Die Unternehmen werden zur Gewährleistung der Sicherheit der Verarbeitung (Art. 32 DS-GVO) verpflichtet. Sie müssen, sowohl der Verantwortliche als auch der Auftragsverarbeiter, geeignete technische und organisatorische Maßnahmen ergreifen. Es ist ein dem Risiko angemessenes Schutzniveau bei der Verarbeitung personenbezogener Daten zu gewährleisten und einzuhalten.
Grundsätze
Bei der Datenschutz-Grundverordnung, wie auch bereits beim BDSG a.F., handelt es sich um ein Verbotsgesetz mit Erlaubnisvorbehalt – die Verarbeitung von personenbezogenen Daten ist grundsätzlich verboten. Die Verarbeitung ist nur rechtmäßig, wenn eine der in Art. 6 Abs. 1 DS-GVO Rechtmäßigkeit der Verarbeitung genannte Bedingung erfüllt ist. Die Bedingungen des Abs. 1 lit. a – f DS-GVO sind abschließend:
Die Voraussetzung für eine Verarbeitung von personenbezogenen Daten setzt folglich eine ausreichende und tragfähige Rechtsgrundlage voraus, wie auch die Gewährleistung der Sicherheit der Datenverarbeitung.
Grundlagen
Die Grundlagen für die Sicherheit der Verarbeitung ergeben sich, neben dem Art. 6 DS-GVO, ebenfalls aus den Verarbeitungsgrundsätzen des Art. 5 der DS-GVO. Es sind geeignete Maßnahmen zur Eindämmung des Risikos – dem Risiko für die Rechte und Freiheiten der betroffenen Person – zu implementieren (Artt. 25. Abs. 1 und 32 Abs. 1 DS-GVO). Die Auswahl geeigneter Maßnahmen ist abhängig von den Risiken (Risikobewertung).
An vorderster Stelle stehen die Forderung und die Gewährleistung eines angemessenen Schutzniveaus hinsichtlich des Risikos für die Rechte und Freiheiten natürlicher Personen.
Der für die Verantwortung des für die Verarbeitung Verantwortlichen setzt gemäß Art. 24 DSGVO voraus, dass die geeigneten technischen und organisatorischen Maßnahmen unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit definiert und gewährleistet werden. Diese Maßnahmen sind erforderlichenfalls zu überprüfen und zu aktualisieren. Die Erforderlichkeit einer Überprüfung und Aktualisierung ergibt sich ebenfalls aus Art. 5 Abs. 2 DS-GVO. Eine Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art. 5 Abs. 1 DS-GVO kann nur gewährleistet werden, wenn die Einhaltung auch regelmäßig geprüft wird und diese Prüfung auch dokumentiert wird („Rechenschaftspflicht“).
Sicherheit der Verarbeitung
Die Grundsätze der Datensicherheit und deren Forderung resultiert aus Art. 32 DS-GVO. Für Systeme und Dienste im Zusammenhang mit der Verarbeitung der personenbezogenen Daten auf Dauer ist sicherzustellen:
Grundlage ist zuvorderst Art. 5 DS-GVO – Die Grundsätze für die Verarbeitung personenbezogener Daten sind zu gewährleisten. Die Sicherheit der Verarbeitung „unterstützt“ den Verarbeitenden, sei es der Verantwortlicher oder der Auftragsverarbeiter. Unter Berücksichtigung der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen, die dafür ausgelegt sind, die Datenschutzgrundsätze wirksam umzusetzen (vgl. Art. 25 DS-GVO).
Dokumentation und Nachweispflicht
Der Gesetzgeber macht keine Vorgaben dahingehend, wie die Sicherheit der Verarbeitung zu dokumentieren, zu überprüfen und nachzuweisen ist. Diverse Gesetzesstellen, z.B. Art. 6 Abs. 2 DS-GVO, Artt. 24, 25 DS-GVO, sagen nur, dass es, regelmäßig und dem Risiko angemessen, zu tun ist.
Hilfreich ist hier ein Blick in das Bundesdatenschutzgesetz, konkret § 64 BDSG Anforderungen an die Sicherheit der Datenverarbeitung. Abs. 3 gibt Anhaltspunkte möglicher technisch-organisatorischer Maßnahmen:
- Zugangskontrolle
- Datenträgerkontrolle
- Speicherkontrolle
- Benutzerkontrolle
- Zugriffskontrolle
- Übertragungskontrolle
- Eingabekontrolle
- Transportkontrolle
- Wiederherstellbarkeit
- Zuverlässigkeit
- Datenintegrität
- Auftragskontrolle
- Verfügbarkeitskontrolle
- Trennbarkeit.
Diese Auflistung war bereits in ähnlicher Weise in § 9 Anlage 1 BDSG a.F. zu finden und ist gut geeignet, zum einen die eigenen Maßnahmen bei einer automatisierten Verarbeitung nach einer Risikobewertung zu prüfen. Andererseits aber auch als Checkliste zur Prüfung der Sicherheit der Verarbeitung eines Auftragsverarbeiters, der personenbezogene Daten im Auftrag für den Verantwortlichen verarbeitet. Abs. 2 des § 64 BDSG regelt, dass Maßnahmen u.a. Pseudonymisierung und Verschlüsselung umfassen, soweit solche Mittel in Anbetracht der Verarbeitungszwecke möglich sind.
