Zum Inhalt springen Zur Navigation springen
Datenschutzgrundsatz der Integrität und Vertraulichkeit

Datenschutzgrundsatz der Integrität und Vertraulichkeit

Personenbezogene Daten dürfen nur auf eine bestimmte Art und Weise verarbeitet werden. Dieses „Wie“ der Verarbeitung wird maßgeblich durch die Datenschutzgrundsätze bestimmt. Zu den Datenschutzgrundsätzen gehört unter anderem der Grundsatz der Integrität und Vertraulichkeit. Der folgende Artikel beleuchtet, was dies im Einzelnen bedeutet und welche Pflichten sich hieraus ergeben.

Was besagt der Grundsatz der Integrität und Vertraulichkeit?

Nach dem in Art. 5 Abs. 1 lit. f DSGVO geregelten Grundsatz der Integrität und Vertraulichkeit dürfen personenbezogene Daten nur in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Der Grundsatz der Integrität und Vertraulichkeit schützt so auch die anderen Datenschutzgrundsätze des Art. 5 Abs. 1 DSGVO, wie beispielsweise die Rechtmäßigkeit, Zweckbindung und Richtigkeit.

Definitionen zur Integrität und Vertraulichkeit

Der Begriff der Integrität beschreibt die Unversehrtheit der Daten. Es soll demnach verhindert werden, dass Daten ganz oder teilweise gelöscht, vernichtet oder unbefugt verändert werden. Weiter unterteilt werden kann der Begriff der Integrität in die starke Integrität und die schwache Integrität. Starke Integrität meint, dass keine Möglichkeit der unbefugten Datenmanipulation besteht.  In der Praxis kann hingegen regelmäßig nur die schwache Integrität gewährleistet werden. Diese liegt vor, wenn eine unauthorisierte Datenänderung zwar möglich ist, aber nachvollzogen werden kann.

Der Grundsatz der Vertraulichkeit bezieht sich auf den Schutz vor unrechtmäßiger und unbefugter Kenntnisnahme und Verarbeitung. Verhindert werden soll zum einen, dass eine Datenverarbeitung ohne Erlaubnistatbestand nach Art. 6 DSGVO erfolgt. Zum anderen soll sich der von der Betroffene darauf verlassen können, dass eine Verarbeitung personenbezogener Daten nicht gegen den Willen des Verantwortlichen stattfindet. Hierzu gehört beispielsweise, dass externe Dienstleister oder interne, aber abteilungsfremde Personen nicht in solche personenbezogenen Daten Einsicht nehmen können, die mit der Datenverarbeitung nicht beauftragt wurden oder die zu den Daten keinen inhaltlichen Bezug haben.

Vorgaben und Schutzziele der DSGVO zur Integrität & Vertraulichkeit

Der Datenschutzgrundsatz der Integrität und Vertraulichkeit wird an verschiedenen Stellen in der DSGVO konkretisiert. So schreibt Art. 32 Abs. 1 lit. b DSGVO vor, dass der Verantwortliche zur Ergreifung technischer und organisatorischer Maßnahmen verpflichtet ist, die insbesondere die Integrität und Vertraulichkeit der Systeme und Dienste sicherstellen.

Eine Substantiierung des Grundsatzes der Vertraulichkeit findet sich in Art. 28 Abs. 3 lit. b DSGVO, wonach der Auftragsverarbeiter gewährleisten muss, dass sich die zur Datenverarbeitung befugten Personen der Vertraulichkeit verpflichtet haben oder einer angemessenen, gesetzlichen Verschwiegenheitspflicht unterliegen. Der Grundsatz der Vertraulichkeit spiegelt sich außerdem in der Verschwiegenheitspflicht des Datenschutzbeauftragen wider (Art. 38 Abs. 5 DSGVO). Der Grundsatz der Vertraulichkeit beinhaltet auch, dass eine Verarbeitung nicht gegen den Willen des Verantwortlichen stattfinden darf. So können auch die Art. 29 und 32 Abs. 4 DSGVO als Ausprägung des Grundsatzes gesehen werden: Nach diesen sind Auftragsverarbeiter bzw. die den Verantwortlichen und den Auftragsverarbeitern unterstellten natürlichen Personen an die Weisungen des Verantwortlichen gebunden.

Artikel 32 Abs. 1 lit. b DSGVO benennt außerdem weitere Schutzziele, die in engem Zusammenhang mit der Integrität und Vertraulichkeit stehen, nämlich die Belastbarkeit und Verfügbarkeit der Systeme und Dienste. Belastbarkeit ist hier als Resilienz zu verstehen und meint damit die Fähigkeit, Gefahren zu widerstehen bzw. Systeme nach einem Angriff wieder zügig funktionsfähig zu machen. Das Schutzziel der Verfügbarkeit soll gewährleisten, dass Systeme und Dienste von autorisierten Personen genutzt werden können. Systeme und Dienste sollen die geforderten Leistungen tatsächlich erbringen.

