Datenschutz Verstehen – Angemessenheit der technischen und organisatorischen Maßnahmen.
Einleitung
In einem früheren Blogbeitrag haben wir uns allgemein mit dem Thema technisch-organisatorische Maßnahmen (TOM) befasst. Heute möchten wir uns in diesem Thema vertiefen und die Frage beantworten, wann das durch die TOM gewährleistete Schutzniveau als angemessen gilt. Diese Frage ist hinsichtlich etwaiger Haftungsansprüche nach einer Verletzung des Schutzes von personenbezogenen Daten höchst relevant. Unternehmen sollten verstehen, wann die getroffenen Maßnahmen ausreichend sind, um als angemessen in einem Haftungsfall bewertet zu werden.
Was ist ein angemessenes Schutzniveau im Datenschutz?
Art. 32 DSGVO fordert kein starres, bestimmtes Schutzniveau. Es muss jeweils das Einzelfallrisiko berücksichtigt werden. Das konkrete Schutzniveau, das im einschlägigen Einzelfall angemessen ist, wird anhand eines Bündels an Faktoren ermittelt. Um das angemessene Schutzniveau zu ermitteln, ist eine Abwägung zwischen diesen Faktoren notwendig. Diese Faktoren werden im folgenden Kapitel genauer angesprochen.
Es gibt verschiedene Blickwinkel hinsichtlich der Angemessenheit des Schutzniveaus im Datenschutz. Genauso wie andere Fragen bezüglich der TOM wird das angemessene Schutzniveau durch Art. 32 DSGVO geregelt. Von Bedeutung sind auch einige weitere DSGVO-Vorschriften, z.B. Art. 9, der die besonders schutzwürdigen Datenkategorien bestimmt, sowie Erwägungsgründe (ErwG) zur DSGVO. Dies sind vor allem folgende: ErwG 75 zu den Risiken für die Rechte und Freiheiten natürlicher Personen, ErwG 76 zur Risikobewertung, ErwG 77: Leitlinien zur Risikobewertung, ErwG 78 zu geeigneten technischen und organisatorischen Maßnahmen, ErwG 83 zur Sicherheit der Verarbeitung. Auf dem ErwG 78 beruhen solche Maßnahmen wie Grundsätze des Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen. Als Beispiele für Sicherheitsmaßnahmen nennt ErwG 78 außerdem den Grundsatz der Datenminimierung, die Pseudonymisierung, Transparenz der Verarbeitung, Überwachungsmöglichkeit der betroffenen Person. ErwG 83 addiert dazu die Verschlüsselung. Auch legt ErwG 83 Kriterien fest, nach denen die Risikoabwägung erfolgen soll (Stand der Technik, Implementierungskosten u.a.) und benennt die wesentlichsten vorzubeugenden Risiken – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung (mehr dazu unten).
Die wichtigsten Faktoren für die Angemessenheit des Schutzniveaus
Zunächst sind die mit der Verarbeitung verbundenen Risiken (Art. 32 Abs. 1 lit. a) DSGVO) relevant. Das Risiko ist bei jeder Verarbeitung individuell. Es sind die Art, der Umfang, die Umstände und der Zweck bzw. die Zwecke der Verarbeitung zu berücksichtigen. Generell sind zur Beurteilung des Risikos zwei Punkte zu ermitteln: die Schwere des möglichen Schadens und dessen Eintrittswahrscheinlichkeit. Zu den vorzubeugenden Risiken zählen insbesondere Vernichtung, Verlust, Veränderung, unbefugte Offenlegung, unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
Eintrittswahrscheinlichkeit
Hier soll die Frage beantwortet werden, wie wahrscheinlich ein Vorfall bei der Datenverarbeitung ist, bei dem die oben genannten Risiken sich verwirklichen. Bei der Beurteilung kann z.B. die betriebliche Erfahrung helfen. Je größer die Eintrittswahrscheinlichkeit ist, desto höher muss das angemessene Schutzniveau sein.
