Mit <kes>+ lesen

Datensicherheit in der DSGVO – Anforderungen und Maßnahmen

Fünf Jahre nach Inkrafttreten der EU Datenschutzgrundverordnung (DSGVO) im Mai 2016 hat das Bedürfnis für den technisch-organisatorischen Schutz bei der Verarbeitung personenbezogener Daten nicht abgenommen. Im Gegenteil belegen Vorfälle aus der jüngsten Vergangenheit immer wieder, dass aufsichtsbehördliche Sanktionen verstärkt auf die Missachtung gesetzlicher Anforderungen zur Datensicherheit zurückzuführen sind (vgl. [1]). Der vorliegende Beitrag liefert zum DSGVO-Jubiläum noch einmal eine aktualisierte Zusammenfassung der Anforderungen an die Datensicherheit und beleuchtet deren Umsetzung sowie relevante gesetzessystematische Zusammenhänge.

Lesezeit 15 Min.

Ohne Datensicherheit gibt es keinen Datenschutz – zahlreiche Unternehmen mussten bereits erleben, dass infolge eines „Data-Breaches“ personenbezogene Daten, die dem Schutzregime der EU Datenschutzgrundverordnung (DSGVO, [8]) unterfallen, unbefugt offengelegt wurden. Gerade deshalb bestimmt die Grundverordnung an verschiedenen Stellen die Pflicht zu technisch-organisatorischen Schutzmaßnahmen (TOM), damit der Datenschutz nicht nur auf dem Papier geschrieben steht.

Eine Datenverarbeitung kann nur dann den Rechtmäßigkeitsanforderungen genügen, wenn auch Sicherheitsmaßnahmen ergriffen werden. Datensicherheit, verstanden als die Absicherung persönlicher Informationen gegen unbefugte Offenlegungen, Übermittlungen, Veränderungen oder (gleichermaßen vorsätzliche wie fahrlässige) Zerstörungen ist somit untrennbarer Bestandteil eines effektiven Datenschutzes und zwingend für eine rechtskonforme Datenverarbeitung im Sinne der DSGVO notwendig [2].

Systematik in der DSGVO

Mit Blick auf die Systematik ist die Datensicherheit in der DSGVO an unterschiedlichen Stellen geregelt. So reicht die gesetzliche Bezugnahme auf die technisch-organisatorische Absicherung von IT-Systemen, in denen personenbezogene Daten verarbeitet werden, von allgemeinen Verarbeitungsgrundsätzen bis hin zu spezifischen Anforderungen. Relevant sind dabei vor allem die Vorschriften in den Art. 5, 24, 25, 28, 32 und 35 DSGVO, die im Folgenden vorgestellt werden. Darüber hinaus sind für Data-Breaches Art. 33 DSGVO (Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde) und Art. 34 DSGVO (Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person) zu beachten.

IT-Sicherheits-bezogene Grundsätze der Verarbeitung personenbezogener Daten

Art. 5 DSGVO bestimmt die Grundsätze für die Verarbeitung personenbezogener Daten, die das Fundament einer jeden Verarbeitung personenbezogener Daten bilden – unabhängig vom Zweck der Datenverarbeitung oder vom Erlaubnistatbestand. Mit Blick auf die Datensicherheit relevant sind vor allem Art. 5 Abs. 1 lit. c, d, e und f DSGVO. So müssen personenbezogene Daten zunächst auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Datenminimierung) – man darf keinerlei Daten rechtsgrundlos „auf Vorrat“ speichern. Je weniger Daten im Sinne der Datensparsamkeit folglich verarbeitet werden, umso geringer ist auch das Risiko für die Persönlichkeitssphäre der betroffenen Person.

