Was Sie als CIO über die DSGVO wissen sollten - Anforderungen der DSGVO an die Datensicherheit/Informationssicherheit

1. Inhalt dieses Beitrags

Der Beitrag beschreibt die sich aus der DSGVO ergebenden Anforderungen an die Datensicherheit und weitere ausgewählte Bestimmungen der DSGVO in Bezug auf die Informationssicherheit. Er dient als grundlegende Information für Mitarbeiter und Leiter im Bereich des Informationssicherheits-Managements (CIO, ISM, Data Security Manager).

2) Anforderungen an die Datensicherheit (Informationssicherheit)

a) Grundsatz der Integrität und Vertraulichkeit (Art 5 Buchstabe f DSGVO)

Als grundlegende Bestimmung legt Art. 5 Buchstabe f) DSGVO den Grundsatz der „Integrität und Vertraulichkeit“ fest.

Danach sind personenbezogene Daten in einer Weise zu verarbeiten, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Hierzu sind geeignete technische und organisatorische Maßnahmen zu implementieren. Diese müssen insbesondere einen Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung gewährleisten.

„Personenbezogene Daten“ sind gemäß Art. 4 Nr. 1 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“

Verarbeitung ist in Art. 4 Nr. 1 DSVO definiert als „jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“

b) Rechenschaftspflicht und Risiko-orientierter Ansatz, Art. 5 Abs.2 , 24 Abs. 1 DSGVO

Gemäß § 5 Abs. 2 DSGVO ist das Unternehmen für die Einhaltung des Grundsatzes der „„Integrität und Vertraulichkeit“ verantwortlich und muss dessen Einhaltung nachweisen können (sog „Rechenschaftspflicht“).

Diese Rechenschaftspflicht ist in Art. 24 DSGVO konkretisiert und durch einen risikoorientierten Ansatz ergänzt: Das Unternehmen muss danach unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umsetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung im Einklang mit der DSGVO erfolgt. Diese Maßnahmen müssen erforderlichenfalls überprüft und aktualisiert werden.

Die im Sinne der DSGVO relevanten Risiken beziehen sich auf natürliche Personen (Betroffene) und nicht auf das Unternehmen. Es muss zwischen diesen Datenschutzrisiken (für natürliche Personen) und datenschutzbezogenen Compliance-Risiken (für das Unternehmen) differenziert werden.

Bei den nach der DSGVO relevanten Datenschutzrisiken handelt es sich um Risiken für die Rechte und Freiheiten natürlicher Personen, d.h. um Risiken, die mit der Verarbeitung verbunden sind oder um Risiken einer Verletzung der Datensicherheit.

Datenschutzbezogene Compliance-Risiken resultieren dagegen aus der Nichteinhaltung bzw. einer unzureichenden Einhaltung datenschutzrechtlicher Vorschriften. Mögliche Schäden derartiger Compliance-Risiken können u.a. Bußgelder aber auch Image-Schäden bei Kunden, Mitarbeitern und Partnern sowie finanzielle Verluste sein. Diese Schäden sind jedoch bei der Risikobetrachtung nach der DSGVO nicht unmittelbar relevant, da es bei der DSGVO um die Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen geht. Der risikobasierte Ansatz der DSGDVO unterscheidet sich insofern von demjenigen, der bei sonstigen Informationen des Unternehmens (z.B. Geschäftsstrategien, strategische Planungen, interne Kennzahlen) verwendet wird.  

c) Maßnahmen zur Datensicherheit, Art. 32 DSGVO

Der Allgemeine Grundsatz der Integrität und Vertraulichkeit (Art 5 Buchstabe f DSGVO) ist in Art 32 DSGVO konkretisiert.

Das Unternehmen hat gemäß dieser Bestimmung geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Bei der Angemessenheit sind ausdrücklich zu berücksichtigen: (Art. 32 Abs. 1 DSGVO):  

• Stand der Technik (gemeint sind wohl nicht die neuesten technischen Entwicklungen und Fortschritte, sondern die am Markt verfügbare Technologie)
• Implementierungskosten
• Art, Umfang, Umstände und  Zweck der Verarbeitung
• Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen

Als Beispiele für Datensicherheitsmaßnahmen nennt Artikel 32 Abs. 1 DSGVO.

• die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
• Maßnahmen, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen; (die Begriffe sind in der DSGVO nicht weiter definiert)
• Maßnahmen, die die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen sicherstellen (Wiederherstellung bei einem physischen oder technischen Zwischenfall);
• ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Datensicherheits-Maßnahmen (nicht notwendigerweise durch Externe).

