Datenschutz durch Technikgestaltung nach DSGVO
Die DSGVO fordert Datenschutz durch Technikgestaltung. Welche technischen und organisatorischen Maßnahmen Sie umsetzen können und wie Sie diese dokumentieren müssen, erfahren Sie in diesem Beitrag.
Primäres Ziel der DSGVO ist der Schutz von personenbezogenen Daten. Dabei liegt den definierten Schutzzielen ein risikobasierter Ansatz zugrunde. Im Bereich des Datenschutzes sind zum Schutz der Rechte und Freiheiten natürlicher Personen vom Verantwortlichen entsprechende technische und organisatorische Maßnahmen zu treffen.
Der Art 32 DSGVO sieht vor, dass diese Maßnahmen gegenüber den, mit der Verarbeitung verbundenen, Risiken angemessen ausgelegt werden müssen und sich am „Stand der Technik“ zu orientieren haben.
Die Gesetzgeber von DSGVO und DSG sehen keine Definition für diesen Stand der Technik vor, was der rasanten Entwicklung in der Technologie geschuldet ist. Es sind jedoch die Grundsätze des Datenschutzes (DSGVO Art 25) und die Forderung nach Datenschutz durch Technikgestaltung (privacy by design) sowie durch datenschutzfreundliche Voreinstellungen (privacy by default) zugrunde zu legen.
Der Stand der Technik ist im Rahmen der Umsetzung darüber hinaus umfassend zu dokumentieren. Die Verordnung sieht diesbezüglich Dokumentationspflichten als eigene rechtliche Pflichten des Verantwortlichen vor. Die Angemessenheit der technischen und organisatorischen Maßnahmen ist somit sowohl individuell zu erheben als auch detailliert zu begründen bzw zu dokumentieren.
Produkt-Empfehlung
Schutzziele
Es ist wichtig, ein klares Verständnis zu haben, was Sie mit Ihren technischen und organisatorischen Maßnahmen erreichen wollen. Im Wesentlichen lässt sich das auf die folgenden Schutzziele zusammenfassen, die sich in vielen Artikel der DSGVO wiederfinden:
- Verfügbarkeit: Die Verfügbarkeit von Verarbeitungen und den darin befindlichen Daten ist gegeben, wenn diese dem Betroffenen im Rahmen der vereinbarten Servicezeiten zur Verfügung stehen.
- Integrität: Es wird sichergestellt, dass es zu keinen unbeabsichtigten oder unautorisierten Änderungen der Daten kommt.
- Vertraulichkeit: Unbefugte Personen haben keinen Zugriff auf diese Daten. Befugte Personen nur im Rahmen ihres Auftrages, nach dem „Need-to-know“-Prinzip.
- Authentizität: Beim Zugriff auf die Daten durch den Betroffenen oder Berechtigte wird die Identität ausreichend sichergestellt und verhindert, dass es zu Missbrauch kommt.
Technische und organisatorische Maßnahmen (TOM)
Schutzziele sind individuell zu erreichen und bedingen technische und organisatorische Maßnahmen, wie zB:
- Erstellung eines IT-Sicherheitskonzeptes
- Multi-Faktor-Authentifizierung
- Passwort-Sicherheit
- Schutz des privaten Schlüssels vor unberechtigtem Kopieren
- Pentest zur Auffindung und Elimination von Schwachstellen
- Serverhärtung
- Schutzmechanismen gegen Ransomware
- Verschlüsselung der Daten (zB bei der Speicherung)
- Schutz vor Cyberattacken, IT-Sicherheit und Arbeitnehmerschutz
- Einsatz von unabhängigen Backup-Systemen zur Sicherung vor Verlust von Daten
- Sicherheit von Netzwerkprotokollen
- Umsetzung von Logging-, Monitoring- und Reporting-Systemen
- Datenschutzkonformer Umgang mit IP-Adressen
- Sichere Benutzer-Administration mit aktiver Sperrmöglichkeiten
- Offenes (Gäste-)WLAN – Sicherheitsvorkehrungen
Gratis-Download
Zum Gratis-Download
Zusätzlich gibt es einige Herausforderungen für die Sicherheits-Architektur:
- Die verwendete Verschlüsselung muss modern und bis Ende des Lebenszyklus aktuell gehalten werden.
- Eingesetzte Produkte dürfen keine Hintertüren beinhalten, die Zugriff auf Daten gestatten würden.
- Die Unbedenklichkeit einer neuen Technologie muss durch ein normiertes Verfahren (zB Datenschutzfolgenabschätzung) überprüft werden.
Die eingesetzten Produkte, die bei korrekter Verwendung zu „Maßnahmen“ werden, müssen dem Stand der Technik entsprechen, das bedeutet:
Branchenspezifische Standards wurden bei der Produktgestaltung vom Hersteller umgesetzt und können bei der Konfiguration berücksichtigt werden.
- Der Betrieb des Produktes ist auf lange Sicht und störungsfrei möglich.
- Es liegen bereits positive Referenzen für die Verwendung des Produktes vor.
- Bei der Bewertung müssen alle Einzelteile einer Lösung berücksichtigt werden, die wichtig für Ihren Betrieb sind.
- Unsichere Protokolle und Schnittstellen müssen rasch und im Zuge eines Updates erneuerbar sein.
Seminar-Empfehlung
Dokumentation und Prüfung der TOM
Die Dokumentation der TOMs ist Teil der Rechenschaftspflicht (DSGVO Art 5 Abs 2) eines Verantwortlichen. Es ist also notwendig darzustellen, welche Verarbeitungen durch welche Maßnahmen „beschützt“ werden, dass sie tatsächlich dem Stand der Technik entsprechen, dass sie effizient in ihrer Wirkung sind und richtig umgesetzt werden.
Das gelingt nur, wenn im Zuge eines Datenschutz-Management-Systems explizit die laufende Überprüfung der TOMs vorgesehen ist, und die Definition der Abläufe und Komponenten nicht nur bei Einführung durchgeführt wird. Es ist sehr zu empfehlen, dass jede Maßnahme einen „Eigentümer“ hat, der sich für die Pflege, Weiterentwicklung, Ergänzung mit anderen Maßnahmen oder deren gänzliche Ablöse verantwortlich zeichnet und auch jederzeit mit Details dazu aufwarten kann.
Die Einführung von dokumentierten Selbstkontrollen belegt diese aktive Pflege der TOMs und ein Katalog von Selbstkontrollen wird selbst zu einer wichtigen organisatorischen Maßnahme.
Diese Dokumentation wird die Datenschutzbehörde verlangen, wenn im Zuge eines Datenschutzvorfalles die Angemessenheit der Maßnahmen überprüft wird. Je vollständiger diese nachweisbar ist, desto weniger Probleme werden sich aus einem Bescheid ergeben und desto weniger wahrscheinlich wird eine daraus resultierende Schwerpunktprüfung sein.
Arbeitshilfen
Produkt-Empfehlungen
Seminar-Empfehlungen
Arbeitshilfen
Produkt-Empfehlungen
