Regina Mühlich - AdOrga Solutions GmbH Datenschutz

Die Un­ter­neh­men werden zur Ge­währ­leis­tung der Si­cher­heit der Ver­ar­bei­tung (Art. 32 DS-GVO) ver­pflich­tet. Sie müssen, sowohl der Ver­ant­wort­li­che als auch der Auf­trags­ver­ar­bei­ter, ge­eig­ne­te tech­ni­sche und or­ga­ni­sa­to­ri­sche Maß­nah­men er­grei­fen. Es ist ein dem Risiko an­ge­mes­se­nes Schutz­ni­veau bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu ge­währ­leis­ten und einzuhalten.

Grund­sät­ze

Bei der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung, wie auch bereits beim BDSG a.F., handelt es sich um ein Ver­bots­ge­setz mit Er­laub­nis­vor­be­halt – die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten ist grund­sätz­lich ver­bo­ten. Die Ver­ar­bei­tung ist nur recht­mä­ßig, wenn eine der in Art. 6 Abs. 1 DS-GVO Recht­mä­ßig­keit der Ver­ar­bei­tung ge­nann­te Be­din­gung erfüllt ist. Die Be­din­gun­gen des Abs. 1 lit. a – f DS-GVO sind abschließend:

Rechtmäßigkeit der Verarbeitung

Die Vor­aus­set­zung für eine Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten setzt folg­lich eine aus­rei­chen­de und trag­fä­hi­ge Rechts­grund­la­ge voraus, wie auch die Ge­währ­leis­tung der Si­cher­heit der Datenverarbeitung.

Grund­la­gen

Die Grund­la­gen für die Si­cher­heit der Ver­ar­bei­tung ergeben sich, neben dem Art. 6 DS-GVO, eben­falls aus den Ver­ar­bei­tungs­grund­sät­zen des Art. 5 der DS-GVO. Es sind ge­eig­ne­te Maß­nah­men zur Ein­däm­mung des Risikos – dem Risiko für die Rechte und Frei­hei­ten der be­trof­fe­nen Person – zu im­ple­men­tie­ren (Artt. 25. Abs. 1 und 32 Abs. 1 DS-GVO). Die Auswahl ge­eig­ne­ter Maß­nah­men ist ab­hän­gig von den Risiken (Ri­si­ko­be­wer­tung).

An vor­ders­ter Stelle stehen die For­de­rung und die Ge­währ­leis­tung eines an­ge­mes­se­nen Schutz­ni­veaus hin­sicht­lich des Risikos für die Rechte und Frei­hei­ten na­tür­li­cher Personen.

Der für die Ver­ant­wor­tung des für die Ver­ar­bei­tung Ver­ant­wort­li­chen setzt gemäß Art. 24 DSGVO voraus, dass die ge­eig­ne­ten tech­ni­schen und or­ga­ni­sa­to­ri­schen Maß­nah­men unter Be­rück­sich­ti­gung der Art, des Umfangs, der Um­stän­de und der Zwecke der Ver­ar­bei­tung sowie der un­ter­schied­li­chen Ein­tritts­wahr­schein­lich­keit de­fi­niert und ge­währ­leis­tet werden. Diese Maß­nah­men sind er­for­der­li­chen­falls zu über­prü­fen und zu ak­tua­li­sie­ren. Die Er­for­der­lich­keit einer Über­prü­fung und Ak­tua­li­sie­rung ergibt sich eben­falls aus Art. 5 Abs. 2 DS-GVO. Eine Ein­hal­tung der Grund­sät­ze für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten gemäß Art. 5 Abs. 1 DS-GVO kann nur ge­währ­leis­tet werden, wenn die Ein­hal­tung auch re­gel­mä­ßig geprüft wird und diese Prüfung auch do­ku­men­tiert wird („Re­chen­schafts­pflicht“).