Außerdem wird vorgeschrieben, dass die verarbeiteten personenbezogenen Daten richtig und auf dem neuesten Stand sein müssen. In diesem Zusammenhang sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (Richtigkeit). Darüber hinaus gilt der Grundsatz der sogenannten Speicherbegrenzung: Dieser besagt, dass personenbezogene Daten in einer Form zu speichern sind, welche die Identifizierung nur so lange ermöglicht, wie es für die Zwecke der Datenverarbeitung erforderlich ist. Die DSGVO geht davon aus, dass anonymisierte Datensätze ein geringeres Risiko für den Datenschutz bedeuten und somit vorzugswürdig sind.

Abschließend fordert der Grundsatz der Integrität und Vertraulichkeit in Art. 5 Abs. 1 lit. f DSGVO eine Datenverarbeitung, die angemessene Sicherheit gewährleistet. Der Grundsatz umfasst den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (TOM). Wichtig ist, dass gemäß Art. 5 Abs. 2 DSGVO der Verantwortliche einer Datenverarbeitung für die Einhaltung vorgenannter Datenschutzgrundsätze verantwortlich ist und dies im Zweifelsfall auch nachweisen können muss (Rechenschaftspflicht).

Verantwortlichkeit für eine sichere Datenverarbeitung

Basierend auf den Grundsätzen der Datenverarbeitung bestimmt Art. 24 DSGVO als Generalnorm die Pflichten des für die Verarbeitung Verantwortlichen. So muss dieser gemäß Art. 24 Abs. 1 DSGVO unter Berücksichtigung der Art, des Umfangs, der Umstände und Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umsetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Datenverarbeitung DSGVO-konform erfolgt. Maßnahmen sind erforderlichenfalls zu überprüfen und zu aktualisieren.

Systematisch ist Art. 24 DSGVO im Zusammenhang mit den weiteren Vorschriften zur Datensicherheit zu sehen – vor allem Art. 25, 32 und 35 DSGVO. Zwar enthält Art. 24 DSGVO nur wenig konkrete Handlungsvorgaben, beschreibt aber einen risikobasierten Ansatz zur Datensicherheit, der sich allgemein durch die Verordnung zieht.

Soweit es um die Realisierung der in der Vorschrift vorausgesetzten TOM geht, bleibt der Wortlaut des Gesetzes vage. Festhalten lässt sich aber, dass technische Maßnahmen den Verarbeitungsvorgang selbst betreffen, wohingegen organisatorische Maßnahmen die Ausgestaltung der äußeren Umstände einer Datenverarbeitung beschreiben. Erwägungsgrund 78 Satz 3 der DSGVO schlägt außerdem beispielhaft verschiedene Maßnahmen vor:

  • Datenminimierung
  • Pseudonymisierung (Veränderung personenbezogener Daten in einer Weise, dass sich ohne Hinzuziehung zusätzlicher Informationen kein Personenbezug mehr hergestellt lässt, vgl. die Definition in Art. 4 Nr. 5 DSGVO)
  • Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten
  • Schaffen von Möglichkeiten für Betroffene, um Datenverarbeitungsvorgänge zu überwachen
  • Möglichkeiten für Verantwortliche, um Sicherheitsfunktionen zu schaffen und zu verbessern

Die Auswahl der zu treffenden Maßnahmen ist dabei von einer Risikoanalyse abhängig, die vor der Datenverarbeitung stattfindet. Zentraler Maßstab ist das Risiko für die Rechte und Freiheiten der Betroffenen. Da jede Verarbeitung personenbezogener Daten nach der Wertung der Verordnung per se risikobehaftet ist, kann das Ergebnis der Risikoanalyse nur sein, ob ein „einfaches Risiko“ oder ein „hohes Risiko“ vorliegt. Dabei gilt der allgemeine Grundsatz aus der Informationssicherheit: Je höher die Wahrscheinlichkeit eines Schadenseintritts und je schwerwiegender der potenzielle Schaden ist, desto höher sind die Anforderungen, die an die TOM zur Einhaltung der Vorgaben aus der DSGVO anzulegen sind (vgl. hierzu und zur folgenden Auflistung Hartung, Art. 24 Rn. 13 in [3]).