Risikobasierter Ansatz: Was ist ein angemessenes Sicherheitsniveau?

Die DSGVO schreibt in Art. 5 Abs. 1 lit. f vor, dass die für die Integrität und Vertraulichkeit „angemessene Sicherheit“ durch „geeignete technische und organisatorische Maßnahmen“ zu gewährleisten ist. Eine Definition der beiden unbestimmten Begriffe der Angemessenheit und der Geeignetheit sucht man in der DSGVO vergebens.

Einen Anhaltspunkt bietet hier wiederum Art. 32 Abs. 1 DSGVO. Hiervon ausgehend ist unter anderem das Risiko eines unberechtigten Zugriffs für den Betroffenen zu berücksichtigen. Je höher das Risiko für den von der Datenverarbeitung Betroffenen ist, desto höhere Anforderungen sind an das Schutzniveau zu stellen.

Fehlende Definition des Risikos in der DSGVO

Der Versuch, die unbestimmten Begriffe der Angemessenheit und Geeignetheit zu konkretisieren, führt damit unweigerlich zum nächsten ausfüllungsbedürftigen Begriff. Denn auch der Begriff des Risikos ist in der DSGVO nicht legaldefiniert. Dies führt zu Problemen, da die Frage, welche Maßnahmen zur Gewährleistung der Sicherheit angemessen und geeignet sind, entscheidend von der Eintrittswahrscheinlichkeit des Risikos abhängen.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat aus den Erwägungsgründen 75 und 94 S. 2 DSGVO die folgende Definition für das Risiko hergeleitet:

„Ein Risiko im Sinne der DSGVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann. Es hat zwei Dimensionen: Erstens die Schwere des Schadens und zweitens die Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten.“

Die Definition der DSK veranschaulicht, dass – ähnlich wie bei der Frage der Angemessenheit – eine Wechselwirkung zwischen der Schwere des Schadens sowie seiner Eintrittswahrscheinlichkeit besteht. So ist es beispielsweise möglich, dass bei einer geringen Eintrittswahrscheinlichkeit und einem nur sehr leichten Schaden kein rechtlich relevantes Risiko besteht, während bei gleicher Eintrittswahrscheinlichkeit aber einem gravierenden Schaden ein Risiko im Sinne der DSGVO gegeben ist.

Weitere Kriterien für die Angemessenheit

Neben dem Risiko für den Betroffenen sind nach Art. 32 DSGVO auch die Art, Umfang und Zwecke der Verarbeitung sowie die Implementierungskosten zu berücksichtigen.

Als Arten der Verarbeitung zählt die DSGVO in Art. 4 Nr. 2 nicht abschließend und beispielhaft das Erheben, Erfassen, die Übermittlung, das Ordnen, die Speicherung, das Löschen sowie die Vernichtung von Daten auf. Grundsätzlich ist ein Löschen und Vernichten von Daten weniger risikobehaftet als deren Erhebung und Speicherung, was sich wiederum darauf auswirkt, wann Integrität und Vertraulichkeit angemessen gesichert sind. Der Umfang der Verarbeitung bezieht sich einerseits auf die Anzahl der Personen, deren Daten verarbeitet werden, sowie andererseits auf die Menge der verarbeiteten Daten. Der Zweck der Verarbeitung wird vom Verarbeiter festgelegt. Je enger die Zwecke gefasst sind, desto weniger strenge Anforderungen werden an die Maßnahmen gestellt, die Integrität und Vertraulichkeit sichern sollen.

Bei der Frage, welche Maßnahmen ein angemessenes Sicherheitsniveau schaffen, sind auch wirtschaftliche Gesichtspunkte zu berücksichtigen. Denn nicht alles, was technisch umsetzbar ist, ist wirtschaftlich auch zumutbar. Zu beachten ist, dass in Art. 32 Abs. 1 DSGVO ausdrücklich nur von den Implementierungskosten die Rede ist. Es spricht aber viel dafür, die vom Wortlaut nicht erfassten Folgekosten ebenfalls zu berücksichtigen. Die Frage der wirtschaftlichen Zumutbarkeit stellt sich schließlich nicht nur bei der Implementierung, sondern auch während der gesamten Nutzung.

Wie sorgen Verantwortliche für eine angemessene Sicherheit der Verarbeitung?

Hat der Verantwortliche ermittelt, welche Sicherheit angemessen ist, stellt sich die Frage, wie der Verantwortliche im konkreten Fall die angemessene Sicherheit der Verarbeitung gewährleisten kann.

