peshkova - Fotolia
Dokumentation der IT-Sicherheit nach DSGVO
Die Bedeutung der IT-Sicherheit für den Datenschutz nimmt durch die DSGVO weiter zu. Dazu gehört eine einwandfreie Dokumentation der IT-Sicherheit.
Mit Papier fängt man keine Computerviren und Hacker, das stimmt. Doch die IT-Sicherheit muss auch auf dem Papier bestehen können.
Die Dokumentation der IT-Sicherheit ist grundlegend für eine gut organisierte, nachvollziehbare Sicherheit der IT-Systeme und Daten.
Die IT-Sicherheitsstrategie will ebenso dokumentiert sein wie die IT-Sicherheitsrichtlinien, die die Administratoren und die Nutzer jeweils zu beachten haben.
Nicht nur die Zertifizierung des IT-Sicherheits-Managements setzt eine Dokumentation der IT-Sicherheit voraus, auch die Datenschutzgesetze fordern dies, ebenso wie es andere Compliance-Vorgaben tun.
BDSG: Angaben zur IT-Sicherheit
Unter bestimmten Voraussetzungen müssen Unternehmen Verfahren automatisierter Verarbeitungen vor ihrer Inbetriebnahme der zuständigen Aufsichtsbehörde melden. Zu den Inhalten der Meldepflicht gehört „eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind“. Das klingt erst einmal nach einigen Standardformulierungen wie „Einsatz von technisch-organisatorischen Maßnahmen nach Anlage zu § 9 Satz 1 BDSG“. Dort werden dann die verschiedenen Datenschutzkontrollen allgemein aufgeführt, die man als Unternehmen umgesetzt hat. Doch Vorsicht! So allgemeine Beschreibungen reichen den Aufsichtsbehörden nicht!
„Auftragsdatenverarbeitung ohne richtigen Vertrag kann teuer werden“, so meldete (PDF) es zum Beispiel einmal das Bayerische Landesamt für Datenschutzaufsicht (BayLDA). Das BDSG schreibt eine Reihe von Einzelheiten für Verträge zur Auftragsverarbeitung vor, die zum Schutz der personenbezogenen Daten darin ausdrücklich festgelegt werden müssen.
Von besonderer Bedeutung sind dabei die technischen und organisatorischen Maßnahmen (Datensicherheitsmaßnahmen), die der Auftragsdatenverarbeiter zum Schutz der Daten treffen muss, so das BayLDA. Diese Maßnahmen müssen im schriftlichen Auftrag konkret und spezifisch festgelegt werden. Fehlen konkrete Festlegungen hierzu, stellt dies eine Ordnungswidrigkeit dar, die mit Geldbuße von bis zu 50.000 Euro geahndet werden kann.
Grundsätzlich sollen bei Prüfungen durch die zuständige Aufsichtsbehörde auch Dokumentationen vorgelegt werden können, die die IT-Sicherheit betreffen, darunter Verträge zur Auftragsdatenverarbeitung oder andere Vereinbarungen mit externen Dienstleistern, Verfahrensverzeichnisse und Verarbeitungsübersicht, Rechte-/Rollenkonzepte.
Datenschutz-Grundverordnung (DSGVO / GDPR): IT-Sicherheit und Dokumentation
Verarbeitungsübersichten werden bereits heute durch den Datenschutz eingefordert, in der DSGVO findet man dazu sogar einen eigenen Artikel (Artikel 30 Verzeichnis von Verarbeitungstätigkeiten). Dort heißt es unter anderem: „Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben: (…) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen“. Das Verzeichnis muss schriftlich geführt werden, wobei ein elektronisches Format zulässig ist.
Noch ist offen, wie man die Aussagen „wenn möglich“ und „allgemeine Beschreibung“ zu den technisch-organisatorischen Maßnahmen und damit zur IT-Sicherheit zu werten hat, die Aufsichtsbehörden erwarten dies nach eigener Aussage mit Spannung.
Die Aufsichtsbehörden wollen ein Muster für ein Verzeichnis der Verarbeitungstätigkeiten veröffentlichen, womit etwa Mitte 2017 zu rechnen ist. Dann ist zu ersehen, wie der Detailgrad der Dokumentation der IT-Sicherheit aussehen wird.
Klar ist jedoch schon aus praktischen Gründen, dass die Sicherheit der Verarbeitung im Rahmen der DSGVO zu dokumentieren ist, denn anders ist das in Artikel 32 DSGVO geforderte „Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ gar nicht umzusetzen. Unternehmen tun also in jedem Fall gut daran, auch für den Datenschutz ihre Dokumentation der IT-Sicherheit zu pflegen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!