Schwere
Die Schwere des Schadens hängt vornehmlich von der Sensibilität der Daten ab. Je schutzwürdiger die Daten sind, desto höher ist die mögliche Schadensschwere. Zu besonders sensiblen Daten zahlen nach DSGVO personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung und Daten über strafrechtliche Verurteilungen und Straftaten.
Was bedeutet Stand der Technik?
Die Maßnahmen müssen dem Stand der Technik (engl. „state oft he art“) entsprechen. Dies bedeutet, dass die Maßnahmen:
- den aktuellen technischen Möglichkeiten entsprechen,
- auf gesicherten wissenschaftlichen und technischen Erkenntnissen basieren,
- sich in der Praxis bewährt haben und
- in ausreichendem Maße zur Verfügung stehen.
Auch müssen sich die Maßnahmen dem Stand der technischen Entwicklung fortlaufend anpassen. Jeder Verantwortliche muss damit die eigenen TOM entsprechend überwachen und aktualisieren. Besonders relevant ist das für KI-Technologien, da in diesem Umfeld die Entwicklung besonders schnell voranschreitet.
Natürlich müssen Sie den Stand der Technik nicht selbständig ermitteln. Eine wichtige Hilfe sind die in Deutschland anerkannten Standards wie die BSI-Standards, Zertifizierungsstandard ISO 27002, JI-Richtlinie (für Polizei und Justiz) oder die NIS2-Richtlinie. Wurde eine Datenschutz-Folgenabschätzung vorgenommen, so sind die maßgeblichen Risiken in der Regel schon ermittelt. Es soll dann eine Handlungsstrategie überlegt werden, um die Risiken vorzubeugen.
Verhältnismäßigkeit
Die Verhältnismäßigkeit ist eine wichtige Beschränkung der Pflichten des Verantwortlichen. So verlangt das Gesetz nicht, dass alle theoretisch denkbaren Sicherheitsmaßnahmen getroffen werden, sondern nur, dass die wirtschaftlich zumutbaren Maßnahmen implementiert werden. Selbstverständlich müssen sie auch im Bereich des technisch Machbaren liegen. Sind die Risiken für die Betroffenen niedrig und die Implementierungskosten zu hoch, so kann von der Maßnahme ausnahmsweise abgesehen werden. In aller Regel sind aber die angemessenen Maßnahmen jedoch auch wirtschaftlich zumutbar. Wenn in Ihrem Unternehmen eine solche Frage entsteht, sollten Sie sich am besten an Ihren Datenschutzbeauftragten wenden, um eine rechtssichere Lösung zu finden.
Beispiel für die Angemessenheit des Schutzniveaus
Um die Anforderungen zu veranschaulichen, geben wir hier ein paar Beispiele für die Angemessenheit des Schutzniveaus bei verschiedenen Unternehmensbranchen. Denn wie zuvor bereits beschrieben, wird die Angemessenheit anhand der spezifischen Unternehmensmerkmale bewertet.
Beispiel Software-Unternehmen:
Die TechTemplate GmbH ist ein mittelständisches Software-Unternehmen, das sich auf die Entwicklung und den Vertrieb von maßgeschneiderten Softwarelösungen für Geschäftskunden (B2B) spezialisiert hat. Das Unternehmen wurde 2010 gegründet und hat sich seither zu einem der führenden Anbieter in seinem Segment entwickelt. Die Kernkompetenz von TechTemplate liegt in der Bereitstellung von ERP-Systemen (Enterprise Resource Planning), CRM-Plattformen (Customer Relationship Management) und individuellen Cloud-Lösungen zur Optimierung von Geschäftsprozessen in verschiedenen Branchen wie dem Finanzwesen, der Fertigung und dem Einzelhandel.
