papalapapp - Fotolia

DSGVO / GDPR: Was bedeutet Speicherkontrolle und wie setzen Sie es um?

Das Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) nennt eine Speicherkontrolle als technisch-organisatorische Maßnahme im Datenschutz.

Ab 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO / GDPR). Das sogenannte Datenschutzanpassungs- und Umsetzungsgesetz greift dies in Deutschland auf und wird das bisherige Bundesdatenschutzgesetz (BDSG) ablösen, so die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Andrea Voßhoff.

Da die Datenschutz-Grundverordnung unmittelbar in allen Nationalstaaten der EU gelten wird, bedarf es einem Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) in Deutschland nur dazu, um das bestehende Bundesdatenschutzgesetz anzupassen und um einige der sogenannten Öffnungsklauseln zu nutzen.

Mit den Öffnungsklauseln lässt die DSGVO den einzelnen EU-Mitgliedsstaaten in bestimmten Datenschutzfragen einen gewissen Spielraum.

Anforderungen an die Sicherheit der Verarbeitung

Vergleicht man das bestehende BDSG mit der DSGVO hinsichtlich der Datensicherheit, findet man im BDSG eine Liste von technisch-organisatorischen Maßnahmen. Die Datenschutz-Grundverordnung ist in Artikel 32 Sicherheit der Verarbeitung dagegen vergleichsweise allgemein.

Im Datenschutz-Anpassungs- und Umsetzungsgesetz EU dagegen sind wieder technisch-organisatorische Maßnahmen (TOMs) genannt. Hierzu erläutert der Gesetzgeber, dass der entsprechende Paragraph des DSAnpUG-EU den wesentlichen Inhalt von § 9 BDSG und dem Anhang zu § 9 Satz 1 BDSG aufnimmt und ihn überführt in das neue BDSG. Der Paragraph benennt die Ziele, die im Hinblick auf automatisierte Verarbeitungen durch die Etablierung geeigneter technisch-organisatorischer Maßnahmen verfolgt und erreicht werden sollen. Darunter findet man auch die sogenannte Speicherkontrolle.

Speicherkontrolle verstehen und richtig einordnen

Unter Speicherkontrolle versteht man die „Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten“. Zweifellos ist dies eine Forderung an Storage-Lösungen und an Security-Lösungen, die Storage schützen sollen.

So hilfreich es auch ist, wieder eine Liste von technisch-organisatorischen Maßnahmen für den Datenschutz zu haben, so falsch wäre die Vorstellung, dass die Speicherkontrolle letztlich alle Forderungen der Datensicherheit an Storage-Systeme enthält. Tatsächlich muss man alle TOMs in Summe betrachten und auf Basis einer Risikobewertung die notwendigen Maßnahmen für den Datenschutz bestimmen.

Datenschutzkontrollen für Storage

Je nach Schutzbedarf und Risiko müssen die Daten auf den Storage-Lösungen also so geschützt werden, dass

  • der Zugang zu Verarbeitungsanlagen (zu denen auch Storage-Systeme gehören) für Unbefugte verhindert wird
  • das unbefugte Lesen, Kopieren, Verändern oder Löschen von Datenträgern verhindert wird (eine offensichtliche Forderung an die Storage-Sicherheit im Fall von Datenträgern)
  • die unbefugte Eingabe von personenbezogenen Daten sowie die unbefugte Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten verhindert wird
  • die Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte ausgeschlossen wird
  • die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben
  • überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können
  • nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind
  • bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden
  • eingesetzte Systeme im Störungsfall wiederhergestellt werden können
  • alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden
  • gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können
  • personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können
  • personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind
  • zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können

Zu den erforderlichen Maßnahmen im Storage-Bereich zählen deshalb insbesondere

  • die räumliche Abschirmung für Storage-Systeme
  • ein geregelter und sicherer Lebenszyklus von Datenträgern
  • Integrität und Manipulationssicherheit bei Storage-Systemen
  • Belastbarkeit und Zuverlässigkeit der Storage-Systeme
  • Mandantenfähigkeit bei den Storage-Systemen

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Datenschutz-Grundverordnung: Welche Probleme Unternehmen jetzt beheben müssen

EU-Datenschutzrichtlinie erfordert rasches Handeln bei Prozessen und Organisation

In fünf Schritten zur Einhaltung der EU-Datenschutz-Grundverordnung

Datenschutz bedeutet auch belastbare Storage-Systeme

Erfahren Sie mehr über Datensicherheit