Orientierung am Stand der Technik

Hierbei bietet es sich an, sich am sogenannten Stand der Technik zu orientieren, der ausweislich Art. 32 Abs. 1 DSGVO ebenfalls berücksichtigt werden muss.

Der Technologiestand Stand der Technik befindet sich zwischen den allgemein anerkannten Regeln der Technik einerseits sowie dem Stand der Wissenschaft und Forschung andererseits. Diese drei Begriffe, also der Stand der Technik, die allgemein anerkannten Regeln der Technik sowie der Stand der Wissenschaft und Forschung sind vom Bundesverfassungsgericht im Jahr 1978 eingeführt worden (Kalkar-Entscheidung, Az.: 2 BvL 8/77). Allgemein anerkannte Regeln der Technik sind hoch anerkannt und haben sich in einem hohen Maße in der Praxis bewährt. Wenn die Technologie hingegen besonders innovativ ist, sich in der Praxis also noch nicht oder erst kaum bewährt und allgemein kaum anerkannt ist, befindet sich die Technologie vermutlich auf dem Stand der Wissenschaft und Forschung.

Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) fasst den Stand der Technik wie folgt zusammen:

„Der „Stand der Technik“ bezeichnet die am Markt verfügbare Bestleistung einer IT-Sicherheitsmaßnahme zur Erreichung des gesetzlichen IT-Sicherheitsziels.“

Der Stand der Technik kann eine angemessene Sicherheit der Verarbeitung gewährleisten, da hierunter nur solche Maßnahmen fallen, die auf gesicherten Erkenntnissen von Wissenschaft und Technik beruhen und damit nicht selbst ein Sicherheitsrisiko darstellen. Außerdem entsprechen nur solche Maßnahmen dem Stand der Technik, die am Markt verfügbar sind, also auch realistischerweise implementiert und genutzt werden können. Beim Stand der Technik handelt es sich außerdem um einen dynamischen Begriff, da sich der Entwicklungsstand fortwährend ändert. Behält man demnach den Stand der Technik bei, hält man mit technischen Neuerungen stetig Schritt.

ToM-Checklisten, ZAWAS oder SDM? Hauptsache mit System!

Bei der Auswahl geeigneter technischer und organisatorischer Maßnahmen (ToM) existieren für den Praktiker verschiedene Hilfestellungen und Methoden. Das BayLDA hat z.B. eine Checkliste zur Verfügung gestellt, die als Empfehlung eines Good-Practice verstanden werden sollen. Anhand der Checkliste können Verantwortliche prüfen, welche Maßnahmen des Katalogs umgesetzt werden müssen. Der Verantwortliche kann auch nach dem ZAWAS-Prinzip vorgehen. Bei ZAWAS handelt es sich um einen „Prozess zur Auswahl angemessener Sicherungsmaßnahmen“. Möglich ist auch die Nutzung des Standard-Datenschutzmodells (SDM). Beim SDM handelt es sich um eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele. Unabhängig von der Wahl der Methode sollte bei der Auswahl der ToM unbedingt systematisch vorgegangen werden. Die systematische Vorgehensweise erleichtert auch die Dokumentation, welche wiederum zur Erfüllung der Rechenschaftspflichten aus der DSGVO erforderlich ist.

Bußgelder bei Verstößen gegen die Integrität und Vertraulichkeit

Wird gegen die Integrität und Vertraulichkeit verstoßen, drohen empfindliche Bußgelder. In Großbritannien wurde einem Unternehmen etwa ein Bußgeld von über 5 Millionen € auferlegt. Dort hatte ein Mitarbeiter des Unternehmens eine Zip-Datei mit Malware geöffnet, die nur teilweise vom Virenscanner entfernt wurde. Letztendlich wurden mithilfe der Malware personenbezogene Daten von über 100.000 Mitarbeitern des Unternehmens kompromittiert. Die Aufsichtsbehörde bemängelte, dass der Virenschutz nicht aktuell war, keine Pentests durchgeführt worden sind und das Betriebssystem veraltet war.

Dass Bußgelder nicht nur ein Thema für Unternehmen sind, zeigt ein Fall aus Spanien. Dort schickte eine Privatperson an 190 Personen eine E-Mail – allerdings nicht als Blindkopie. Auf diese Weise war für jeden Empfänger alle E-Mail-Adressen einsehbar. Dieser Fehler schlug mit 5.000 € zu Buche.

