sicherheit der verarbeitung aufsichtsbehörden datenschutz-folgenabschätzung dsfa office365

Sicherheit der Verarbeitung gemäß Art. 32 DSGVO

Derzeit ergeben sich die Maßnahmen, die zum Schutz der getroffenen Maßnahmen getroffen werden müssen aus dem § 9 BDSG nebst Anlage. Auch wenn die technischen und organisatorischen Maßnahmen dort mit Oberbegriffen umrissen werden, werden Kriterien zur Ermittlung einer dem jeweiligen Risiko angemessenen Maßnahme nicht genannt. Die DSGVO wird hier deutlich konkreter.

Schutzziele zur Informationssicherheit

In Artikel 32 DSGVO werden die Schutzziele, wie sie beispielsweise auch vom BSI im Grundschutzkompendium definiert werden, konkret benannt. Hierbei handelt es sich um die Ziele Vertraulichkeit, Integrität und Verfügbarkeit. Hinzugekommen ist als viertes Ziel, das der Belastbarkeit („resilience“). Was unter diesem Ziel genau zu verstehen ist, wird sich erst aus künftigen Stellungnahmen der Behörden, Kommentaren zur DSGVO oder sogar Gerichtsurteilen ableiten lassen. Eventuell ist hiermit eine Skalierbarkeit der Systeme gemeint, damit diese an steigenden Leistungs- und Sicherheitsbedarf künftig angepasst werden können.

Vorgehensweise bei der Auswahl geeigneter technischer und organisatorischer Maßnahmen

Zunächst wird es für die verantwortliche Stelle notwendig sein, den Schutzbedarf der relevanten personenbezogenen Daten festzustellen. Hierbei hat sich bereits heute die Klassifizierung in die Schutzbedarfsklassen normal, hoch und sehr hoch etabliert. Ebenso ist es bereits heute üblich, das bestehende Risiko für die Betroffenen anhand der folgenden Kriterien zu bewerten:

  1. Eintrittswahrscheinlichkeit eines bestimmten Risikos
  2. Schwere eines Risikos für die Rechte und Freiheiten natürlicher Personen

Höchste Anforderungen an die zu treffenden technischen und organisatorischen Maßnahmen werden an diejenigen Verarbeitungen gestellt, die eine hohe Eintrittswahrscheinlichkeit besitzen und gleichzeitig besonders schwere Risiken für die Rechte und Freiheiten der Betroffenen bedeuten.

Nachweispflicht für die verantwortlichen Stellen

Neu ist die in Artikel 5 DSGVO festgelegte Nachweispflicht für die Unternehmen. Nach bisherigem Stand hatte eine verantwortliche Stelle geeignete technische und organisatorische Maßnahmen zwar ebenfalls ordnungsgemäß umzusetzen. Im Zweifelsfall musste ein Betroffener bei einer vermeintlichen Verletzung seiner Persönlichkeitsrechte selbst nachweisen, dass die getroffenen Maßnahmen zum Schutz der Daten nicht geeignet oder ausreichend waren. Artikel 5 Abs. 2 DSGVO legt fest: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Dies wird insgesamt dazu führen, dass technische Aspekte der Datenverarbeitung eine deutlich höhere Bedeutung für die Datenschutzverantwortlichen bekommen, als es bisher nach dem BDSG der Fall war. Ein geeignetes Mittel zum Nachweis der Einhaltung geeigneter technischer und organisatorischer Maßnahmen ist die Zertifizierung nach allgemein anerkannten Standards (beispielsweise ISO 27001).

Warten Sie nicht zu lange, mit der Umsetzung der technischen Anforderungen durch die DSGVO. Gerne berate und unterstütze ich Sie bei der Auswahl der geeigneten technischen und organisatorischen Maßnahmen. Sprechen Sie uns an!


Diesen Beitrag teilen