DSGVO: Technische und organisatorische Maßnahmen zur Datensicherheit

Die DSGVO gilt nun seit knapp 2 Monaten und Händler haben bestenfalls bereits alle Prozesse rund um die Erhebung und Verarbeitung personenbezogener Daten DSGVO-konform gestaltet. Ein wichtiger Punkt dabei sind die Sicherheitsvorkehrungen, die Sie als Verantwortlicher sowie Ihr Auftragsverarbeiter (AV) hinsichtlich der personenbezogenen Daten treffen müssen. Gemeint sind damit die in Art. 32 DSGVO geregelten technischen und organisatorischen Maßnahmen (TOMs). In diesem Beitrag erläutern wir Ihnen, was diese TOMs sind.

Was sind TOMs?

TOMs sind technische und organisatorische Maßnahmen, die der Verantwortliche und sein AV treffen. Diese müssen geeignet sein, das Risiko für die Rechte der betroffenen Personen der Datenverarbeitung möglichst zu minimieren.

Das heißt konkret, dass gewisse Handlungen vorzunehmen sind, um ein bestimmtes Schutzniveau zu sichern. Das gilt zum einen auf digitaler Ebene (bei der Datenerhebung und -verarbeitung), z. B. in Form von Antivirus-Software und zum anderen auf physischer, organisatorischer Ebene, z. B. indem die Server, auf denen die Daten gespeichert werden, in separaten, zugangsbeschränkten und abgesicherten Räumlichkeiten aufbewahrt werden.

Zudem müssen Sie als Verantwortlicher wie auch Ihr AV sicherstellen, dass auch angestellte Mitarbeiter, die Zugang zu den personenbezogenen Daten haben, diese ausschließlich auf und nach Anweisung des Verantwortlichen verarbeiten, es sei denn, das Gesetz verpflichtet zur Verarbeitung.

Hört sich das aufwendig und nahezu unmöglich an?

Dem EU-Gesetzgeber ist dies bewusst, deswegen fordert die DSGVO nicht das höchste erzielbare, sondern ein nach den Umständen und nach Risikohöhe angemessenes Schutzniveau, welches mit den dazu geeigneten Maßnahmen herbeizuführen ist. Das bedeutet freilich nicht, dass man sich einfach für die kostengünstigsten und einigermaßen vernünftigen Maßnahmen entscheiden darf. Die DSGVO verlangt vielmehr, dass alle geeigneten Maßnahmen anhand konkreter Kriterien bestimmt und dann auch getroffen werden.

Diese Kriterien sind:

  • Stand der Technik;
  • Implementierungskosten;
  • Art, Umfang, Umstände und Zwecke der Verarbeitung;
  • unterschiedliche Eintrittswahrscheinlichkeit eines Risikos für die Rechte und Freiheiten der Betroffenen;
  • Schwere dieses Risikos.

Die ausdrückliche Berücksichtigung der Umsetzungskosten zeigt z. B. ganz klar, dass der finanzielle Aufwand sich in verhältnismäßigen Grenzen halten darf. Die Beachtung des Stands der Technik bedeutet wiederum zweierlei. Zum einen müssen technische Vorkehrungen den aktuellen Anforderungen und Entwicklungen der Technologie entsprechen und diesen nach einer Überprüfung laufend angepasst werden. Zum anderen sollen die angewandten Mittel bereits vollendet sein und ihre Effektivität und Geeignetheit bewiesen haben. Das heißt, es sind keine Maßnahmen anzuwenden, die sich noch in der Entwicklungs- oder Testphase befinden.

Bei der Bestimmung des Schutzniveaus müssen besondere Risiken beachtet werden. So sind verarbeitungsbezogene Risiken solche, die entstehen, wenn Personendaten unbeabsichtigt oder unrechtmäßig vernichtet, verloren oder verändert werden oder auch unbefugt offengelegt oder zugänglich werden.

Ansonsten ergibt sich die Schwere des Risikos insb. aus der möglichen Schadenshöhe, die proportional dazu steigt, wie sensibel die jeweiligen personenbezogenen Daten sind. Je sensibler die Daten, desto umfassendere Maßnahmen müssen zugunsten des Datenschutzes getroffen werden. Besonders sensible Daten sind z. B.: medizinische Daten, genetische Daten, Daten über strafrechtliche Verurteilungen, aber auch Daten besonders schutzbedürftiger Individuen wie z. B. Kinder.