Nach Verstößen gegen die Integrität und Vertraulichkeit besteht außerdem das Risiko, dass Betroffene Schadensersatzansprüche geltend machen. Im Detail sind hier noch viele Fragen ungeklärt. Eine Erheblichkeitsschwelle für den immateriellen Schadensersatz existiert zwar nicht, wie der EuGH im Mai dieses Jahres festgestellt hat. Nichts destotrotz muss ein tatsächlicher (materieller oder immaterieller) Schaden vorliegen.

Im Zusammenhang mit der Integrität und Vertraulichkeit stellt sich hier etwa die Frage, ob der Kontrollverlust über die Daten bereits einen Schaden begründet. In einem vom Landgericht Hamburg entschiedenen Fall waren personenbezogene Daten ohne ihre Zustimmung von dem beklagten Unternehmen über das Internet veröffentlicht worden. Das Landgericht Hamburg vertrat die Auffassung, dass tatsächliche Nachteile im Sinne eines Schadens nicht vorliegen. Das Landgericht Darmstadt vertrat in einem ähnlich gelagerten Fall eine andere Auffassung. In dem dort zugrunde liegenden Sachverhalt wurden personenbezogene Daten eines Bewerbers versehentlich an einen Dritten weitergeleitet. Nach Ansicht des Landgerichts Darmstadt stellt bereits der hierin begründete Kontrollverlust über die Daten einen Schaden dar.

Intakte Daten nur für diejenigen, die es angeht!

Der Grundsatz der Vertraulichkeit und Integrität beschreibt einen Kernaspekt des Rechts auf informationelle Selbstbestimmung. Nur wenn personenbezogene Daten intakt bleiben – Integrität – und nicht jeder auf diese Daten zugreifen kann – Vertraulichkeit –, entscheidet die Person selbst über die Preisgabe ihrer Daten sowie darüber, wer sie verwenden darf. Nähert man sich Frage, welche Maßnahmen zur Verwirklichung des Grundsatzes erforderlich sind, gerät man von einem auslegungsbedürftigen Begriff in den nächsten. Klar ist dennoch, dass ein risikobasierter Ansatz verfolgt werden muss. Je höher die Risiken für den Betroffenen sind, desto weitreichender Maßnahmen sind seitens des Verantwortlichen notwendig. Der sich fortwährend ändernde Stand der Technik bietet einen gangbaren Weg zur Auswahl der konkreten technischen und organisatorischen Maßnahmen. Dass sich ein systematisches Vorgehen hier lohnt, zeigen auch die ergangenen Bußgelder.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Zitat: „…Starke Integrität meint, dass das System keine Möglichkeit bietet, Daten unbemerkt oder unerkannt zu ändern. In der Praxis kann hingegen regelmäßig nur die schwache Integrität gewährleistet werden. Diese liegt vor, wenn Datenänderungen zwar möglich sind, aber nachvollzogen werden können….“
    Die beiden Sätze verwirren mich ein wenig?? Wenn ich Datenänderungen nachvollziehen kann, dann kann ich doch nicht unbemerkt ändern. Warum ist das dann eine „schwache Integrität? Oder muss der Satz heißen:“… Diese liegt vor, wenn Datenänderungen zwar möglich sind, aber NICHT nachvollzogen werden können.“

    • Ich finde den Absatz genauso irritierend.

      • Und wenn eine Behörde die Anliegen der Bürger vor der Tür bespricht. So wie es bei uns üblich geworden ist…? Als unbeteiligter Spaziergänger bekomme ich mit wer Sozialhilfe bekommt. Für mich ist das keine DEGVO.

      • Vielen Dank für Ihren Hinweis. Bei der starken Integrität können Daten nicht unauthorisiert verändert werden. Demgegenüber sind unauthorisierte Änderungen bei der schwachen Integrität möglich, aber nachvollziehbar.
        Wir haben die Passage im Beitrag entsprechend geändert.

  • Mir fehlt es an plastischen Beispielen für einen Integritätsverlust:
    1. In einem Warenwirtschaftssystem werden Bestellungen eine falschen Besteller zugeordnet
    2. Ein radiologisches Bild wird einem falschen Patientendatensatz gehängt
    3. Bei einer Rundung von Daten fallen wichtige Nachkommastellen weg
    4. Datensätze werden versehentlich gelöscht
    5. Variablen eines Datensatzes werden versehentlich gelöscht
    6. Notwendige Log-Daten über die Herkunft von Änderungen (Authentizität) werden nicht generiert
    7. Datensätze von verschiedenen Mandanten werden zusammengeführt
    8. Der Primärschlüssel von Datensätzen geht verloren
    9. Ungewollte Duplikate von Datensätzen entstehen (evtl. als Folge von 8)
    10 Durch Löschabfragen werden bestimmte Zeichen in allen Felder eines Datensatzes gelöscht

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.