»Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.«
Art. 32 Abs. 1 Datenschutz-Grundverordnung
Im ersten Halbsatz des Absatzes finden Sie eine Vorgabe zu den vier Kriterien, die die verantwortliche Stelle abwägen muss. Im Grunde ist es die detaillierte Ausgestaltung des Erforderlichkeitsprinzips, das im BDSG alter Fassung noch als »erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.« (§ 9 BDSG a. F.) formuliert wurde. Bei dieser Abwägung sollen Sie die folgenden Aspekte berücksichtigenden:
Stand der Technik (state of the art),
Implementierungskosten (cost of implementation),
Art, Umfang, Umstände und Zwecke der Verarbeitung (nature, scope, context and purposes of processing),
Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen (risk of varying likelihood and severity for the rights and freedoms of natural persons).
In der Aufzählung der Maßnahmenkategorien im Gesetz werden beispielhaft und keineswegs abschließend einige technische Maßnahmen zum Schutz der Rechte und Freiheiten der Betroffenen genannt.
Wie immer, wenn eine Reihenfolge in einem Gesetz vorgegeben ist, dürfen Sie nicht davon ausgehen, dass die Reihenfolge der Maßnahmen eine Priorisierung darstellt. Leider trifft man in der Praxis häufig Datenschutzbeauftragte, die dieser Meinung sind. Dann wird auch noch die Pseudonymisierung als erste Maßnahme genannt und dann prompt von vielen als die wichtigste und primär anzuwendende Schutzmaßnahme angesehen. In Kapitel 10 werden wir sehen, dass eine gute Pseudonymisierung durchaus schwierig ist.
In Kapitel 3 haben wir gelernt, dass das Risiko sich aus der Schadenshöhe und der Eintrittswahrscheinlichkeit ergibt. Deshalb macht die Formulierung »unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos« in Art. 32 DS-GVO wenig Sinn. In Art. 32 Abs. 1 ist als Schutzziel bei Vorfällen die Vermeidung von Beeinträchtigungen der Rechte und Freiheiten natürlicher Personen festgelegt. Sie müssen im Datenschutz die Risikobetrachtung nicht aus der Sicht des Unternehmens, sondern aus der Sicht der Betroffenen machen.
Zu den klassischen Schutzzielen IT-Sicherheit, Vertraulichkeit, Integrität und Verfügbarkeit kommt noch die Belastbarkeit hinzu. In der englischen Version der DS-GVO (quasi der Originalversion, da in dieser Sprache der Text verhandelt wurde) finden Sie die Formulierung »resilience of processing systems and services«. In der NIS-Richtlinie wird in dem Erwägungsgrund 13 die Formulierung »resilience of network and information systems« mit »Robustheit von Netz- und Informationssystemen« übersetzt. Diese Übersetzung dürfte näher an dem beabsichtigten Schutzziel liegen. Im Entwurf der »Richtlinie über die Resilienz kritischer Einrichtungen« der Europäischen Kommission wurde »resilience« mit »Widerstandsfähigkeit« übersetzt. IT-Systeme müssen eine gewisse Widerstandsfähigkeit gegen Störungen aufweisen, damit sie bei einem Vorfall nicht sofort ausfallen oder versagen. Im Grunde ist dies ein spezieller Teilaspekt der Verfügbarkeit. Einige Fachleuten vertreten auch die Meinung, dass damit die »Business Continuity« gemeint ist. Die Unternehmen und Organisationen sollen die IT so betreiben, dass die Geschäftsprozesse stabil laufen und Störungen der IT abgefangen werden können, ohne dass die Geschäftsprozesse beeinflusst werden.
Unter Buchstabe c des Art. 32 Abs. 1 werden Maßnahmen zum schnellen Wiederanlauf der IT – und damit der schnellen Wiederherstellung der Verfügbarkeit – nach Störungen gefordert. Auch dies ist ein Teilaspekt der Verfügbarkeit.
Ein wichtiger und in der bisherigen Datenschutzregulierung nicht ganz neuer Aspekt ist die »regelmäßige Überprüfung, Bewertung und Evaluierung der IT-Sicherheitsmaßnahmen«. Gerade vor dem Hintergrund sich ständig weiter entwickelnder IT und einer sich verändernden Risikolage ist eine regelmäßige Neubewertung sinnvoll und geboten.
In einem Unternehmen wurden Chipkarten zur Anmeldung am PC eingeführt. Jeder PC wurde mit einen Chipkartenleser erweitert und alle Beschäftigten erhielten je eine personalisierte Chipkarte. Eine Dienstanweisung gab vor, dass beim Verlassen des Arbeitsplatzes die Chipkarte gezogen und mitgenommen werden muss. Das Ziehen der Chipkarte aktivierte den Bildschirmschoner und sperrte so den PC.
Nach 6 Monaten wurde eine Evaluierung vorgenommen. Bei einer Begehung der Arbeitsplätze außerhalb der Arbeitszeit wurde festgestellt, dass bei fast 60 % der PCs entgegen der Dienstanweisung die Chipkarte im Leser steckte, ob wohl die Nutzerin des PCs nicht im Raum war. Bei einer weiteren Stichprobe ein paar Wochen später während der Mittagspause wurde zufällig herausgefunden, dass in zwei Bereichen die Beschäftigten sich auf ein »Bereichspasswort« geeinigt hatten, sodass jeder jederzeit an jedem PC im Bereich arbeiten konnte.
Sie sehen: Die Evaluierung deckt manchmal auch Mängel in der organisatorischen Umsetzung der Nutzung der technischen Sicherheitsmaßnahmen auf.
Eine Evaluierung kann auch mit technischen Mitteln durchgeführt werden. Mit geeigneter Prüfsoftware können Sie regelmäßig die Aktualität der technischen Implementierung von Sicherheitsmaßnahmen überprüfen. Gerade wenn die IT-Technik dezentral implementiert wird, die Verantwortung für Datenschutz und Informationssicherheit aber zentral ist, sind derartige Überprüfungen sinnvoll.
Natürlich können je nach den Umständen des IT-Einsatzes weitere Maßnahmen erforderlich sein. In einem größeren Netzwerk ist ein System zur Angriffserkennung (Intrusion Detection System, IDS), also zur kontinuierlichen und frühzeitigen Erkennung von Hackerattacken, sinnvoll und in bestimmten Branchen für einige Unternehmen (kritische Infrastruktur ab 1. Mai 2023, § 8a Abs. 1a BSI-Gesetz und Anbieter öffentlich zugänglicher Telekommunikationsdienste ab 1. Dezember 2022, § 165 Abs. 3 TKG) sogar gesetzlich vorgeschrieben.
Im Artikel 25 der DS-GVO finden Sie noch eine neue Sicht auf die technisch-organisatorischen Maßnahmen. Der etwas sperrige deutsche Titel des Artikels ist »Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen«. Im englischen können wir das etwas knackiger formulieren: »Privacy by Design« und »Privacy by Default«. Sie müssen als Betreiber bereits zum »Zeitpunkt der Festlegung der Mittel für die Verarbeitung« den technisch-organisatorischen Datenschutz gestalten. Diese etwas abstrakte Formulierung bedeutet, dass Sie datenschutzfreundliche Software oder IT-Systeme auswählen müssen. In Erwägungsgrund 78 der DS-GVO wird dies deutlich: »In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die entweder auf der Verarbeitung von personenbezogenen Daten beruhen oder zur Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz