsdaten, genetische Daten, biometrische Daten) ist die Schwere des Schadens bei einer Datenpanne, die diese Daten betrifft, sehr hoch. Verarbeiten Sie daneben auch Daten, die aus öffentlichen Quellen stammen, dann ist die mögliche Schwere des Schadens bei einem Datenverlust dagegen sehr klein.
Die Wahrscheinlichkeit eines Eintritts des Schadens ist wiederum bei einer Verarbeitung in der Cloud, auf einem Webserver oder überhaupt auf einem mit dem Internet verbundenen System wesentlich größer, als die Verarbeitung auf einer lokalen nicht mit dem Internet verbundenen Festplatte etc.
Bei Fragen und Anmerkungen bin ich natürlich für Sie da:
Timo Schutt
Datenschutzberater
Fachanwalt für IT-Recht
DSGVO-Man
[1] =Verhinderung von (unbeabsichtigter) Zerstörung/Vernichtung, (unbeabsichtigter) Schädigung, (unbeabsichtigtem) Verlust, (unbeabsichtigter) Veränderung von personenbezogenen Daten.