13.09.2017

Technisch-organisatorische Maßnahmen: Das ändert sich

Mit dem Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) kommt die Neukonzeption des Bundesdatenschutzgesetzes (BDSG). Dies betrifft auch die Datenschutzkontrollen und die Datensicherheit. Worauf müssen Sie bei den TOMs zukünftig achten?

Technisch-organisatorische Maßnahmen

DSGVO: Plan verzweifelt gesucht

Für die Sicherheit der Verarbeitung hat das Datenschutz-Anpassungs- und Umsetzungsgesetz EU tatsächlich einen Plan im Gepäck, der die Vorgaben der Datenschutz-Grundverordnung (DSGVO / GDPR) zur Datensicherheit näher spezifiziert.

Einiges davon ist aus dem bestehenden BDSG bekannt. Andere technische und organisatorische Maßnahmen (TOMs) sind neu und bedürfen entsprechend der Vorbereitung und Umsetzung. Zu finden ist dies in § 64 BDSG-neu, der auch Unternehmen Orientierung bieten kann.

67 Prozent der europäischen Unternehmen sagen, dass sie gut informiert sind über die DSGVO. Aber den meisten fehlt immer noch der Plan für die Umsetzung der Grundverordnung, so eine neue Studie von Compuware.

In Deutschland gibt es nun auf rechtlicher Ebene einen Plan zur Umsetzung, das Datenschutz-Anpassungs- und Umsetzungsgesetz EU, das für ein neues Bundesdatenschutzgesetz  sorgt.

 

Vorbereitung auf erweiterte Datenschutzkontrollen

Machen Sie sich zuerst damit vertraut, dass auf Basis einer Risikobewertung Maßnahmen für die Datensicherheit zu ergreifen sind. Welche Maßnahmen dies sein können, dazu bietet § 64 BDSG-neu eine Übersicht:

  1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle)
  2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle)
  3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle)
  4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle)
  5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle)
  6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle)
  7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle)
  8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle)
  9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit)
  10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit)
  11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität)
  12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle)
  13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)
  14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit)

Im Vergleich zur bekannten Anlage zu § 9 Satz 1 BDSG sind hier auch neue Datenschutzkontrollen genannt.

Neue Bezeichnungen, aber auch neue Kontrollen

Während die Zutritts- und Weitergabekontrolle scheinbar(!) fehlen, finden sich tatsächlich und nur scheinbar neue Datenschutzkontrollen:

  • Datenintegrität, Zuverlässigkeit und Wiederherstellbarkeit sind neu.
  • Scheinbar neu sind Transport- und Übertragungskontrolle, Datenträger-, Speicher- und Benutzerkontrolle.

Sehen Sie sich die Beschreibungen dieser Kontrollen an, stellen Sie fest, dass die Zutrittskontrolle nun zu den Zugangskontrollen gezählt wird. Die Weitergabekontrolle findet sich in Transport-, Übertragungs-, Datenträger- und Benutzerkontrolle wieder.

Die Speicherkontrolle ist bisher Teil der Zugriffskontrolle. Sie wird in Zukunft separat genannt.

Zum einen sind die Datenschutzkontrollen also genauer unterteilt. Das ist positiv für die Vorbereitung, Umsetzung und Überwachung der Kontrollen. Denn es kann sich ja um verschiedene Maßnahmen und zugehörige Sicherheitslösungen handeln.

Zum anderen müssen Unternehmen die neuen Kontrollen sehr genau betrachten, die bei der Umsetzung der DSGVO helfen:

  • Sie müssen gewährleisten, dass sie eingesetzte Systeme im Störungsfall wiederherstellen können (Wiederherstellbarkeit).
  • Sie müssen gewährleisten, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit).
  • Sie müssen gewährleisten, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität)

In diesen Bereichen fehlen heute vielfach noch geeignete technisch-organisatorische Maßnahmen.

Wiederherstellbarkeit, Zuverlässigkeit und Datenintegrität sind Pflicht

Nicht nur die Cyber-Angriffe mit der Ransomware „WannaCry“ haben gezeigt, dass viele Unternehmen nach Attacken und Störungen nicht über geeignete Maßnahmen für die Wiederherstellbarkeit verfügen. Es gibt hierfür leider viele Beispiele, ebenso für den Mangel an Zuverlässigkeit bei IT-Systemen und bei der Datenintegrität.

Hier muss unbedingt nachgebessert werden – nicht nur, aber auch für die Umsetzung der DSGVO.


Download: Checkliste Datenschutzkontrollen


Autor*in: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)