Folgende Faktoren können in die Risikoanalyse einbezogen werden:

  • Art der verarbeiteten Daten: manuelle oder automatisierte Datenverarbeitung, Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Art. 9 DSGVO
  • Umfang der verarbeiteten Daten: Beurteilung des Multiplikanden (Zahl der Personen) oder des Multiplikators (Zahl der Datensätze), gegebenenfalls auch im Zusammenhang
  • Umstände der Datenverarbeitung: unter anderem zur Datenverarbeitung eingesetzte IT-Systeme, getroffene Maßnahmen zur Datensicherheit
  • Zwecke: Anlass und Ziel einer Datenverarbeitung, besondere Risiken unter anderem bei Aufhebung einer Pseudonymisierung, Personalanalysen, Profiling

Bei einem Blick auf den Regelungsgehalt des Art. 24 DSGVO wird letztlich deutlich, dass die technisch-organisatorische Verantwortlichkeit für die Verarbeitung personenbezogener Daten auch, aber eben nicht ausschließlich die Datensicherheit umfasst.

Designgrundsätze

Dass Datensicherheit in der DSGVO nicht abstrakt und auf einzelne Vorschriften begrenzt betrachtet werden kann, sondern in der Zusammenschau verschiedener Grundprinzipien und flankierenden Regelungen der Datenverarbeitung zu sehen ist, wird vor allem durch die neu in die DSGVO aufgenommene Regelung des Art. 25 „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ deutlich.

Die Vorschrift schreibt zwei Prinzipien vor: So ist durch den Verantwortlichen zunächst der Datenschutz durch Technikgestaltung sicherzustellen (Privacy by Design, Art. 25 Abs. 1 DSGVO). Datenschutzanforderungen sind also nicht erst beim Betrieb, sondern bereits im Rahmen der Entwicklung von Produkten zu berücksichtigen. Außerdem sind die für den Datenschutz erforderlichen technischen Voreinstellungen vorab so zu wählen, dass eine Verarbeitung personenbezogener Daten nur insoweit stattfindet, als diese auch notwendig ist (Privacy by Default, Art. 25 Abs. 2 DSGVO). Beide Grundsätze zielen darauf ab, die technische Realisierung von Datenschutz nicht nur wirtschaftlich handhabbarer, sondern auch effektiver zu machen, indem man einen präventiven Ansatz verfolgt.

Art. 25 Abs. 1 DSGVO benennt verschiedene Faktoren zur Umsetzung von Privacy by Design:

  • Stand der Technik
  • Implementierungskosten
  • Art, Umfang, Umstände und Zwecke der Datenverarbeitung
  • Verarbeitungsrisiken unter Zugrundelegung ihrer Eintrittswahrscheinlichkeit und Schwere

Vom Verantwortlichen sind geeignete TOM vorzusehen, die dafür ausgelegt sind, die Grundsätze, wie etwa die Datenminimierung, wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen aus der DSGVO zu genügen. Verantwortlichen steht bei der Umsetzung allerdings ein gewisses Ermessen zu – beispielhaft wird als Maßnahme die schon bekannte Pseudonymisierung aufgeführt.
Weitere Maßnahmen können (nicht abschließend) jedoch auch sein (vgl. Gola, Art. 25, Rn. 16 f. in [3]):

  • Datenverschlüsselung
  • Aggregieren von Daten zur Datenminimierung
  • TOM nach Art. 32 DSGVO (siehe unten)
  • Vorgangsdokumentation durch Logfiles (u. a. zur Erfüllung des Nachweises gem. Art. 5 Abs. 2 DSGVO)
  • Personalschulungen und Awarenesstrainings
  • Rollen- und Berechtigungskonzepte für den Datenzugriff
  • Löschkonzepte zur Datenminimierung/Speicherbegrenzung
  • Durchführung einer Datenschutz-Folgenabschätzung (DSFA, siehe unten)