TechTemplate beschäftigt aktuell rund 500 Mitarbeiter und hat seinen Hauptsitz in Berlin, Deutschland. Darüber hinaus unterhält das Unternehmen Niederlassungen in München (Deutschland), Wien (Österreich) und Zürich (Schweiz). Die internationalen Standorte ermöglichen es, Kunden aus dem gesamten DACH-Raum sowie weltweit zu betreuen.
TechTemplate verarbeitet eine Vielzahl an sensiblen Daten im Rahmen seiner Softwarelösungen. Diese umfassen:
- Kundendaten: Zu den verarbeiteten Informationen gehören Kontakt- und Vertragsdaten von Geschäftskunden.
- Geschäftsprozesse: Daten zu internen Prozessen der Kunden, wie Finanzdaten, Bestellvorgänge und Lieferketteninformationen.
- Mitarbeiterdaten: In den CRM- und HR-Softwarelösungen verarbeitet TechTemplate personenbezogene Daten der Mitarbeiter ihrer Kunden, darunter Gehaltsinformationen, Arbeitszeiten und Leistungsdaten.
- Produktionsdaten: Bei Fertigungs- und Produktionsunternehmen sammelt die Software Produktionszahlen, Maschinenlaufzeiten und Wartungsinformationen.
Ein potenzielles Risiko liegt im Bereich der Cybersicherheit. Aufgrund der Verarbeitung sensibler Geschäftsdaten besteht die Gefahr von Hackerangriffen, Datendiebstahl oder Systemausfällen. TechTemplate muss kontinuierlich in IT-Sicherheit und Datenschutz investieren, um die Kundendaten und Systeme vor unberechtigtem Zugriff zu schützen. Aufgrund der Risikobewertung wurden folgende Maßnahmen umgesetzt:
- Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)
- Datenverschlüsselung: Alle sensiblen Kundendaten sollten sowohl bei der Speicherung (at rest) als auch während der Übertragung (in transit) verschlüsselt werden. Das betrifft vor allem personenbezogene Daten von Kunden und deren Mitarbeitern sowie geschäftsrelevante Informationen. Die Verwendung von AES-256 oder RSA für Verschlüsselung wäre eine angemessene Maßnahme.
- End-to-End-Verschlüsselung: Bei der Kommunikation zwischen Kunden und den Softwarelösungen (z.B. CRM oder ERP) sollte eine End-to-End-Verschlüsselung eingesetzt werden, um zu gewährleisten, dass Daten nicht abgefangen oder manipuliert werden.
- Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO)
- Pseudonymisierung von personenbezogenen Daten: Um den Zugriff auf direkte personenbezogene Informationen zu minimieren, könnte TechTemplate personenbezogene Daten wie Namen oder Adressen pseudonymisieren. Dies bedeutet, dass diese Daten nur noch über zusätzliche Informationen auf eine Person zurückgeführt werden können, die getrennt gespeichert und gesichert werden.
- Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Zugriffskontrollen: Es sollten strenge rollenbasierte Zugriffskontrollmechanismen implementiert werden, um sicherzustellen, dass nur autorisierte Mitarbeiter auf sensible Daten zugreifen können. Eine Multi-Faktor-Authentifizierung (MFA) sollte für alle internen Systeme verpflichtend sein.
- Netzwerk-Sicherheit: Die Implementierung von Firewalls, Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) ist notwendig, um unbefugte Zugriffe auf die IT-Infrastruktur von TechTemplate zu verhindern. Regelmäßige Updates und Patches von Systemen und Anwendungen sind ebenso wichtig.
- Sicherheitsüberwachung und Protokollierung: Der Einsatz von Monitoring-Tools zur Überwachung von Netzwerkverkehr und IT-Systemen sowie die Protokollierung aller Zugriffsversuche auf sensible Daten sollten standardmäßig erfolgen. Dies ermöglicht die schnelle Erkennung und Reaktion auf Sicherheitsvorfälle.