Maßnahmen
Den Begriff „Anonymisierung“ kennt weder die DS-GVO noch das BDSG. Über anonymisierte Daten lässt sich zu einer natürlichen Person kein Bezug (mehr) herstellen bzw. sie ist nicht identifizierbar. Unabhängig davon, ist die Anonymisierung eine Maßnahme zum Schutz von personenbezogenen Daten. Der Prozess der Anonymisierung selbst ist im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren. Die Anonymisierung unterfällt dem Begriff der Verarbeitung und bedarf als solche Rechtsgrundlagen.1
Art. 24 Abs. 1 Satz 2 DS-GVO normiert, dass „Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert“ iVm Art. 5 Abs. 2 DS-GVO „Der Verantwortliche ist für die Einhaltung des Absatzes 1 (Grundsätze für die Verarbeitung personenbezogener Daten) verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“). Im Hinblick auf die Sicherheit der Verarbeitung ist hier vor allem lit. f) relevant: […] die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet […]. Wie die Dokumentation zu erfolgen, der Nachweis zu gewährleisten ist, definiert die DS-GVO (auch das BDSG) auch hier nicht. Es bleibt jeder Organisation selbst überlassen, wie sie den gesetzlichen Anforderungen nachkommt. Immer im Hinblick auf den Verarbeitungszweck und der Risiken der Verarbeitung.
Prüfpflichten
Im Hinblick auf die eigenen Prüfpflichten und/oder der Kontrollpflichten durch einen Auftraggeber sowie Prüfungen durch Behörden, sollten die Nachweise derart gestaltet sein, dass ein Dritter diese auch prüfen und nachvollziehen kann. Daraus ergibt sich, dass einfache Checklisten (i.S.v. Ankreuzen) oder die Nennung von einzelnen Begrifflichkeiten bzw. Kurzbeschreibungen, wie z.B. „Passwortrichtlinie vorhanden“, „Back-up wird erstellt“ nicht ausreichend sind und auch nicht sein können.
Ob man Nachweise in einem Dokument zusammenfasst und/oder über mehrere Dokumente verteilt, bleibt jeder Organisation selbst überlassen und ist sicherlich auch von der Komplexität der Datensicherheitsmaßnahmen und der erforderlichen Maßnahmen zur Risikominimierung abhängig.
Zusammenfassung
Datenschutz ist kein Produkt. Datenschutz ist ein Prozess. Dies gilt auch aber vor allem für die Sicherheit der Verarbeitung. Die ergriffenen Maßnahmen zur Datensicherheit sollten regelmäßig im Hinblick auf die Aktualität (Stand der Technik) sowie auf die Risiken der Verarbeitung geprüft und aktualisiert werden. Aus der DS-GVO ergibt sich die Dokumentations- und Nachweispflicht.
Eine unzureichende Sicherheit der Verarbeitung mit Geldbuße gem. Art. 84 Abs. 4 DS-GVO sanktioniert werden kann und sie zu einer Unzulässigkeit der Verarbeitung führen kann. Wobei die Sicherheit der Verarbeitung selbst, kein Erlaubnistatbestand für eine Verarbeitung darstellt.
Neben der DS-GVO und dem BDSG fordern diverse Gesetze den Nachweis von technisch-organisatorischen Maßnahmen wie z.B. das GeschGehG, TKG, TTDSG, HinSch-E, VerbSanG-E. Diese Gesetze haben zwar nicht unmittelbar den Schutz von personenbezogenen Daten im Fokus, aber vielfach sind die ergriffenen IT-Sicherheitsmaßnahmen identisch. Der Gesetzgeber fordert nicht, dass „für jedes Gesetz“ eine gesonderte Dokumentation erstellt werden muss – die nach der DS-GVO ist regelmäßig umzusetzen und ist im Hinblick auf das (Datenschutz-)Managementsystem wahrscheinlich die umfassendste.
Eine „umfassende“ Dokumentation der Maßnahmen zur Datensicherheit im Rahmen des Datenschutz-Managementsystems sowie eine „gute“ Rechenschaftspflicht ist daher eine sehr gute Grundlage – als Präventionsmaßnahme und sorgt auch für „saubere“ Prozesse. Ungeachtet der gesetzlichen Anforderung zur Nachweis- und Dokumentationspflicht.
Und auch hier gilt: Der Datenschutzbeauftragte ist rechtzeitig einzubeziehen, am besten von Anfang an (Art. 38 Abs. 1 DSGVO).
AdOrga Solutions GmbH – Ihre Datenschutz-Diplomaten.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.
Link-Tipps:
Bundesverband IT-Sicherheit e. V. “Handreichung zum Stand der Technik“
https://media-exp1.licdn.com/dms/document/C511FAQH2Qy5CKFo3wQ/
feedshare-document-pdf-analyzed/0?e=1582556400&v=beta&t=
oPsovAf93b3kEY_LGRNERGxRjg8tYxEMuuZ5A3j0VOo
ULD – Das Standard-Datenschutzmodell
https://www.baden-wuerttemberg.datenschutz.de/datenschutzthemen
VdS – Richtlinien zur Umsetzung der DSGVO
https://shop.vds.de/de/download/ccb240fd9da9da2ab92f63c27c36cc2c
BSI Datenschutz
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/CON/CON_2_Datenschutz.html
BSI – IT Grundschutzkompendium 2020
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/
Kompendium/IT_Grundschutz_Kompendium_Edition2020.pdf?__
blob=publicationFile&v=6