Скачать книгу

technisch-organisatorische Maßnahmen (TOM), um den Datenschutz zu gewährleisten.

      

»Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

      a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

      b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

      c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

      d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.«

      Art. 32 Abs. 1 Datenschutz-Grundverordnung

       Stand der Technik (state of the art),

       Implementierungskosten (cost of implementation),

       Art, Umfang, Umstände und Zwecke der Verarbeitung (nature, scope, context and purposes of processing),

       Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen (risk of varying likelihood and severity for the rights and freedoms of natural persons).

      In der Aufzählung der Maßnahmenkategorien im Gesetz werden beispielhaft und keineswegs abschließend einige technische Maßnahmen zum Schutz der Rechte und Freiheiten der Betroffenen genannt.

      Wie immer, wenn eine Reihenfolge in einem Gesetz vorgegeben ist, dürfen Sie nicht davon ausgehen, dass die Reihenfolge der Maßnahmen eine Priorisierung darstellt. Leider trifft man in der Praxis häufig Datenschutzbeauftragte, die dieser Meinung sind. Dann wird auch noch die Pseudonymisierung als erste Maßnahme genannt und dann prompt von vielen als die wichtigste und primär anzuwendende Schutzmaßnahme angesehen. In Kapitel 10 werden wir sehen, dass eine gute Pseudonymisierung durchaus schwierig ist.

      In Kapitel 3 haben wir gelernt, dass das Risiko sich aus der Schadenshöhe und der Eintrittswahrscheinlichkeit ergibt. Deshalb macht die Formulierung »unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos« in Art. 32 DS-GVO wenig Sinn. In Art. 32 Abs. 1 ist als Schutzziel bei Vorfällen die Vermeidung von Beeinträchtigungen der Rechte und Freiheiten natürlicher Personen festgelegt. Sie müssen im Datenschutz die Risikobetrachtung nicht aus der Sicht des Unternehmens, sondern aus der Sicht der Betroffenen machen.

      Unter Buchstabe c des Art. 32 Abs. 1 werden Maßnahmen zum schnellen Wiederanlauf der IT – und damit der schnellen Wiederherstellung der Verfügbarkeit – nach Störungen gefordert. Auch dies ist ein Teilaspekt der Verfügbarkeit.

      Ein wichtiger und in der bisherigen Datenschutzregulierung nicht ganz neuer Aspekt ist die »regelmäßige Überprüfung, Bewertung und Evaluierung der IT-Sicherheitsmaßnahmen«. Gerade vor dem Hintergrund sich ständig weiter entwickelnder IT und einer sich verändernden Risikolage ist eine regelmäßige Neubewertung sinnvoll und geboten.

      

In einem Unternehmen wurden Chipkarten zur Anmeldung am PC eingeführt. Jeder PC wurde mit einen Chipkartenleser erweitert und alle Beschäftigten erhielten je eine personalisierte Chipkarte. Eine Dienstanweisung gab vor, dass beim Verlassen des Arbeitsplatzes die Chipkarte gezogen und mitgenommen werden muss. Das Ziehen der Chipkarte aktivierte den Bildschirmschoner und sperrte so den PC.

      Nach 6 Monaten wurde eine Evaluierung vorgenommen. Bei einer Begehung der Arbeitsplätze außerhalb der Arbeitszeit wurde festgestellt, dass bei fast 60 % der PCs entgegen der Dienstanweisung die Chipkarte im Leser steckte, ob wohl die Nutzerin des PCs nicht im Raum war. Bei einer weiteren Stichprobe ein paar Wochen später während der Mittagspause wurde zufällig herausgefunden, dass in zwei Bereichen die Beschäftigten sich auf ein »Bereichspasswort« geeinigt hatten, sodass jeder jederzeit an jedem PC im Bereich arbeiten konnte.

      Sie sehen: Die Evaluierung deckt manchmal auch Mängel in der organisatorischen Umsetzung der Nutzung der technischen Sicherheitsmaßnahmen auf.

      Eine Evaluierung kann auch mit technischen Mitteln durchgeführt werden. Mit geeigneter Prüfsoftware können Sie regelmäßig die Aktualität der technischen Implementierung von Sicherheitsmaßnahmen überprüfen. Gerade wenn die IT-Technik dezentral implementiert wird, die Verantwortung für Datenschutz und Informationssicherheit aber zentral ist, sind derartige Überprüfungen sinnvoll.

      Natürlich können je nach den Umständen des IT-Einsatzes weitere Maßnahmen erforderlich sein. In einem größeren Netzwerk ist ein System zur Angriffserkennung (Intrusion Detection System, IDS), also zur kontinuierlichen und frühzeitigen Erkennung von Hackerattacken, sinnvoll und in bestimmten Branchen für einige Unternehmen (kritische Infrastruktur ab 1. Mai 2023, § 8a Abs. 1a BSI-Gesetz und Anbieter öffentlich zugänglicher Telekommunikationsdienste ab 1. Dezember 2022, § 165 Abs. 3 TKG) sogar gesetzlich vorgeschrieben.

Скачать книгу