Si­cher­heit der Verarbeitung

Die Grund­sät­ze der Da­ten­si­cher­heit und deren For­de­rung re­sul­tiert aus Art. 32 DS-GVO. Für Systeme und Dienste im Zu­sam­men­hang mit der Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten auf Dauer ist sicherzustellen:

Grund­la­ge ist zu­vor­derst Art. 5 DS-GVO – Die Grund­sät­ze für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten sind zu ge­währ­leis­ten. Die Si­cher­heit der Ver­ar­bei­tung „un­ter­stützt“ den Ver­ar­bei­ten­den, sei es der Ver­ant­wort­li­cher oder der Auf­trags­ver­ar­bei­ter. Unter Be­rück­sich­ti­gung der un­ter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwere der mit der Ver­ar­bei­tung ver­bun­de­nen Risiken für die Rechte und Frei­hei­ten na­tür­li­cher Per­so­nen trifft der Ver­ant­wort­li­che sowohl zum Zeit­punkt der Fest­le­gung der Mittel für die Ver­ar­bei­tung als auch zum Zeit­punkt der ei­gent­li­chen Ver­ar­bei­tung ge­eig­ne­te tech­ni­sche und or­ga­ni­sa­to­ri­sche Maß­nah­men, die dafür aus­ge­legt sind, die Da­ten­schutz­grund­sät­ze wirksam um­zu­set­zen (vgl. Art. 25 DS-GVO).

Do­ku­men­ta­ti­on und Nachweispflicht

Der Ge­setz­ge­ber macht keine Vor­ga­ben da­hin­ge­hend, wie die Si­cher­heit der Ver­ar­bei­tung zu do­ku­men­tie­ren, zu über­prü­fen und nach­zu­wei­sen ist. Diverse Ge­set­zes­stel­len, z.B. Art. 6 Abs. 2 DS-GVO, Artt. 24, 25 DS-GVO, sagen nur, dass es, re­gel­mä­ßig und dem Risiko an­ge­mes­sen, zu tun ist.

Hilf­reich ist hier ein Blick in das Bun­des­da­ten­schutz­ge­setz, konkret § 64 BDSG An­for­de­run­gen an die Si­cher­heit der Da­ten­ver­ar­bei­tung. Abs. 3 gibt An­halts­punk­te mög­li­cher tech­­nisch-or­­ga­­ni­­sa­­to­ri­­scher Maßnahmen:

  1. Zu­gangs­kon­trol­le
  2. Da­ten­trä­ger­kon­trol­le
  3. Spei­cher­kon­trol­le
  4. Be­nut­zer­kon­trol­le
  5. Zu­griffs­kon­trol­le
  6. Über­tra­gungs­kon­trol­le
  7. Ein­ga­be­kon­trol­le
  8. Trans­port­kon­trol­le
  9. Wie­der­her­stell­bar­keit
  10. Zu­ver­läs­sig­keit
  11. Da­ten­in­te­gri­tät
  12. Auf­trags­kon­trol­le
  13. Ver­füg­bar­keits­kon­trol­le
  14. Trenn­bar­keit.

Diese Auf­lis­tung war bereits in ähn­li­cher Weise in § 9 Anlage 1 BDSG a.F. zu finden und ist gut ge­eig­net, zum einen die eigenen Maß­nah­men bei einer au­to­ma­ti­sier­ten Ver­ar­bei­tung nach einer Ri­si­ko­be­wer­tung zu prüfen. An­de­rer­seits aber auch als Check­lis­te zur Prüfung der Si­cher­heit der Ver­ar­bei­tung eines Auf­trags­ver­ar­bei­ters, der per­so­nen­be­zo­ge­ne Daten im Auftrag für den Ver­ant­wort­li­chen ver­ar­bei­tet. Abs. 2 des § 64 BDSG regelt, dass Maß­nah­men u.a. Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung um­fas­sen, soweit solche Mittel in An­be­tracht der Ver­ar­bei­tungs­zwe­cke möglich sind.

