Technisch und organisatorische Maßnahmen nach DSGVO

Fachbeitrag

Ob Weltkonzern, KMU oder Start-up: Verantwortliche müssen zum Schutz der Rechte und Freiheiten der Betroffenen ihre Datenverarbeitungen durch „geeignete technische und organisatorische Maßnahmen“ absichern. Bei der konkreten Auswahl der sogenannten „TOMs“ haben Unternehmen einen gewissen Spielraum – das ist Segen und Fluch zugleich: Denn unbestimmte Rechtsbegriffe wie „geeignete Maßnahmen“ oder „ein dem Risiko angemessenes Schutzniveau“ stellen Entscheider vor die Frage, welcher Aufwand konkret erforderlich ist, um datenschutzkonform zu agieren.

Was sind technische und organisatorische Maßnahmen?

Die „technischen und organisatorischen Maßnahmen“ sind an mehreren Stellen der DSGVO genannt. Nach Art. 24 DSGVO muss der Verantwortliche sie umsetzen, um die Einhaltung der DSGVO sicherzustellen und nachweisen zu können. Art. 32 DSGVO verpflichtet sowohl den Verantwortlichen als auch den Auftragsverarbeiter zur Herstellung der Datensicherheit, geeignete technische und organisatorische Maßnahmen zu ergreifen. Art. 32 DSGVO konkretisiert damit die Datenschutzgrundsätze der Integrität und Vertraulichkeit des Art. 5 Abs. 1 lit. f) DSGVO.

  • Technische Maßnahmen: Begrifflich beziehen sich technische Maßnahmen dabei regelmäßig auf Hard-, Software- und Netzwerk-Komponenten, die für die Datenverarbeitung genutzt und herangezogen werden. Technische Maßnahmen sorgen für die Sicherheit der eingesetzten IT-Systeme und für deren äußere Absicherung. Maßnahmen sind z.B. die Pseudonymisierung und die Verschlüsselung personenbezogener Daten, der Einsatz von Firewalls, die Erstellung von Protokollen (Logging), Vorgaben für die Passwortvergabe und -komplexität. Daneben können es aber auch Maßnahmen zur Sicherung der Datenverarbeitungsanlagen sein, wie z.B. Gebäudesicherheit durch Alarmanlagen, Fenster- oder Türsicherungen.
  • Organisatorische Maßnahmen: Organisatorische Maßnahmen richten sich insbesondere an den Ablauf und die durchführenden Personen. Sie sind dementsprechend alle nichttechnischen Maßnahmen mit denen die Datensicherheit erreicht werden soll, wie z.B. Mitarbeiterschulungen im Datenschutz, Vertraulichkeitsverpflichtungen der Mitarbeiter, das Vier-Augen-Prinzip oder die Aufstellung von Berechtigungskonzepten.

DSGVO bietet breite Maßnahmenpalette

Art. 32 DSGVO benennt exemplarisch sowohl konkrete technische und organisatorische Maßnahmen als auch Schutzziele des Datenschutzes. Die Aufzählung ist beispielhaft und nicht abschließend. Die Regelung hat vielmehr den Charakter eines unvollständigen Maßnahmenkatalogs:

Art. 32 Abs. 1 a) DSGVO benennt die Pseudonymisierung und die Verschlüsselung als konkrete Maßnahmen, die bei der Verarbeitung möglichst einzusetzen sind.

Art. 32 Abs. 1 b) DSGVO listet die vier Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste auf. Die ausgewählten Maßnahmen müssen geeignet sein, diese Schutzziele sicherzustellen:

  1. Sicherstellung der Vertraulichkeit:
    Daten werden nur Befugten verfügbar gemacht und sind für Unbefugte nicht zugänglich, z.B. durch Maßnahmen der Zutritts-, Zugangs- und Zugriffskontrolle sowie der Auftrags- und Trennungskontrolle.
  2. Sicherstellung der Integrität:
    Umfasst Maßnahmen zum Schutz vor Verfälschung von Daten, wie etwa die Weitergabe- oder Eingabekontrolle.
  3. Sicherstellung der Verfügbarkeit von Systemen:
    Maßnahmen, die sicherstellen, dass informationstechnische Systeme stets gemäß ihrem Zweck und Funktionsumfang genutzt werden können. Darunter fällt etwa der Schutz der Daten gegen zufällige Zerstörung oder Verlust durch Virenschutz, unterbrechungsfreie Stromversorgung, Brandschutzmaßnahmen oder Datensicherungen.
  4. Sicherstellung der Belastbarkeit der Systeme und Dienste:
    Maßnahmen zur Sicherstellung der Widerstandsfähigkeit und zur Ausfallkontrolle von Systemen, z.B. Aufbau eines Notfallmanagements (BCM – Business Continuity Management)

Art. 32 Abs. 1 c) DSGVO beschreibt Maßnahmen, die die Wiederherstellbarkeit und Verfügbarkeit der personenbezogenen Daten bei einem physischen oder technischen Zwischenfall sicherstellen (z.B. Aufbau eines Notfallmanagements, Backups).