Auch das Konzept der Privacy by Default gemäß Art. 25 Abs. 2 DSGVO weist Schnittstellen zur Datensicherheit auf: So gilt die Verpflichtung ausweislich des Gesetzes für den Umfang und die Menge der verarbeiteten personenbezogenen Daten, die Speicherfrist und die Zugänglichkeit der Daten. Auch ist sicherzustellen, dass Daten vertraulich sind, folglich also schon durch Voreinstellung gewährleistet ist, dass personenbezogene Daten nicht ohne Weiteres einer unbestimmten Zahl natürlicher Personen als Empfängern zugänglich gemacht werden – die Zugänglichmachung für Maschinen ist hingegen weniger risikobehaftet (siehe Gola, Art. 25, Rn. 30 in [3]).

Auftrags(daten)verarbeitung

In Zeiten von Outsourcing und Co. darf der Blick auf Art. 28 DSGVO nicht unterbleiben, der die sogenannte Auftragsverarbeitung regelt, also eine Konstellation, in der Datenverarbeitungsprozesse zu externen Dienstleistern ausgelagert werden – mit der grundsätzlichen Folge erhöhter Datenschutzrisiken als gesetzlicher Wertung. Begrifflich zu unterscheiden ist dabei zwischen dem Verantwortlichen (Art. 4 Nr. 7 DSGVO) und dem Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) als einer Stelle, die im Auftrag des Verantwortlichen handelt.

Die Verordnung regelt die Auftragsverarbeitung verhältnismäßig detailliert, die zentrale Anforderung findet man unmittelbar in Art. 28 Abs. 1 DSGVO: Der Verantwortliche arbeitet nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete TOM so durchgeführt werden, dass die Verarbeitung im Einklang mit der DSGVO erfolgt. Der Verantwortliche kann sich deshalb auch nicht ohne Weiteres seiner gesetzlichen Pflichten entziehen, indem er eine andere Stelle mit der Datenverarbeitung beauftragt.

Die an die Auftragsverarbeitung anzulegenden rechtlichen sowie technisch-organisatorischen Anforderungen sind hochkomplex und lassen sich daher im Rahmen dieses Beitrags nur überblicksartig darstellen. Besonders problematisch kann es darüber hinaus werden, wenn Auftragsverarbeiter in Drittländern außerhalb der EU eingesetzt werden, in denen kein vergleichbares Datenschutzniveau herrscht.

Mit Blick auf die Datensicherheit einer Auftragsverarbeitung lassen sich folgende Vorgaben aus dem Gesetz entnehmen:

  • Die Auftragsverarbeitung erfolgt auf der Grundlage eines Vertrags (schriftlich/elektronisch), der den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Im Hinblick auf die inhaltliche Ausgestaltung dieses Vertrags fordert Art. 28 Abs. 3 DSGVO, dass Daten grundsätzlich nur auf dokumentierte Weisung des Verantwortlichen hin zu verarbeiten sind – dies umfasst auch die Datenübermittlung ins Ausland. Außerdem müssen sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichten oder einer gesetzlichen Verschwiegenheitspflicht unterliegen sowie alle Maßnahmen zur Datensicherheit gem. Art. 32 DSGVO (siehe unten) ergriffen und der Verantwortliche bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO durch den Auftragsverarbeiter unterstützt werden. Nach Abschluss der Leistungserbringung sind grundsätzlich alle personenbezogenen Daten zu löschen, außerdem hat der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung seiner datenschutzrechtlichen Nachweispflichten zu unterstützen.
  • Für die Unterbeauftragung weiterer Auftragsverarbeiter stellt das Gesetz besondere Anforderungen, die mit den damit verbundenen erhöhten Gefahren für Datensicherheit und Datenschutz einhergehen: So bestimmt Art. 28 Abs. 2 DSGVO, dass der Auftragsverarbeiter keine weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch nehmen darf. Für den Fall einer allgemeinen Genehmigung ist die vorherige Information des Verantwortlichen erforderlich, der die Möglichkeit hat, gegen die Änderungen am Verarbeitungsverhältnis Einspruch zu erheben. Auch bei Unterbeauftragung bleibt gemäß Art. 28 Abs. 4 DSGVO die datenschutzrechtliche Verantwortlichkeit des ersten Auftragsverarbeiters fortbestehen. Darüber hinaus muss die Einhaltung der Anforderungen aus der DSGVO auch zwischen Auftragsverarbeiter und Unterauftragnehmern vertraglich sichergestellt werden.