Maß­nah­men

Den Begriff „An­ony­mi­sie­rung“ kennt weder die DS-GVO noch das BDSG. Über an­ony­mi­sier­te Daten lässt sich zu einer na­tür­li­chen Person kein Bezug (mehr) her­stel­len bzw. sie ist nicht iden­ti­fi­zier­bar. Un­ab­hän­gig davon, ist die An­ony­mi­sie­rung eine Maß­nah­me zum Schutz von per­so­nen­be­zo­ge­nen Daten. Der Prozess der An­ony­mi­sie­rung selbst ist im Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten zu do­ku­men­tie­ren. Die An­ony­mi­sie­rung un­ter­fällt dem Begriff der Ver­ar­bei­tung und bedarf als solche Rechtsgrundlagen.1

Art. 24 Abs. 1 Satz 2 DS-GVO nor­miert, dass „Diese Maß­nah­men werden er­for­der­li­chen­falls über­prüft und ak­tua­li­siert“ iVm Art. 5 Abs. 2 DS-GVO „Der Ver­ant­wort­li­che ist für die Ein­hal­tung des Ab­sat­zes 1 (Grund­sät­ze für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten) ver­ant­wort­lich und muss dessen Ein­hal­tung nach­wei­sen können („Re­chen­schafts­pflicht“). Im Hin­blick auf die Si­cher­heit der Ver­ar­bei­tung ist hier vor allem lit. f) re­le­vant: […] die eine an­ge­mes­se­ne Si­cher­heit der per­so­nen­be­zo­ge­nen Daten ge­währ­leis­tet […]. Wie die Do­ku­men­ta­ti­on zu er­fol­gen, der Nach­weis zu ge­währ­leis­ten ist, de­fi­niert die DS-GVO (auch das BDSG) auch hier nicht. Es bleibt jeder Or­ga­ni­sa­ti­on selbst über­las­sen, wie sie den ge­setz­li­chen An­for­de­run­gen nach­kommt. Immer im Hin­blick auf den Ver­ar­bei­tungs­zweck und der Risiken der Verarbeitung.

Prüf­pflich­ten

Im Hin­blick auf die eigenen Prüf­pflich­ten und/oder der Kon­troll­pflich­ten durch einen Auf­trag­ge­ber sowie Prü­fun­gen durch Be­hör­den, sollten die Nach­wei­se derart ge­stal­tet sein, dass ein Dritter diese auch prüfen und nach­voll­zie­hen kann. Daraus ergibt sich, dass ein­fa­che Check­lis­ten (i.S.v. An­kreu­zen) oder die Nennung von ein­zel­nen Be­griff­lich­kei­ten bzw. Kurz­be­schrei­bun­gen, wie z.B. „Pass­wort­richt­li­nie vor­han­den“, „Back-up wird er­stellt“ nicht aus­rei­chend sind und auch nicht sein können.

Ob man Nach­wei­se in einem Do­ku­ment zu­sam­men­fasst und/oder über mehrere Do­ku­men­te ver­teilt, bleibt jeder Or­ga­ni­sa­ti­on selbst über­las­sen und ist si­cher­lich auch von der Kom­ple­xi­tät der Da­ten­si­cher­heits­maß­nah­men und der er­for­der­li­chen Maß­nah­men zur Ri­si­ko­mi­ni­mie­rung abhängig.

Zu­sam­men­fas­sung

Daten­schutz ist kein Produkt. Daten­schutz ist ein Prozess. Dies gilt auch aber vor allem für die Si­cher­heit der Ver­ar­bei­tung. Die er­grif­fe­nen Maß­nah­men zur Da­ten­si­cher­heit sollten re­gel­mä­ßig im Hin­blick auf die Ak­tua­li­tät (Stand der Technik) sowie auf die Risiken der Ver­ar­bei­tung geprüft und ak­tua­li­siert werden. Aus der DS-GVO ergibt sich die Do­­ku­­men­­ta­­ti­ons- und Nachweispflicht.