Art. 32 Abs. 1 d) DSGVO fordert Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. (z.B. die Einführung von Qualitätsmanagement-Konzepten, Incident-Response-Management etc.)

Eine breite Übersicht von technischen und organisatorischen Good Practice Maßnahmen bietet eine Checkliste des Bayerischen Landesamt für Datenschutzaufsicht.

Angemessenes Schutzniveau ist „Kompass“ für Auswahl

Grundsätzlich steht Unternehmen also bei der Wahl und Zusammenstellung der Maßnahmen ein gewisses Auswahlermessen zu. Doch wie schaffen sie es, konkret die für sie „richtigen“ Maßnahmen zusammenzustellen, um bei der Verarbeitung personenbezogener Daten die notwendige Datensicherheit herzustellen? Was müssen Unternehmen bei der Auswahl beachten? Und welche Aspekte dürfen sie mit in den Abwägungsprozess einbeziehen?

Hierzu sagt Art. 32 Abs. 1 DSGVO:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“

Damit fordert Art. 32 DSGVO zunächst, dass die auszuwählenden Maßnahmen ein „dem Risiko angemessenes Schutzniveau“ gewährleisten. Unternehmen müssen also mit den Maßnahmen ein Schutzniveau für die personenbezogenen Daten schaffen, das die Risiken der durchgeführten Datenverarbeitungen für den Betroffenen abfedert. Hierzu muss der Schutzbedarf der Daten ermittelt und eine Risikoanalyse vorgenommen werden. Art. 32 DSGVO ist damit Ausdruck des risikobasierten Ansatzes der DSGVO. Bei der Risikoanalyse muss das Unternehmen alle möglichen Gefahrenquellen, Bedrohungen und Schwachstellen mit ihrer jeweiligen Eintrittswahrscheinlichkeit und der potenziellen Schwere des Schadens für die Rechte und Freiheiten des Betroffenen betrachten.

Der Schaden und die Risikoberurteilung

Ein Schaden – und damit auch das Risiko – ist dabei grundsätzlich umso höher, je sensibler die Daten des Betroffenen und je schwerwiegender die mögliche Grundrechtsverletzung ist. Besonders sensible Daten im Sinne der DSGVO sind z.B. die so genannten „Art. 9-Daten“, etwa genetische Daten oder Gesundheitsdaten, sowie Daten über strafrechtliche Verurteilungen (Art. 10 DSGVO). Aber auch Daten, die eine Persönlichkeitsanalyse ermöglichen und zur Profilbildung herangezogen werden, sieht die DSGVO als besonders risikoreich an, z.B. Daten zur Arbeitsleistung, zur wirtschaftlichen Lage, zu persönlichen Vorlieben oder Interessen oder zur Zuverlässigkeit (vgl. ErwGr 75). Gleiches gilt für die Verarbeitung der Daten schutzbedürftiger natürlicher Personen, vor allem von Kindern (vgl. ErwGr 75).

Das Risiko ist auch umso höher, je größer die Eintrittswahrscheinlichkeit der Vernichtung, des Verlusts, der Veränderung oder der Offenlegung von Daten ist. In eine Risikobeurteilung gehen deshalb z.B. auch Überlegungen zur Zahl der Mitarbeiter ein, die Zugriff auf die sensiblen Daten haben, ebenso wie Überlegungen zur Dauer der Speicherung oder zu Beeinträchtigungen für die Persönlichkeitsrechte der Betroffenen, die eine Rufschädigung, einen Identitätsdiebstahl, finanziellen Verlust oder gesellschaftliche Nachteile nach sich ziehen.

Stand der Technik und wirtschaftliche Erwägungen sind einzubeziehen

Auf der anderen Seite verpflichtet Art. 32 Abs. 1 DSGVO Verantwortliche nicht, die Daten der Betroffenen „absolut“ zu schützen. Notwendig ist nur, ein „angemessenes“ Schutzniveau zu bieten. Daher sind bei der Zusammenstellung der Maßnahmen weitere Aspekte in die Auswahl mit einzubeziehen und die Auswahl unter anderem unter Berücksichtigung des Stands der Technik und der Implementierungskosten zu treffen:

