Man muss verstehen, dass die DSGVO das Bestehen und die Dokumentation eines Prozesses fordert. Dieser Prozess ist der allgemeine Teil der DSGVO. Er ist nach dem Schema „Erfassung des Ist- Zustands – Analysephase – Beschreibung der Schutzmaßnahmen“ strukturiert.
Die Erfassung des IST- Zustands habe ich bereits in einem anderen Blog beschrieben. In dieser Serie geht es um die Frage, wie die Analysephase gestaltet werden muss. Nach dem Teil über den Inhalt der Analysephase werde ich eine Übersicht über die Themen IT- Sicherheitsmanagement, Technische und Organisatorische Maßnahmen (TOM) – und hier besonders die Aspekte: Infrastruktur, Netze, Client- Server- Systeme und -Anwendungen veröffentlichen.
Zuvor geht es aber natürlich wieder um die rechtlichen Grundlagen:
1.) Normen
Die Kardinalnormen sind die §§ Art. 5 I lit. f, Art. 24 und 32 DSGVO.
Art. 5 I DSGVO besagt:
„Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).
Und beinahe wortgleich besagen die Art. 24 und 32 DSGVO, dass
„…der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um[setzt], um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.“
Ganz kurz gesagt, sollen geeignete technische und organisatorische Maßnahmen gewährleisten, dass die Datenverarbeitung sicher ist. Im Art. 32 erfolgt die Konkretisierung:
„Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.“
2.) Risikoanalyse
Das angemessene Schutzniveau ist anhand von Bedrohungsanalysen zu beurteilen. Diese möglichst unterschiedlichen Bedrohungsanalysen können in Anwendung der ISO/IE 27001 und der Grundsätze der IT- Grundschutz- Richtlinien durchgeführt werden. Jedenfalls muss man darlegen, dass man eine solche Analyse durchgeführt hat und welches die Grundlage der Analyse ist.
3.) Stand der Technik
Und nun kommt wieder einer der juristischen „Unbegriffe“, über die ich schon häufiger hier geschrieben habe: Die technischen und organisatorischen Maßnahmen müssen dem „Stand der Technik“ entsprechen. Der Begriff des „Stands der Technik“ ist derartig diffus, daß man im Moment nur sagen kann, daß das, was der Stand der Technik ist, durch den jeweiligen Sachverständigen festgelegt wird. Dem Stand der Technik wird man nach einer Faustformel nicht entsprechen, wenn man Dinge tut, die branchenweit als gefährlich angesehen werden. Zu den Einzelheiten siehe die Blogs.
4.) Implentierungskosten
Die technisch organisatorischen Maßnahmen sind auch im Hinblick auf die Implementierungskosten zu betrachten. Zu den Implementierungskosten – und insofern ist der Begriff irreführend – gehören auch die Kosten für den Betrieb. Diese Kosten können im Hinblick auf die Kosten als zu hoch eingeschätzt werden. Beispiel: Im Moment bereitet noch Vielen die Frage Kopfzerbrechen, wie man dem Anspruch auf Löschung der Daten genüge tun kann, wenn eine relationale Datenbank eingesetzt wird. Hier sagt das Gesetz nicht (wie es so viele sofort wissen wollen), dass man jetzt auf die Verwendung einer relationaler Datenbank verzichten sollte, weil es technisch nicht möglich ist, einzelne Datenfelder jetzt nachträglich zu vernichten. Nur kann man als Konzept sagen, dass man vielleicht in Zukunft die Daten pseudonymisiert oder aber noch einmal mehr dafür tut, dass die Datensicherung gesichert ist. Die DSGVO ist kein starres Werk, als das sie heute immer wieder gerne verstanden und gelesen wird. Sie will eine Auseinandersetzung mit bestimmten Fragestellungen und eine vernünftige Antwort, die „die Rechte der Betroffenen“ wahrt. Und denen dürfte es in der Folge egal sein, ob eine Datensicherung wirklich sicher verwahrt wird und ihre Daten im Falle eines Restores anonymisiert werden; oder ob ihre Daten gelöscht werden.
5.) Risiken für die Rechte und Freiheiten natürlicher Personen
können sich insbesondere ergeben (siehe Erwägungsgrund 75), wenn die hier aufgeführten Sachverhalte vorhanden sind.
a.) Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere
b.) wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann,
c.) wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren,
d.) wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden,
e.) wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbedürftiger natürlicher Personen,
f.) insbesondere Daten von Kindern, verarbeitet werden oder
g.) wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft.
Bedeutet in der Übersetzung: Wenn die hier aufgeführten Punkte de facto bestehen, dann muß a.) dokumentiert werden, daß der Verantwortliche das Thema erkannt hat, b.) daß eine Risikoanlayse durchgeführt wird und c.) daß und welche technischen und organisatorischen Maßnahmen getroffen wurden, um das Risiko zu reduzieren oder auszuschließen.