aufsichtsbehörde prüft rechtsgrundlage öffentliches interesse öffentliche gewalt hoheitliche aufgabe 6 1 e dsgvo tom passwörter bsi risikoanalyse zawas

Der Prozess zur Auswahl angemessener Sicherungsmaßnahmen (ZAWAS)

/von

Für Organisationen und Unternehmen ist es von entscheidender Bedeutung, angemessene Sicherheitsmaßnahmen zu implementieren, um die Vertraulichkeit, Integrität und Verfügbarkeit der ihnen anvertrauten personenbezogenen Daten zu gewährleisten. In diesem Blogbeitrag wollen wir einen ausführlichen Blick auf den Prozess zur Auswahl angemessener Sicherungsmaßnahmen werfen, wie er vom Landesbeauftragten für Datenschutz Niedersachsen (LfDI) empfohlen wird. Ein wichtiger Bestandteil dieser Richtlinien ist der Prozess zur Auswahl angemessener Sicherungsmaßnahmen, der Organisationen dabei unterstützen soll, Datenschutzrisiken zu identifizieren und geeignete Maßnahmen zur Risikominderung zu ergreifen. Dieser Prozess ist gar nicht so neu. Er wurde bereits im November 2018 veröffentlicht, ist aber immer noch aktuell und unseres Erachtens sehr hilfreich. Daher wollen wir ZAWAS hier einmal kurz und knackig vorstellen.

Wo die Notwendigkeit der angemessen Sicherheitsmaßnahmen herkommt

Art. 32 Abs. 1 DSGVO legt fest:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten […]

Es wird also nicht nur erlaubt, beim Schutz der verarbeiteten Daten risikoorientiert vorzugehen, es wird sogar gefordert. Da Art. 5 Abs. 2 DSGVO allen Auftragsverarbeitern und Verantwortlichen eine Rechenschaftspflicht auferlegt, ist eine zu dokumentierende vorangehende Risikoanalyse für die Bestimmung der zu treffenden technischen und organisatorischen Maßnahmen (TOM) somit unerlässlich.

Verarbeitungstätigkeit beschreiben

Im ersten Schritt muss zunächst definiert werden, welche Arten von Verarbeitungstätigkeiten betrachtet werden sollen. Dazu werden die Arten der verarbeiteten personenbezogenen Daten, der Zweck der Datenverarbeitung, die beteiligten Parteien sowie die Systeme oder Prozesse, die für die Datenverarbeitung verwendet werden, identifiziert. Hierbei kann und sollte das Verzeichnis von Verarbeitungstätigkeiten (s. Art. 30 Abs. 1 DSGVO) hervorragend als Basis dienen.

Rechtliche Grundlagen prüfen

Gemäß Art. 5 Abs. 1 lit. a DSGVO ist eine gründliche Prüfung der rechtlichen Grundlagen unerlässlich, um sicherzustellen, dass die Verarbeitungstätigkeit im Einklang mit den geltenden Datenschutzgesetzen steht. Dies umfasst die Überprüfung relevanter Gesetze und Verordnungen der EU, sowie spezifischer rechtlicher Anforderungen in den Mitgliedsstaaten, bis hin zu branchenspezifischen Regelungen. Dies ist wichtig und die niedersächsische Aufsicht weist so deutlich darauf hin, dass wir es als Zitat übernehmen:

Eine fehlende Rechtsgrundlage kann nicht durch TOM geheilt werden.

Wie oft wir diesen Satz schon gesagt haben…

Strukturanalyse durchführen

Die Durchführung und Beschreibung der zu schützenden Objekte erfolgt in einer Strukturanalyse, die dabei hilft, die Organisation und die zugrunde liegenden Prozesse der Datenverarbeitung zu verstehen. Dies beinhaltet die Identifizierung von Diensten (zum Beispiel Buchhaltung), Systemen, Kommunikationsbeziehungen und Schnittstellen zwischen den Systemen, sowie von Räumlichkeiten und natürlich von Daten.

Risiken identifizieren

Im nächsten Schritt werden potenzielle Risiken im Zusammenhang mit der Datenverarbeitung identifiziert und bewertet. Dies umfasst die Analyse von Bedrohungen, Schwachstellen und möglichen Auswirkungen auf die Gewährleistungsziele aus Art. 5 Abs. 1 DSGVO: Datenminimierung, Vertraulichkeit, Integrität, Verfügbarkeit und Transparenz. Risiken können sowohl interne (zum Beispiel menschliches Versagen oder unzureichende Sicherheitsmaßnahmen) als auch externe (beispielsweise Cyberangriffe oder Naturkatastrophen) Ursachen haben.

Eintrittswahrscheinlichkeit bewerten

Die Eintrittswahrscheinlichkeit eines Risikos beschreibt, mit welcher Wahrscheinlichkeit ein bestimmtes Ereignis (das selbst auch ein Schaden sein kann) eintritt und mit welcher weiteren Wahrscheinlichkeit es zu Folgeschäden kommen kann.

Diese Bewertung basiert auf verschiedenen Faktoren, darunter die Art der verarbeiteten Daten, der Umfang der Verarbeitung, die Präsenz von Gefährdungslagen, historische Daten, bekannte Sicherheitsvorfälle, das Missbrauchsinteresse der Schädiger*innen, der Aufwand, um den Schaden herbeizuführen und auch das Entdeckungsrisiko.

Schadensschwere einschätzen

Die Schadensschwere bezieht sich auf das Ausmaß der möglichen negativen Auswirkungen, die eintreten können, wenn ein bestimmtes Risiko eintritt.

Dies umfasst finanzielle Verluste, Rufschäden, rechtliche Konsequenzen, Datenschutzverletzungen und andere negative Folgen. Die Einschätzung der Schadenswerte erfolgt in der Regel auf der Grundlage von Faktoren wie dem Wert der betroffenen Daten, den potenziellen Auswirkungen auf die betroffenen Personen sowie den regulatorischen Anforderungen und Verpflichtungen.

Sowohl für die Differenzierung der Eintrittswahrscheinlichkeit als auch für mögliche Schäden könnten jeweils folgende Abstufungen verwendet werden:

  • geringfügig
  • überschaubar
  • substanziell
  • groß

Risikowert ermitteln

Der Risikowert wird durch die Kombination von Eintrittswahrscheinlichkeit und Schadensschwere bestimmt. Dies erfolgt häufig mithilfe einer Risikomatrix oder ähnlicher Tools, die es ermöglichen, Risiken visuell darzustellen und ihre relative Bedeutung zu bewerten. Wir nutzen hierfür gerne die Risikomatrix aus dem Kurzpapier Nr. 18 der DSK.

Risiken mit hoher Schadensschwere und hoher Eintrittswahrscheinlichkeit erhalten einen höheren Risikowert und erfordern daher dringendere oder stärker eingreifende Maßnahmen zur Risikominderung.

Indem Organisationen diese Aspekte sorgfältig analysieren und bewerten, können sie ein fundiertes Verständnis für die Risiken im Zusammenhang mit der Datenverarbeitung entwickeln und geeignete Maßnahmen zur Risikominderung ergreifen.

Maßnahmen auswählen

Basierend auf den identifizierten Risikowerten werden geeignete Sicherheitsmaßnahmen ausgewählt. Dabei ist es wichtig, dass diese Maßnahmen nicht nur die identifizierten Risiken adressieren, sondern auch im Einklang mit den gesetzlichen Anforderungen stehen und den individuellen Bedürfnissen und Gegebenheiten der Organisation entsprechen. Die Maßnahmen können technischer oder organisatorischer Natur sein und sollten darauf abzielen, identifizierte Risiken zu minimieren oder zu eliminieren. Die Auswahl der Maßnahmen erfolgt unter Berücksichtigung des Risikowerts, dem Stand der Technik und den Implementierungskosten.

Maßnahmen können beispielsweise auf Basis des BSI-Grundschutzkompendiums abgeleitet werden.

Restrisiko bewerten

Auch nach der Implementierung von Sicherheitsmaßnahmen bleiben in den meisten Fällen Restrisiken bestehen. Die Restrisikobewertung hilft dabei, die Wirksamkeit der getroffenen Maßnahmen zu überprüfen und mögliche Verbesserungen zu identifizieren und umzusetzen. Sollten hohe Restrisken bestehen bleiben, kann die Verarbeitung nicht durchgeführt werden. In solchen Fällen wird auch die „Dicke-Daumen-Schwellwertanalyse“, die häufig zur Prüfung, ob eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchzuführen ist, gemacht wird, mit hoher Wahrscheinlichkeit ebenfalls ein hohes Risiko für die Verarbeitung ergeben. Unter Umständen könnte es sogar sinnvoll sein, diese Schwellwertanalyse ebenfalls mittels ZAWAS durchzuführen.

Maßnahmen konsolidieren

Die ausgewählten Maßnahmen können konsolidiert betrachtet werden. Durch eine umgesetzte Maßnahme kann gegebenenfalls eine andere Maßnahme entfallen, ohne die Schutzziele zu gefährden. Ferner kann eine Konkretisierung oder Anpassung an Unternehmensgegebenheiten von Maßnahmen erfolgen. Beide Aktivitäten dienen dazu, den Umsetzungsaufwand im Rahmen zu halten oder sogar zu senken.

Maßnahmen realisieren

Die auf das Unternehmen zugeschnittene Maßnahmenliste kann anschließend umgesetzt werden. Hierbei werden die Aufgaben und Verantwortlichkeiten zugewiesen, priorisiert und dokumentiert, die Umsetzung überprüft, Richtlinien und Verfahren sowie die Überwachung und das Management der Sicherheitsinfrastruktur aktualisiert – das Übliche also.

Regelmäßige Überprüfungen und Audits sind notwendig, um sicherzustellen, dass die Sicherheitsmaßnahmen ordnungsgemäß funktionieren und den sich ständig verändernden Bedrohungen gerecht werden. Auch hier könnte man sagen „das Übliche“. Allerdings stellen wir immer wieder fest, dass insbesondere dieser Teil des Umgangs mit den TOM von den Unternehmen vernachlässigt wird. Und das, obwohl er in Art. 32 Abs. 1 lit. d DSGVO ausdrücklich gefordert wird.

Fazit 1

Indem Organisationen diesen strukturierten Prozess zur Auswahl angemessener Sicherheitsmaßnahmen befolgen, können sie nicht nur die Einhaltung der Datenschutzgesetze sicherstellen, sondern auch das Vertrauen ihrer Kund*innen und Partner*innen stärken und die Risiken im Zusammenhang mit der Datenverarbeitung wirksam und nachweisbar managen.

Fazit 2

Der Prozess zur Auswahl angemessener Sicherungsmaßnahmen gemäß des LfDI Niedersachsen bietet einen strukturierten und praxisorientierten Ansatz, um Datenschutzrisiken zu bewerten und angemessen zu adressieren. Indem Organisationen diesen Prozess befolgen, können sie nicht nur die Einhaltung der Datenschutzgesetze sicherstellen, sondern auch das Vertrauen aller an der Verarbeitung Beteiligten und von der Verarbeitung betroffenen Personen stärken. Datenschutz ist keine einmalige Aufgabe, sondern eine kontinuierliche Verpflichtung, die ständige Aufmerksamkeit und Anpassung erfordert. Durch eine proaktive und ganzheitliche Herangehensweise können Organisationen dazu beitragen, die Privatsphäre und Sicherheit der von ihnen verarbeiteten Daten zu gewährleisten und gleichzeitig ihre eigenen Interessen zu schützen.


Diesen Beitrag teilen

Das könnte Dich auch interessieren
rechtsgrundlage lebenswichtige interessen übermittlung an anwalt rechtsverteidigung rechtsdurchsetzung bem einwilligung eugh bußgeldEuGH entscheidet zu deutscher Bußgeldpraxis – beide Seiten jubeln
vorabkontrolle videoüberwachung beweismittel bundesarbeitsgericht bag 4 bdsg europarechtswidrig bundesarbeitsgericht bag lag landesarbeitsgericht verwertungsverbotAktuelle Rechtsprechung zur Videoüberwachung
abmahnung schmerzensgeld google fonts eugh urteil rechtmäßigkeit verstoß Drittes geschlecht divers korrektheit informationspflichten bußgeld cnilDas dritte Geschlecht im Bereich des Datenschutzes
TOM technische organisatorische maßnahmen schufa scoringDer kleine TOM mal wieder – was ist besser? Technische oder organisatorische Maßnahmen?
auftragsverarbeitung kontrolle juristische person als datenschutzbeauftragterAuftragsverarbeitung – Kontrolle der (Unter-)Auftragnehmer
Telemetriedaten microsoft 365 dsk verbotenDSK verbietet (mehr oder weniger) den Einsatz von Microsoft 365