- Backups und Wiederherstellungspläne: Es sollten regelmäßig verschlüsselte Backups aller relevanten Daten erstellt werden, und es muss ein Desaster Recovery Plan (DRP) vorliegen, der sicherstellt, dass im Falle eines Cyberangriffs, Systemausfalls oder Datenverlusts der Geschäftsbetrieb schnell wiederhergestellt werden kann. Die Backups sollten regelmäßig getestet werden.
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)
- Sicherheitsaudits: Regelmäßige Sicherheitsaudits und Penetrationstests durch interne oder externe Sicherheitsfirmen sollten durchgeführt werden, um Schwachstellen in den Systemen zu identifizieren und zu beheben. Diese Tests sollten mindestens einmal jährlich und nach jeder wesentlichen Systemänderung durchgeführt werden.
- Risikobewertung: Eine regelmäßige Risikobewertung der Datenverarbeitungsprozesse sollte stattfinden, um neue Bedrohungen oder Schwachstellen zu identifizieren und entsprechende Gegenmaßnahmen zu ergreifen.
- Schulung der Mitarbeiter: Alle Mitarbeiter von TechTemplate sollten regelmäßig in den Bereichen Datenschutz, Sicherheit und Phishing-Prävention geschult werden. Dies stellt sicher, dass alle Mitarbeiter über die neuesten Bedrohungen und Best Practices informiert sind.
- Sicherheitsvorfälle und Meldepflichten (Art. 33 DSGVO)
- Incident-Response-Plan: TechTemplate sollte einen umfassenden Incident-Response-Plan implementieren, der festlegt, wie im Falle eines Datenschutzvorfalls zu handeln ist. Dieser Plan muss die Benachrichtigung der zuständigen Datenschutzbehörden innerhalb von 72 Stunden (gemäß Art. 33 DSGVO) sowie die Information der betroffenen Personen umfassen.
- Datenschutzbeauftragter (DSB): Ein interner oder externer Datenschutzbeauftragter sollte bestellt werden, der für die Überwachung der Einhaltung der DSGVO-Vorgaben, für die Kommunikation mit den Aufsichtsbehörden und für die Schulung der Mitarbeiter verantwortlich ist.
- Minimierung und Zweckbindung der Datenerhebung (Art. 5 DSGVO)
- Datenminimierung: TechTemplate sollte nur die personenbezogenen Daten erfassen und verarbeiten, die für den jeweiligen Geschäftszweck erforderlich sind. Unnötige Daten sollten nicht erhoben und veraltete Daten regelmäßig gelöscht werden.
- Zweckbindung: Daten dürfen nur für den definierten Zweck verarbeitet werden. TechTemplate sollte durch technische Maßnahmen sicherstellen, dass Kundendaten nicht für andere Zwecke als den vorgesehenen verwendet werden.
- Datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO)
- Privacy by Design und Default: Alle neuen Softwareentwicklungen sollten unter Berücksichtigung des Prinzips „Datenschutz durch Technikgestaltung“ entwickelt werden. Dies bedeutet, dass die Software von vornherein so gestaltet wird, dass sie die Anforderungen des Datenschutzes erfüllt (z.B. durch standardmäßige Verschlüsselung und restriktive Voreinstellungen).
Fazit
Das Gesetz fordert, dass bei der Datenverarbeitung ein angemessenes Schutzniveau eingehalten wird. Das angemessene Schutzniveau ist nicht statisch, sondern muss jeweils im Einzelfall mittels einer Abwägung bedeutender Faktoren ermittelt werden. Die bedeutenden Faktoren sind die Risiken bei der Verarbeitung (Schadensschwere und Eintrittswahrscheinlichkeit), Sensibilität der Daten, Stand der Technik, Verhältnismäßigkeit (insb. Implementierungskosten) und ggf. das Ergebnis der DSFA. Die Einhaltung der anerkannten Standards (BSI-Standards, ISO 27001) kann die Einhaltung des angemessenen Schutzniveaus erheblich erleichtern.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.