Die genannten Regelungen machen deutlich, dass auch der Auftragsverarbeiter umfassenden datensicherheitsrechtlichen Pflichten unterliegt. Sollte er überdies die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten selbst bestimmen (was eigentlich das Charakteristikum des Verantwortlichen darstellt), gilt auch der Auftragsverarbeiter mit Blick auf diese durch ihn bestimmte Datenverarbeitung als Verantwortlicher.

Sichere Verarbeitung

Die zentrale Vorschrift zur Datensicherheit in der DSGVO ist Art. 32, der vor allem auch die allgemeinen Vorgaben zur Verantwortlichkeit für eine sichere Datenverarbeitung nach Art. 24 DSGVO weiter konkretisiert. Art. 32 DSGVO nimmt sowohl den Verantwortlichen als auch den Auftragsverarbeiter (zusätzlich zu seinen vorgenannten vertraglichen Pflichten gem. Art. 28 DSGVO) gleichermaßen in die Pflicht. Die Vorschrift gilt dabei nicht nur für die Phase der eigentlichen Datenverarbeitung, sondern auch für vorgelagerte Planungsphasen und erstreckt sich damit über den gesamten Lebenszyklus einer Verarbeitung von personenbezogenen Daten bis hin zu ihrer Löschung.

Bei einem Blick in Absatz 1 der Regelung wird jedoch schnell deutlich, dass sich der an die Datensicherheit anzulegende Maßstab nicht generell bestimmen lässt, sondern das Ergebnis einer interessengerechten Einzelfallabwägung ist. So haben der Verantwortliche und der Auftragsverarbeiter geeignete TOM zu treffen, um ein dem Risiko angemessenes Schutzniveau der Datenverarbeitung zu gewährleisten, und dabei folgende Faktoren zu berücksichtigen:

  • Stand der Technik (abzugrenzen von den „allgemein anerkannten Regeln der Technik“ und dem „Stand von Wissenschaft und Technik“ – zum besseren begrifflichen Verständnis siehe etwa Rn. 252 ff. in [4])
  • Implementierungskosten
  • Art, Umfang, Umstände und Zwecke der Verarbeitung von personenbezogenen Daten
  • Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen

Um das gesetzlich vorausgesetzte Niveau an Datensicherheit zu realisieren, stellt Art. 32 Abs. 1 DSGVO beispielhaft verschiedene Maßnahmen und Ziele vor:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Sicherstellung der dauerhaften Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten
  • Rasche Wiederherstellung der Verfügbarkeit personenbezogener Daten sowie Zugang zu denselben bei einem physischen oder technischen Zwischenfall
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Welche TOM dabei tatsächlich (auch über den in Art. 32 Abs. 1 DSGVO genannten Katalog hinaus) einschlägig sind, richtet sich nach einer Verhältnismäßigkeitsprüfung im jeweiligen Einzelfall unter Berücksichtigung der Verarbeitungsrisiken im Sinne einer Risikomatrix sowie des wirtschaftlichen Aufwands zur Umsetzung.