„Pseudonymisierung“ ist nach der Definition in Art. 4 Nr. 5 DSGVO „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.“

Bei der Beurteilung des angemessenen Schutzniveaus nennt Art. 32 Abs. 2 DSGVO beispielhaft folgende mit der Verarbeitung verbundenen Risiken, die zwingend zu berücksichtigen sind:

• die Vernichtung
• der Verlust
• die Veränderung oder
• die unbefugte Offenlegung von (bzw. der unbefugte Zugang hierzu)

personenbezogener Daten (jeweils unbeabsichtigt oder unrechtmäßig).

Die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO oder genehmigter Zertifizierungsverfahrens nach Art. 42 DSGVO kann herangezogen werden, um die Erfüllung der Anforderungen an die Datensicherheit nachzuweisen, Art. 32 Abs. 3 DSGVO.

In dem seit 25. Mai 2018 geltenden Bundesdatenschutzgesetz finden sich keine spezifischen Regelungen zur Datensicherheit. § 9 BDSG-alt samt Anlage in der alten Fassung sind entfallen. § 22 Abs. 2 des neuen BDSG enthält eine Auflistung von möglichen technischen und organisatorischen Maßnahmen zur Datensicherheit. Diese beziehen sich aber nur auf den Umgang mit besonderen Arten von Daten wie z.B. Gesundheitsdaten. Der Katalog kann aber dennoch als Orientierung dienen. 

2. Weitere ausgewählte Bestimmungen mit Bezug zur Datensicherheit (mit CIO Relevanz)

a) Datenschutz durch Technikgestaltung (Privacy by Design), Art. 25 Abs. 1 DSGVO

Gemäß Artikel 25. Abs. 1 DSGVO muss das Unternehmen bereits zum Zeitpunkt der Festlegung der Einzelheiten der geplanten Datenverarbeitung geeignete technische und organisatorische Maßnahmen zur Einhaltung der Datensicherheit treffen.

Es ist damit bereits in der Planungsphase von Projekten oder IT-Systemen bzw. im Rahmen der Anschaffung oder Auswahl von Anbietern die Datensicherheit zwingend zu berücksichtigen. Hierzu bietet sich eine Checkliste bzw. ein standardisierter Prüfkatalog an. 

b) Dokumentation der Datensicherheitsmaßnahmen im Verzeichnis der Verarbeitungstätigkeiten, Art. 30 (1) Buchstabe g) DSGVO

Das Unternehmen muss ein Verzeichnis der Verarbeitungstätigkeiten führen, in dem bestimmte wesentliche Aspekte der einzelnen Verarbeitungstätigkeiten dokumentiert sind, Art. 30 DSGVO. Eine „Verarbeitungstätigkeit“ ist ein Bündel von Verarbeitungsschritten, das einem einheitlichen, übergeordneten Zweck dient. Beispiele für Verarbeitungstätigkeiten sind: 

• Nutzung spezieller Software oder Geräte, mit denen Mitarbeiterdaten erfasst, gespeichert oder ausgewertet werden (z.B. Zeiterfassungssystem, digitale Personalakten, elektronische Zugangskarten, Videoüberwachung, Gehaltabrechnung)
• Standardisierte interne Abläufe, bei denen Mitarbeiterdaten kontinuierlich oder systematisch erfasst, gespeichert oder genutzt werden (z.B. Einstellungstests, Verwaltung und Abwicklung von Fortbildungsmaßnahmen, Entgeltabrechnung).
• Verwendung von Kundendaten zu einem übergeordneten Zweck (z.B. Analyse von Kundenumsätzen zur Ermittlung von Kundeninteressen, Betrieb einer Online-Plattform für Kunden)

Dieses Verzeichnis ist nicht öffentlich, muss jedoch Aufsichtsbehörden auf Anfrage bereitgestellt werden.

In dem Verzeichnis der Verarbeitungstätigkeiten ist auch aufzunehmen:

„wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art. 32 Abs. 1 DSGVO“. (Art. 30 Abs. 1 Buchstabe g, bzw. Abs. 2 Buchstabe d DSGVO)

Hierbei kann es sich ggf. auch um eine übergreifende, für alle oder eine Vielzahl von Verarbeitungstätigkeiten geltende Beschreibung handeln, die dann erforderlichenfalls durch spezifische Beschreibungen bei einzelnen Verarbeitungstätigkeiten ergänzt wird.

Weitere Informationen finden Sie in meinem Infobeitrag zum Verzeichnis der Verarbeitungstätigkeiten.

c) Datenschutzfolgeabschätzung, 35 (7) DSGVO

Hat eine Verarbeitung personenbezogener Daten für Betroffene voraussichtlich ein hohes Risiko, so muss vor Beginn der Verarbeitung eine Datenschutzfolgeabschätzung durchgeführt werden, Art. 35 DSGVO. Dabei werden die Risiken für die Freiheiten und Rechte der Betroffene ermittelt und bewertet, erforderlichenfalls Abhilfemaßnahmen zur Risikoreduzierung festgelegt und umgesetzt und dies dokumentiert.