  • Stand der Technik: Unternehmen müssen nach Art. 32 DSGVO den Stand der Technik berücksichtigen. Dies bedeutet, dass sie technische Maßnahmen nutzen, die aktuell zur Verfügung stehen, sich schon in der Praxis bewährt, ihre Geeignetheit und Effektivität bewiesen haben und so einen ausreichenden Sicherheitsstandard bieten. Nicht notwendig ist es, jeweils die neuesten technischen Entwicklungen einzusetzen. Hilfestellungen zur Beurteilung des Stands der Technik bieten spezifische ISO/IEC-Normen der Internationalen Organisation für Normung (ISO) und der Internationalen elektrotechnischen Kommission (IEC), die entsprechenden DIN-Normen des Deutschen Instituts für Normung, das vom BSI herausgegebene IT-Grundschutz-Kompendium oder auch die Handreichung des Bundesverband IT-Sicherheit e.V. (TeleTrusT).
  • Implementierungskosten: Auch Wirtschaftlichkeitsüberlegungen sind bei der Auswahl und Zusammenstellung von Maßnahmen zulässig. So dürfen Unternehmen ausdrücklich die Implementierungskosten berücksichtigen, wie z.B. Anschaffungs- und Installationskosten sowie Betriebs- und Wartungskosten. Entscheider dürfen daher eine Wirtschaftlichkeitsbetrachtung dahingehend vorzunehmen, ob Kosten und Risiko in einem angemessenen Verhältnis zueinander stehen. Je höher das Risiko der Datenverarbeitung eingestuft wird, desto höhere Implementierungskosten für die Umsetzung der technischen Maßnahmen sind dem Verpflichteten dabei aber wirtschaftlich zumutbar.

Unternehmen haben oft die Qual der Wahl

Die DSGVO fordert bei der Auswahl von technischen und organisatorischen Maßnahmen von Unternehmen, dass sie orientiert an der eigenen Geschäftstätigkeit individuell gestaltete Maßnahmenkataloge erstellen und dabei das angemessene Schutzniveau im Blick haben. Das ist keine einfache Aufgabe! Da das Schutzniveau von vielen Faktoren abhängig ist wie beispielsweise von der Größe und Struktur des Unternehmens, vom Geschäftsfeld und der Art und Menge der verarbeiteten Daten, wird die Auswahl der Datensicherungsmaßnahmen je nach Unternehmen sehr unterschiedlich ausfallen – und auch ausfallen müssen. Denn ein großer Weltkonzern hat in aller Regel andere Maßnahmen zu treffen als ein kleiner Betrieb des Mittelstands oder ein lokal arbeitender Freelancer.

Der gesetzliche Ermessensspielraum bedeutet für Unternehmen nicht nur, die Qual der Wahl zu haben. Für viele ist es zugleich eine Wahl der Qual: Denn der notwendige Auswahlprozess stellt in der Alltagspraxis eine Hürde dar, die es zu meistern gilt. Eine erste Hilfe zur Selbsthilfe kann ein Leitfaden des Landesbeauftragten für den Datenschutz Niedersachsen (LfD) für die Auswahl der Maßnahmen sein. Für Unternehmen, die fachkundige Begleitung im Auswahlprozess und bei der Umsetzung und Kontrolle von technischen organisatorischen Maßnahmen suchen, bieten aber auch auf Datenschutz und Datensicherheit spezialisierte Dienstleister kompetente individuelle Beratungsleistungen und Lösungskonzepte.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

5 Kommentare zu diesem Beitrag

  1. Warum „Qual der Wahl“? Für alles gibt es Fachleute, die sich damit auskennen. Ein Jurist baut ja auch kein Haus. Das machen Architekten, Bau-Ingenieure etc. Und genauso gibt es IT-Spezialisten, die IT sicher betreiben können. Und die wissen dann auch, was „Stand der Technik“ ist. Versprochen! :-)

  2. Sehr geehrte Experten für Datenschutz, IT-Sicherheit und IT-Forensik, welch ein intellektuelles Geschwafel. Das können Sie doch besser u. objektiver, oder?

  3. Mit dem Stand der Technik und den TOMs ist es wie immer in unserer Branche. Drei Leute, vier Meinungen und am Ende ist klar: Es kommt drauf an. Ich vermisse das Schutzziel der Authentizität, im Gesundheitssektor gibt es auch noch die Patientensicherheit und die Behandlungseffektivität als vorgegebene Schutzziele.

  4. Ich finde den Beitrag auch gut. Was hier ja für die IT Sicherheit beschrieben wird, da haben nach meiner Einschätzung die Juristen einfach abgeschrieben, ist ein sogenannten ISMS – Informationssicherheits Management System. Wenn Sie mal die Anforderungen der ISO27001 dazu überfliegen, finden Sie das alles wieder, also diese Prozesse, insbesondere das Risiko Management. Wenn man das aber mal aus Sicht der verantwortlichen Stellen sieht, also einen Friseurladen oder eine Pizzeria – die müssten ja im Grunde alle ein ISO27001 Zertifikate erwerben, um Ihre Kundendaten DSGVO conform zu bearbeiten. Dieser ganze Prozess mit regelmäßiger Überprüfung etc.. muss ja auch dokumentiert werden. Das kann es aber doch nicht sein. Dann kostet Pizza und Frisör demnächst erheblich mehr, weil die Berater und Experten müssen ja auch bezahlt werden. Also ich weiß nicht….. hier stimmt doch was nicht…

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.