Da die Datensicherheit aber eben doch vornehmlich eine technische Frage ist, können an dieser Stelle Maßnahmen und Ziele Verwendung finden, die schon aus der allgemeinen Informationssicherheit bekannt sind (siehe dazu auch Voskamp, in [2]):

  • Zugangs-, Datenträger-, Speicher-, Benutzer-, Übertragungs-, Eingabe- und Transportkontrolle
  • Zugriffs-, Weitergabe- und Auftragskontrolle
  • Datentrennung
  • Zuweisung von Verantwortlichkeiten, Aufgaben und Befugnissen
  • Verfahrensvorschriften und Handlungsanweisungen inklusive Besucherkontrollen
  • Ergreifen baulicher Maßnahmen
  • Ergreifen technischer Maßnahmen wie Benutzerkonten, Authentifizierungsverfahren, Passwortvorgaben, biometrische Nutzererkennung, VPN, Verschlüsselung, Virenschutz, Firewalls, Backup-Systeme
  • Protokollierung

Dr. Dennis-Kenji Kipker ist Wissenschaftlicher Geschäftsführer des Instituts für Informations-, Gesundheits- und Medizinrecht (IGMR) an der Universität Bremen, Vorstandsmitglied der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID), Legal Advisor im Competence Center Information Security and CERT des VDE sowie Executive Director der Certavo GmbH (https://denniskenjikipker.de/).

Stand der Technik

Bei der Umsetzung der Maßnahmen verweist Art. 32 DSGVO auf die Berücksichtigung des Stands der Technik. Diese Generalklausel, die vor allem durch das IT-Sicherheitsgesetz (IT-SiG) für KRITIS-Betreiber geprägt wurde, ist in ihrer Unbestimmtheit Gegenstand kontroverser juristischer Debatten. Die DSGVO selbst definiert den Stand der Technik nicht näher. Zur Auslegung wird vor allem auf die technische Normenreihe ISO/IEC 2700x und auf den IT-Grundschutz des BSI zurückgegriffen. Der TeleTrusT hat eine umfassende Handreichung entwickelt, die die erforderlichen technisch-organisatorischen Maßnahmen zur Datensicherheit nach der DSGVO darlegt und konkretisiert. Diese Dokumente bieten wertvolle Hinweise zur Einordnung der Generalklausel und zur Implementierung eines geeigneten Managementzyklus.

Datenschutz-Folgenabschätzung (DSFA)

Dass die DSGVO einen ganzheitlichen Ansatz zur Realisierung von Datenschutz und Datensicherheit verfolgt, wird bei einem Blick in Art. 35 des Gesetzes deutlich, der die Datenschutz-Folgenabschätzung (DSFA) regelt, die neu in die DSGVO aufgenommen wurde (zur Entstehungsgeschichte und Intention siehe Hansen, Art. 35 DSGVO, Rn. 7 ff. in [6]).

Wenn eine Form der Verarbeitung personenbezogener Daten – besonders unter Verwendung neuer Technologie – aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, fordert Art. 35 Abs. 1 DSGVO, dass der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführt. Im Rahmen sogenannter Positivlisten haben die Datenschutzaufsichtsbehörden gemäß Art. 35 Abs. 4 DSGVO eine Reihe von Verarbeitungsvorgängen veröffentlicht, für die eine DSFA durchzuführen ist, die vor der Datenverarbeitung in jedem Falle konsultiert werden sollten [7]. Bei einem Blick in die Liste fällt auf, dass dort zahlreiche heute gängige Datenverarbeitungsvorgänge als besonders risikobehaftet eingestuft werden.

Der Bezug zur Datensicherheit ergibt sich im Rahmen der DSFA auf zweierlei Weise: Nach Erwägungsgrund 84 der DSGVO sind bei der Wahl der eine Datenverarbeitung flankierenden TOM die Ergebnisse der DSFA zu berücksichtigen. Außerdem schreibt Art. 35 Abs. 7 DSGVO selbst bereits vor, dass die DSFA neben der Beschreibung der Verarbeitungsvorgänge und der Risikobewertung auch die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen – einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren – enthalten muss, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis der DSGVO-Konformität erbracht wird. Diese Abhilfemaßnahmen können bei risikoträchtigen Datenverarbeitungen somit auch TOM zur Datensicherheit umfassen.

Fazit

Die Datensicherheit ist in der DSGVO ein vielschichtiges und komplexes Thema, das sich in verschiedenen Regelungsinhalten des Gesetzes mit jeweils unterschiedlichen Bezugspunkten wiederfindet. Bei der Umsetzung effektiver Datensicherheit bei der Verarbeitung von personenbezogenen Daten ist folglich ein ganzheitlicher Blick auf die DSGVO wichtig.

