Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) veröffentlicht Beiträge zur Umsetzung der am 25.05.2018 wirksamen Datenschutz-Grundverordnung (DS-GVO). Hierzu werden relevante Themenkomplexe erörtert. Dies erfolgt im Sinne einer Interpretation bzw. Erörterung uns stellt keine verbindliche Auffassung der Aufsichtsbehörde dar.
1 Sicherheit der Verarbeitung (Art. 32)
Der bisherige § 9 BDSG (inkl. Anlage), der den Bezug zur Informationssicherheit herstellte (Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Trennungsgebot) wird in der DS-GVO nicht mehr existieren. Stattdessen wird im Art. 32 „Sicherheit der Verarbeitung“ ausführlich beschrieben, welche technischen und organisatorischen Maßnahmen für ein angemessenes Schutzniveau zu treffen sind.
Neben den klassischen Grundwerten der Informationssicherheit Vertraulichkeit, Integrität und Verfügbarkeit wird der Begriff der „Belastbarkeit“ eingeführt. Der englische Begriff „resilience“ könnte auch im Sinne von „Mechanismenstärke“ nach Risikoanalyse des BSI (BSI 100-3) interpretiert werden: Sind die verwendete Systeme entsprechend „gehärtet“? Sind etwa die verwendeten Schlüssellängen ausreichend um ein ausreichendes Schutzniveau zu garantieren.
Hier spielt die Frage des angemessenen Schutzniveaus eine zentrale Rolle. Hierbei kann eine Schutzbedarfsfestellung zum Einsatz kommen, wie dies im BSI-IT Grundschutz und im ISIS12-Vorgehensmodell der Fall ist. Die verantwortliche Stelle qualifiziert den notwendigen Schutzbedarf der verarbeiteten personenbezogenen Daten nach drei Kategorien: Welche Auswirkung/Schaden ist für den Betroffenen beim Bekanntwerden der personenbezogenen Daten zu erwarten? Im Art. 32 Abs. 2 DS-GVO heißt es:
„Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet werden – verbunden sind.“
Es ist somit eine Form der Risikoanalyse erforderlich, um angemessene Maßnahmen zum Schutz personenbezogener Daten zu gewährleisten. Die Wahl der Methode ist in der DS-GVO nicht spezifiziert. Im Art. 35 DS-GVO wird jedoch eine „Datenschutz-Folgenabschätzung“ als vorab verbindlich erklärt und näher erläutert, wenn spezifische personenbezogen Daten verarbeitet werden. Für die Wahl der geeigneten technischen und organisatorischen Maßnahmen sind folgende Faktoren zur berücksichtigen: Verhältnismäßigkeit der Maßnahmen im Punkto Aufwand, aktueller Stand der Technik und eben die Ergebnisse der durchgeführten Risikoanalyse bzw. Datenschutz-Folgenabschätzung.
Die verantwortliche Stelle hat nach Art. 5 Abs. 2 DS-GVO die Sicherheit der Verarbeitung im Sinne einer Rechenschaftspflicht nachzuweisen. Damit werden Zertifizierungen nach Art. 42 DS-GVO an Bedeutung gewinnen.
Fazit
Die bekannten TOMs aus § 9 BDSG „werden erwachsen“. In der DS-GVO nimmt das Thema Informationssicherheit stärker Einzug. Datenschutz und Informationssicherheit und die zugrundeliegenden Management-Systeme verschmelzen immer mehr. Dies wird spätestens bei der für viele Unternehmen notwendigen Zertifizierung deutlich.