Eine un­zu­rei­chen­de Si­cher­heit der Ver­ar­bei­tung mit Geld­bu­ße gem. Art. 84 Abs. 4 DS-GVO sank­tio­niert werden kann und sie zu einer Un­zu­läs­sig­keit der Ver­ar­bei­tung führen kann. Wobei die Si­cher­heit der Ver­ar­bei­tung selbst, kein Er­laub­nis­tat­be­stand für eine Ver­ar­bei­tung darstellt.

Neben der DS-GVO und dem BDSG fordern diverse Gesetze den Nach­weis von tech­­nisch-or­­ga­­ni­­sa­­to­ri­­schen Maß­nah­men wie z.B. das GeschGehG, TKG, TTDSG, HinSch-E, VerbSanG-E. Diese Gesetze haben zwar nicht un­mit­tel­bar den Schutz von per­so­nen­be­zo­ge­nen Daten im Fokus, aber viel­fach sind die er­grif­fe­nen IT-Si­cher­heits­­­ma­ß­­nah­­men iden­tisch. Der Ge­setz­ge­ber fordert nicht, dass „für jedes Gesetz“ eine ge­son­der­te Do­ku­men­ta­ti­on er­stellt werden muss – die nach der DS-GVO ist re­gel­mä­ßig um­zu­set­zen und ist im Hin­blick auf das (Datenschutz-)Managementsystem wahr­schein­lich die umfassendste.

Eine „um­fas­sen­de“ Do­ku­men­ta­ti­on der Maß­nah­men zur Da­ten­si­cher­heit im Rahmen des Da­ten­­­schutz-Ma­­na­ge­­men­t­­sys­­tems sowie eine „gute“ Re­chen­schafts­pflicht ist daher eine sehr gute Grund­la­ge – als Prä­ven­ti­ons­maß­nah­me und sorgt auch für „saubere“ Pro­zes­se. Un­ge­ach­tet der ge­setz­li­chen An­for­de­rung zur Nach­­weis- und Dokumentationspflicht.

 

Und auch hier gilt: Der Datenschutz­beauftragte ist recht­zei­tig ein­zu­be­zie­hen, am besten von Anfang an (Art. 38 Abs. 1 DSGVO).

AdOrga Solutions GmbH – Ihre Datenschutz-Diplomaten.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lö­sun­gen für pro­fes­sio­nel­len und fach­kun­di­gen Datenschutz.

Link-Tipps:

Bun­des­ver­band IT-Si­cher­heit e. V. “Hand­rei­chung zum Stand der Technik“
https://media-exp1.licdn.com/dms/document/C511FAQH2Qy5CKFo3wQ/
fee­d­s­ha­re-do­­cu­­ment-pdf-ana­­ly­­zed/0?e=1582556400&v=beta&t=
oPsovAf93b3kEY_LGRNERGxRjg8tYxEMuuZ5A3j0VOo

ULD – Das Standard-Datenschutzmodell
https://www.baden-wuerttemberg.datenschutz.de/datenschutzthemen

VdS – Richt­li­ni­en zur Um­set­zung der DSGVO
https://shop.vds.de/de/download/ccb240fd9da9da2ab92f63c27c36cc2c

BSI Daten­schutz
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/CON/CON_2_Datenschutz.html

BSI – IT Grund­schutz­kom­pen­di­um 2020
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/
Kompendium/IT_Grundschutz_Kompendium_Edition2020.pdf?__
blob=publicationFile&v=6

vgl. Öf­fent­li­ches Kon­sul­ta­ti­ons­ver­fah­ren des BfDI zum Thema An­ony­mi­sie­rung unter der DSGVO unter be­son­de­rer Be­rück­sich­ti­gung der TK-Branche vom 10.02.2020, S. 5.

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!