Generell sollte die Datensicherheit im Alltag mittlerweile eines fast jeden Unternehmens nicht nur als
sanktionsbewehrte Complianceanforderung eine Rolle spielen, sondern – ähnlich wie die Informationssicherheit im Allgemeinen – aktiv und von Anfang an in Entwicklungs- und Geschäftsprozesse eingebunden werden. Je früher dabei „Privacy by Design“ umgesetzt wird, umso größer ist nicht nur der Vorteil für den Kunden, sondern auch für das Unternehmen selbst.

Literatur

[1] Freshfields Bruckhaus Deringer, Global data risk, The most active regulators, the biggest fines – and the conduct in the spotlight, März 2021, www.freshfields.com/en-gb/our-thinking/campaigns/digital/cyber-attacks-data-breaches-litigation/global-data-risk
[2] Dennis-Kenji Kipker (Hrsg.), Cybersecurity, Rechtshandbuch, C. H. Beck, April 2020, ISBN 978-3-406-73011-5
[3] Jürgen Kühling und Benedikt Buchner (Hrsg.), Datenschutz-Grundverordnung – Bundesdatenschutzgesetz,
Kommentar, 3. Auflage, C. H. Beck, September 2020, ISBN 978-3-406-74994-0
[4] Bundesministerium der Justiv und für Verbraucherschutz (BMJV, Hrsg.), Handbuch der Rechtsförmlichkeit, 3. Auflage, September 2008, www.bmjv.de/SharedDocs/Downloads/DE/Themen/RechtsdurchsetzungUndBuerokratieabbau/HandbuchDerRechtsfoermlichkeit_deu.pdf
[5] TeleTrusT – Bundesverband IT-Sicherheit e. V., IT-SiG und DSGVO: Handreichung zum „Stand der Technik“, Technische und organisatorische Maßnahmen, Version 1.8, Februar 2021, www.teletrust.de/publikationen/broschueren/stand-der-technik/
[6] Dr. Stefan Brink, Prof. Dr. Heinrich Amadeus Wolff, Beck’scher Online-Kommentar Datenschutzrecht,
35. Edition, Februar 2021, https://beckonline.beck.de/vpath=bibdata/komm/BeckOKDatenS_35/cont/BECKOKDATENS.htm (kostenpflichtig)
[7] Datenschutzkonferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder (DSK),
Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist, Version 1.1, Oktober 2018, www.datenschutzkonferenz-online.de/media/ah/20181017_ah_DSK_DSFA_Muss-Liste_Version_1.1_Deutsch.pdf
[8] intersoft consulting, Datenschutzgrundverordnung (DSGVO) mit Erwägungsgründen und Querverweisen
zum BDSG, https://dsgvo-gesetz.de
[9] Niels Lepperhoff, Thomas Müthlein, DatenschutzGrundverordnung: Neue Vorschriften – auch für die
Security!, 2016#2 S. 54
[10] Stefan Jaeger, Bußgeldbemessung nach DSGVO, 2019#6, S. 16
[11] Stefan Jaeger, Standard-Datenschutzmodell 2.0 a, Neuer Leitfaden für die Umsetzung der DSGVO, 2020#1, S. 28
[12] Henrik Hanßen, Aleksandra Sowa, Meldepflichten an Behörden nach DSGVO, ITSiG und NIS-Richtlinie, 2018#4, S. 20
[13] Jens Eckhardt, Security-Breach-Notifications – Meldepflicht und Risiken, 2019#1, S. 59
[14] Sunita Ute Saxena, Pascal Schmidt, Christian Schmitt, Barbara Willkomm, Richtig melden, Synergien bei Meldepflichten zu IT-Sicherheit und Datenschutz nutzen, 2020#4, S. 45

Diesen Beitrag teilen: