pe3check - stock.adobe.com
DSGVO/GDPR: Modell zur Auswahl von Sicherheitsmaßnahmen
Eine Aufsichtsbehörde für den Datenschutz hat ein Modell zur Auswahl angemessener Sicherungsmaßnahmen vorgestellt. Dieses hilft bei der Umsetzung der Datenschutz-Grundverordnung.
Die Datenschutz-Grundverordnung (DSGVO/GDPR) stellt hohe Anforderungen an die Sicherheit personenbezogener Daten. So gehören die Integrität und Vertraulichkeit zu den Grundsätzen, die bei jeder Verarbeitung personenbezogener Daten zu beachten sind.
Entsprechend fordert die DSGVO: „Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.“
Eine angemessene Sicherheit bedeutet, dass die Datensicherheit weder übertrieben hoch noch zu niedrig sein darf. Die Faktoren, die über diese Angemessenheit der Datensicherheit entscheiden, nennt die Datenschutz-Grundverordnung ebenfalls.
Artikel 32 der DSGVO (Sicherheit der Verarbeitung) nennt:
- den Stand der Technik,
- die Implementierungskosten,
- Art, Umfang, Umstände und Zwecke der Verarbeitung sowie
- die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.
Wie sich konkret die richtigen und damit angemessenen Sicherheitsmaßnahmen finden lassen, sagt die DSGVO aber nicht.
Aufsichtsbehörde: Modell zur Auswahl angemessener Maßnahmen
Verantwortliche Stellen fragen sich häufig, wie sie die geeigneten TOM (Technisch-Organisatorische Maßnahmen) ermitteln können, um die Anforderungen der DSGVO ordnungsgemäß zu berücksichtigen, so die Landesbeauftragte für den Datenschutz Niedersachsen (LfD). Die Landesbeauftragte hat nun ein Modell vorgestellt, welches die Auswahl angemessener Maßnahmen erleichtern soll.
Dieser Prozess zur Auswahl angemessener Sicherungsmaßnahmen (ZAWAS) kann dabei helfen, sowohl bei der Durchführung einer Datenschutz-Folgenabschätzung als auch bei einer normalen Verarbeitungstätigkeit die TOM herzuleiten.
Dazu beschreibt das Modell in mehreren Schritten eine Abfolge von Tätigkeiten, an deren Ende die Auswahl angemessener Sicherheitsmaßnahmen steht:
- Zu Beginn sollen Verantwortliche als Grundlage die Verarbeitungstätigkeit beschreiben.
- Darauf folgt die Prüfung der rechtlichen Grundlagen.
- Anschließend kann die eigentliche Analyse und Auswahl der Maßnahmen beginnen.
- Ein großer Teil des Modells besteht aus einer umfangreichen Risikoanalyse. Hier kommt auch die Datenschutzfolgenabschätzung (DSFA, Artikel 35 DSGVO) zum Tragen.
- Das Modell sieht außerdem vor, dass die ergriffenen Maßnahmen regelmäßig evaluiert werden. Die DSGVO fordert „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ (Artikel 32).
Mit der Veröffentlichung von ZAWAS möchte die LfD Niedersachsen eine Lücke in der praktischen Anwendbarkeit der DSGVO schließen. Derzeit befindet sich ZAWAS in der Erprobungsphase. Mit den daraus gewonnenen Erkenntnissen wird die LfD den Prozess ergänzen und fortschreiben.
Schritte zur Auswahl angemessener Sicherheitsmaßnahmen nach DSGVO
Das Modell der Aufsichtsbehörde von Niedersachsen sollte auch von Unternehmen aus anderen Bundesländern betrachtet werden, denn die genannten Schritte können generell bei der Umsetzung der DSGVO im Bereich Datensicherheit helfen. Die folgenden Punkte sind Teil des Modells:
- Verarbeitungstätigkeit beschreiben (Zwecke und Ablauf der Verarbeitung, genutzte und erzeugte Daten), Tipp: Das Verzeichnis der Verarbeitungstätigkeiten liefert diese Informationen.
- Rechtliche Grundlagen prüfen (Rechtmäßigkeit der Verarbeitung wie zum Beispiel das Vorliegen einer Einwilligung, Beachtung der Grundsätze nach Artikel 5 DSGVO, Gewährleistung der Betroffenenrechte, möglicherweise Auftragsverarbeitung)
- Strukturanalyse durchführen (Geschäftsprozesse, IT-Dienste, IT-Systeme)
- Risikoanalyse vornehmen (Risiken, dass die Schutzziele nicht eingehalten werden können, möglichen Schaden und Eintrittswahrscheinlichkeit bewerten, Einstufung als geringes, normales oder hohes Risiko)
- Maßnahmen auswählen (unter Beachtung von Risiko, Kosten und Stand der Technik, Maßnahmen, die in Artikel 32 DSGVO genannt sind)
- Restrisiko bewerten (was leisten die Maßnahmen, was nicht)
- Maßnahmen konsolidieren (Einbettung in ein Gesamtkonzept)
- Maßnahmen realisieren (Umsetzung und regelmäßige Überprüfung der Wirksamkeit)
Als Beispiele für mögliche Maßnahmen, die über das Modell jeweils in ihrer Angemessenheit bewertet werden müssen, nennt die Aufsichtsbehörde:
- Maßnahmen wie Verschlüsselung, Pseudonymisierung (Art. 32 Abs. 1 DSGVO)
- Maßnahmen aus dem Standard-Datenschutzmodell (SDM)
- SDM – Maßnahmenkatalog (erste Bausteine von einzelnen Aufsichtsbehörden in Erprobung)
- Maßnahmen aus IT-Grundschutz-Kompendium des BSI (Bundesamt für Sicherheit in der Informationstechnik)
- BSI - Grundschutzmaßnahmen (alt)
- ISO -27001 generische Maßnahmen
- IT-Grundschutz-Profile des BSI
Zu finden ist die komplette Präsentation des Modells auf den Internetseiten der Datenschutzaufsichtsbehörde (PDF).