Da­ten­schutz­ma­nage­ment nach DS-GVO: Si­cher­heit der Verarbeitung

Die Da­ten­schutz­grund­ver­ord­nung (DS-GVO) löst am 25. Mai 2018 das Bun­des­da­ten­schutz­ge­setz (BDSG) ab – sie greift direkt und un­mit­tel­bar, es gibt keine Übergangsfrist.
Die DS-GVO ver­pflich­tet Un­ter­neh­men ein Da­ten­schutz­ma­nage­ment­sys­tem ein­zu­füh­ren, das den Schutz der per­so­nen­be­zo­ge­nen Daten in Un­ter­neh­mern si­cher­stel­len soll.

Bisher regelt § 9 BDSG die tech­ni­schen und or­ga­ni­sa­to­ri­schen Maß­nah­men (TOM).
Zu­künf­tig hat Art. 32 DS-GVO „Si­cher­heit der Ver­ar­bei­tung“ eine be­son­de­re Be­deu­tung was die Kri­te­ri­en für die tech­ni­schen und or­ga­ni­sa­to­ri­schen Maß­nah­men be­trifft, um ein an­ge­mes­se­nes Da­ten­schutz­ni­veau zu gewährleisten.

Si­cher­heit nach DS-GVO:
Die klas­si­schen Schutz­zie­le der IT-Si­cher­heit wie Ver­trau­lich­keit, In­te­gri­tät und Ver­füg­bar­keit sind in Art. 32 Abs. 1 DS-GVO ge­re­gelt. Daneben gibt es neue Be­grif­fe wie z. B. die Be­last­bar­keit (engl. re­si­li­ence“) und Kon­for­mi­tät.
Für den Ver­ant­wort­li­chen (dem Un­ter­neh­men) gilt es auch die Be­last­bar­keit der Systeme und Dienste si­cher­zu­stel­len. Maß­nah­men dazu, nennt die DS-GVO nicht.

Die Kon­for­mi­tät ergibt sich aus der Nach­wei­ser­brin­gung (Re­chen­schafts­pflicht nach Art. 5 Abs. 2), d. h. in­wie­weit hält sich ein Ver­ant­wort­li­cher an die Ver­ar­bei­tungs­grund­sät­ze der DS-GVO und ge­währ­leis­tet somit die Si­cher­heit der Ver­ar­bei­tun­gen (z. B. durch Zer­ti­fi­zie­run­gen, Verhaltensregeln).

Um ein an­ge­mes­se­nes Schutz­ni­veau nach Art. 32 Abs. 1 DS-GVO be­ur­tei­len zu können, muss der Ver­ant­wort­li­che wissen, welchen Schutz­be­darf die per­so­nen­be­zo­ge­nen Daten haben. In der Regel finden sich Ka­te­go­rien wie normal, hoch und sehr hoch (Ri­si­ko­ana­ly­se):

• Schutz­be­darf per­so­nen­be­zo­ge­ner Daten feststellen
• Ri­si­ko­be­wer­tung mit Fokus be­trof­fe­ner Personen
• Maß­nah­men treffen unter Be­rück­sich­ti­gung von Stand der Technik
• Be­rück­sich­ti­gung von Privacy by Design und Privacy by Default
• Im­ple­men­tie­rungs­kos­ten (Ver­hält­nis­mä­ßig­keit)
• Nach­wei­se für Konformität

Die IT-Si­cher­heit bekommt mit der DS-GVO eine höhere Be­deu­tung für den Da­ten­schutz­ver­ant­wort­li­chen als bislang durch das BDSG. Die Schnitt­men­ge zwi­schen Daten­schutz und In­for­ma­ti­ons­si­cher­heit wird größer.

Un­zu­rei­chen­de Da­ten­si­cher­heit ist ab Mai 2018 ein Buß­geld­tat­be­stand. Bislang waren Ver­stö­ße gegen § 9 BDSG tech­ni­sche und or­ga­ni­sa­to­ri­sche Maß­nah­men nicht buß­geld­be­wehrt. Ein Verstoß gegen Art. 32 DS-GVO wird mit der Grund­ver­ord­nung mit einem Bußgeld von bis 10 Mio. Euro oder 2 % des Jah­res­um­sat­zes geahndet.

Sie wissen nicht wie Sie bei der Do­ku­men­ta­ti­on ver­fah­ren sollen? Gerne stellen wir Ihnen unsere Mus­ter­vor­la­ge zur Ver­fü­gung. Schrei­ben Sie einfach ein E-Mail an consulting@AdOrgaSolutions.de, Stich­wort: Blog Art. 32.

Daten­schutz ist kein Produkt. Daten­schutz ist ein Prozess.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns:
per E-Mail consulting@AdOrgaSolutions.de oder
Büro München +49 89 411 726 – 35 / Büro Wien +43 1 253 017- 8177.