Die Datenschutzfolgeabschätzung ist ein gesetzlich vorgeschriebenes Verfahren, um Datenschutzkonformität bei besonders riskanten Verarbeitungen herzustellen und dies zu dokumentieren.

Die Datenschutzfolgeabschätzung enthält gemäß Art. 35 Abs. 7 DSVO zumindest Folgendes:

• eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung;
• eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
• eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen, und
• die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass die DSGVO eingehalten wird.

Bei der Ermittlung und Bewertung der Risiken und der Festlegung von Abhilfemaßnahmen sind insbesondere Datensicherheitsrisiken einzubeziehen. Der Bereich Informationssicherheit muss daher in den Prozess einer Datenschutzfolgeabschätzung eingebunden werden.

Der Prozess der Datenschutzfolgeabschätzung sollte in einer gesonderten Anweisung geregelt werden. Meine kostenlose Vorlage für eine Policy zur Umsetzung der DSGVO im Unternehmen finden Sie in meinem "DSGVO-Sinfonie" Paket. 

d) Datenschutzverletzungen, Art 33 DSGVO

Das Unternehmen muss im Falle einer Datenschutzverletzung Aufsichtsbehörden informieren (Art. 33 und 34 DSGVO), außer die Verletzung führt zu keinem Risiko für die Rechte und Freiheiten natürlicher Personen. Hat die Verletzung ein hohes Risiko sind zudem die Betroffenen zu benachrichtigen.

„Datenschutzverletzung“ ist jede auch unbeabsichtigte Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung (oder zum unbefugten Zugriff hierauf) von personenbezogenen Daten führt, die vom Unternehmen verarbeitet wurden, Art. 4 Nr. 12 DSVO. Der Begriff Datenschutzverletzungen bedeutet also sinngemäß „Datensicherheitsvorfälle“ und kann die Vertraulichkeit, Verfügbarkeit und/oder Integrität von personenbezogenen Daten betreffen.

Die Meldung gegenüber der Aufsichtsbehörde muss innerhalb von 72 Stunden erfolgen. Sie muss Angaben über die Einzelheiten der Datenschutzverletzung beinhalten sowie eine Beschreibung der wahrscheinlichen Folgen und der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung bzw. zur Abmilderung ihrer Folgen, § 33 Abs. 3 DSGVO.

Bei der Bewertung der möglichen Folgen einer Datenschutzverletzung, der Beschreibung des Vorfalls, der Ermittlung der möglichen Folgen und der Festlegung und Umsetzung von Abhilfemaßnahmen ist die Mitwirkung durch den Bereich Informationssicherheit erforderlich. Ebenso ist die Einschätzung von Informationssicherheit nötig bei der Bewertung, ob Betroffene informiert werden müssen.

Das Unternehmen muss Datenschutzverletzungen dokumentieren und die Dokumentation der Aufsichtsbehörde auf Anfrage bereitstellen.

Der Prozess der Bewertung und Meldung von Datenschutzverletzungen sollte in einer gesonderten Anweisung geregelt werden. Meine kostenlose Datenschutz-Richtlinie für Unternehmen enthält hierzu bereits vorgaben. 

e) Einschaltung von Auftragsverarbeitern, Art. 28 DSGVO

Das Unternehmen darf nur solche Auftragsverarbeiter einschalten, die geeignete technische und organisatorische Maßnahmen getroffen haben, um die Anforderungen der DGSVO und die Rechte der Betroffenen (z.B. auf Auskunft) zu erfüllen, Art 28 Abs. 1 DSGVO. Gleiches gilt, wenn das Unternehmen selbst als Auftragsverarbeiter handelt und Unter-Auftragsverarbeiter einschalten möchte, Art. 28 Abs. 4 Satz 1 DSGVO.

Bei der Auswahl von Auftragsverarbeitern ist insbesondere zu prüfen, ob diese den Anforderungen an die Datensicherheit gemäß Art. 32 DSGVO gerecht werden. Hierfür ist eine Prüfung durch die Informationssicherheit nötig.

Der Prozess der Einschaltung und Prüfung von Auftragsverarbeitern sollte ebenfalls einer gesonderten Anweisung geregelt sein.

Tipp: Meine kostenlose Muster Datenschutz-Policy, enthält eine gute Ausgangsbasis für die Regelung des Datenschutzes im Unternehmen. Dazu passend finden Sie eine Anleitung zur Umsetzung, eine DSGVO Checkliste und DSGVO Zusammenfassung.