Dieser Beitrag liefert einen Blick auf die Technisch organisatorische Maßnahmen mit Fokus auf die IT.

Mit der DS-GVO hat auch das Thema IT-Sicherheit erheblich an (rechtlicher)Bedeutung gewonnen. Nicht umsonst hat die Landesbeauftrage für den Datenschutz Niedersachsen diesem Thema bei Ihrer landesweiten Querschnittsbefragung ein eigenes Kapitel gewidmet. In dem an 50 ausgewählte Firmen gerichteten Fragebogen heißt es unter anderem:

  • wie stellen Sie sicher, dass ihre technischen und organisatorischen Maßnahmen bzw. die ihrer Dienstleister ein dem verarbeitungsrisikoangemessene Schutzniveau gewährleisten?
  • Wie stellen Sie sicher, dass ihre technischen und organisatorischen Maßnahmen an den jeweiligen Stand der Technik angepasst werden?
  • Wie stellen Sie sicher, dass sie für die von Ihnen aktuell oder zukünftig eingesetzten IT-Anwendungen ein dokumentiertes datenschutzkonformes Rollen- und Berechtigungskonzept haben?

Diese Fragen kommen nicht aus der Luft, sondern haben ihre Rechtsgrundlage in der DS-GVO und dem neu gefassten Bundesdatenschutzgesetz.

In Art. 5 Abs. 1 lit f.  DS-GVO heißt es noch relativ abstrakt: „Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

In Art 5 Abs 2 DS-GVO gibt es dann eine sehr klare Ansage: Der Verantwortliche ist für die Einhaltung des Abs. 1 verantwortlich und muss die Einhaltung nachweisen können („Rechenschaftspflicht)“. Art. 5 DS-GVO gehört wiederum zu den Vorschriften, deren Verletzung gemäß Art. 83.Abs. 5 b mit der Höchstgeldbuße (bis zu 20.000.000,00 €) bedroht ist.

In Art. 24 FDS-GVO tauchen dann die technisch-organisatorischen Maßnahmen in einer zungenbrecherischen allgemeinen Vorschrift erneut auf: „Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.“

In dem recht umfangreichen Artikel 32 der DS-GVO (Sicherheit der Verarbeitung) wird es dann recht konkret. Es werden wiederum die geeigneten technischen und organisatorischen Maßnahmen gefordert, um ein dem Risiko angemessenes Schutzniveau zu erreichen. Hierbei sind nach dem Willen des Gesetzgebers unter anderem der Stand der Technik und die Implementierungskosten zu berücksichtigen.

Es werden dann unter Art. 32 Abs.1 beispielhaft einige etwas konkreter ausformulierte Maßnahmen aufgezählt:

  • a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  • b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  • c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.

Bei Verstößen gegen Art. 32 DS-GVO droht ein Bußgeld von bis zu 10 Millionen €.

 

Noch konkreter wird es in der neuen Vorschrift des § 64 Bundesdatenschutzgesetz. Von zentraler Bedeutung ist nach hiesiger Ansicht § 64 Abs. 1 S. 3 BDS: „Der Verantwortliche hat hierbei die einschlägigen Technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen.“

Durch diese Einbeziehung des BSI erhält das „IT-Grundschutz-Kompendium“ eine wesentlich gewichtigere Rolle. Unter § 64 Abs. 3 BDSG werden dann 14 Ziele genannt, die durch entsprechende Maßnahmen zu erreichen sind:

  • Zugangskontrolle
  • Datenträgerkontrolle
  • Speicherkontrolle
  • Benutzerkontrolle
  • Zugriffskontrolle
  • Übertragungskontrolle
  • Eingabekontrolle
  • Transportkontrolle
  • Wiederherstellbarkeit
  • Zuverlässigkeit
  • Datenintegrität
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Trennbarkeit

Es wird daraus deutlich, dass die nach wie vor im Umlauf befindlichen „TOM-Checklisten“  – die auch noch von mancher DS-GVO Software genutzt werden – nicht mehr hinreichend sind.

Sprechen Sie uns an.

Neueste Beiträge

Was können wir für Sie tun?

Dr. Machunsky Datenschutz & Compliance GmbH
Mittelbergring 61
37085 Göttingen
Telefon: 0551 / 79097161
E-Mail: office@machunsky-datenschutz.de

Themen

Neueste Beiträge

Kontaktformular

Felder mit einem * sind Pflichtfelder