Wer beruflich in den Bereichen IT-Sicherheit oder Datenschutz unterwegs ist, der kommt nicht an ihm vorbei: Dem sog. „Stand der Technik“. Datenschutzbeauftragten begegnet er meist im Rahmen der technischen und organisatorischen Maßnahmen. Beispielsweise muss eine Datenverschlüsselung dem „Stand der Technik“ entsprechen. Aber was verbirgt sich eigentlich hinter diesem Begriff? Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat diese Frage aufgegriffen und eine ausführliche Handreichung als Hilfestellung für Verantwortliche veröffentlicht.
Der Inhalt im Überblick
Verantwortliche in der Pflicht
Datenverarbeitende Stellen sind gesetzlich verpflichtet technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit ihrer Daten bzw. der Daten ihrer Mitarbeiter, Kunden und Dienstleister zu gewährleisten. Dabei fällt in den einschlägigen Gesetzestexten immer wieder der Begriff „Stand der Technik“.
So verlangt die Datenschutz-Grundverordnung (DSGVO) im Artikel 32 Abs. 1 unter der Überschrift „Sicherheit der Verarbeitung“ von den Verantwortlichen, dass diese u.a. unter Berücksichtigung des Stands der Technik geeignete technische und organisatorische Maßnahmen treffen müssen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Auch das IT-Sicherheitsgesetz (ITSiG) bringt für Betreiber von sog. kritischen Infrastrukturen und auch Anbieter von Telemedien (Webseitenbetreiber) die Pflicht mit sich, geeignete technische und organisatorische Vorkehrungen zu treffen, die den Stand der Technik beachten.
Zweck und Inhalt der Handreichung
Da das ITSiG, die DSGVO oder sonstige Gesetze leider keine griffige Konkretisierung des Begriffs enthalten und aufgrund des Umfangs wohl auch nicht enthalten können, versteht TeleTrusT die Handreichung als Ausgangspunkt für die Ermittlung von gesetzlichen IT-Sicherheitsmaßnahmen, die dem Stand der Technik entsprechen. Ausgangspunkt ist dabei der Begriff „Stand der Technik“ im IT-Sicherheitsgesetz, die Ausführungen lassen sich aber auch auf den „Stand der Technik“ nach DSGVO übertragen.
Neben der Erklärung und Abgrenzung von Begrifflichkeiten bietet die Handreichung auf über 50 Seiten eine Übersicht die Systeme, Komponente und Prozesse beschreibt. Dabei werden verschiedene Themen wie z.B. Verschlüsselung aufgegriffen und mögliche Bedrohungslagen, Gegenmaßnahmen inklusive der technischen Ausgestaltung dieser Gegenmaßnahmen nach aktuellem Stand der Technik dargestellt. Darüber hinaus gibt es Erläuterungen zu den einzelnen ISO-Normen und einschlägige Prozesse und Verantwortlichkeiten innerhalb von Unternehmen werden aufgeführt.
Gute Hilfestellung für Unternehmen
Die Handreichung bietet eine gute Hilfestellung für Unternehmen, um geeignete Maßnahmen zur Datensicherheit zu treffen und sich dabei am gesetzlich geforderten „Stand der Technik“ zu orientieren. Wie in der Handreichung selbst steht, kann diese Hilfestellung aber natürlich keine Beratung im Einzelfall durch Ihren IT-Sicherheitsbeauftragten oder Datenschutzbeauftragten ersetzen.
Sorry, aber die Links innerhalb dieses Beitrags funktionieren nicht. Können Sie die bitte aktualisieren?
Vielen Dank für den Hinweis. Wir haben die Links aktualisiert.