Bei der Beurteilung der Eintrittswahrscheinlichkeit sind z. B. die Dauer der Speicherung, die Zahl der Mitarbeiter, die Zugriff auf entsprechende Daten haben sowie Beeinträchtigungen für Persönlichkeitsrechte, die zu einem Identitätsdiebstahl, finanziellem Verlust, einer Rufschädigung oder gesellschaftlichen Nachteilen führen kann.

 

Maßnahmenarten

Art. 32 Abs. 1 DSGVO enthält eine nicht abschließende Liste mit vier konkreten Maßnahmenarten, die zu treffen sind.

Das sind:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  • Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  • Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

 

Maßnahmen

Bei den meisten aufgezählten TOMs ist bereits aus der Praxis bekannt, welche Maßnahmen eingesetzt werden können bzw. sich als effektiv und zielführend erwiesen haben.

Bei der Pseudonymisierung werden Personendaten so verarbeitet, dass sie ohne zusätzliche Informationen nicht mehr einem konkreten Betroffenen zugeordnet werden können. Zudem sind diese zusätzlichen Informationen gesondert vorzuhalten. Aufgrund getroffener TOMs sind die Personendaten keiner Person zuzuweisen.

Weiter werden mehrere sicherzustellende Eigenschaften des Systems genannt, die wir Ihnen im Folgenden einzeln erläutern. Die meisten gehören mittlerweile zu den Standardzielen der IT-Sicherheit und dürften Ihnen daher bereits bekannt sein:

- Vertraulichkeit: wird u. a. durch Zutritts-, Zugriffs- oder Zugangskontrolle sowie durch Verschlüsselung gewahrt.

  • Zutrittskontrolle: rein physische Maßnahme und bedeutet, dass kein unbefugter Zutritt zu Datenverarbeitungsanlagen bestehen darf, z. B. mittels: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen.
  • Zugriffskontrolle: kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z. B. mittels Berechtigungskonzepten und bedarfsgerechte Zugriffsrechten, Protokollierung von Zugriffen, Verschlüsselung).
  • Zugangskontrolle: keine unbefugte Systembenutzung, z. B. mittels: (sichere) Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern.

Daten, die für unterschiedliche Verarbeitungszwecke erhoben wurden, sind hierbei getrennt zu verarbeiten.

- Integrität: hierbei wird eine Weitergabe verhindert, also indem kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport stattfinden kann, z. B. mittels Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur. Zudem wird dokumentiert, ob und von wem Personendaten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z. B. durch Protokollierung, Dokumentenmanagement.

- Verfügbarkeit: bedeutet Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B. mittels: Backup-Strategie (on-line/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne; schnelle Wiederherstellbarkeit in der Regel digital mittels Backup- oder Sekundärsystemen und organisatorisch ggf. etwa durch Notstromversorgung oder Personalvertretung.

- Belastbarkeit: bedeutet die Gewährleistung der Funktionsfähigkeit des Systems selbst unter erheblichem Zugriff oder erheblicher Auslastung, insb. bei hoher Inanspruchnahme durch Nutzer oder sog. DoS-Attacken („denial of service“) durch Hacker, z. B. mittels Techniken der „load balance“.

Weiter wird schließlich das Einführen eines Verfahrens zur Wirksamkeitsprüfung der TOMs angeordnet. Erforderlich ist eine kritische Begutachtung, die anhand externer Prüf- und Evaluationsberichte (unter Nutzern und Betroffenen) oder sog. „Penetrationstests“ erfolgen. Bei letzteren erfolgt ein fiktiver Angriff auf das System des Verantwortlichen, der versucht, die Schutzmechanismen umzugehen und dabei mögliche Schwachstellen feststellt. Wann genau und in welchen Zeitabständen solche Überprüfungen stattfinden müssen, hängt von den konkreten Umständen bzw. von der jeweiligen Technologie- und Risikoentwicklung ab.

 

Ist das alles neu?

Man darf nicht vergessen, dass die meisten technischen Maßnahmen, die getroffen werden müssen, nicht erst mit der DSGVO entstanden sind, sondern bereits länger zur IT-Standardsicherheit gehören und von Dienstleistern angeboten werden, falls Sie als Händler nicht die Möglichkeiten oder Kapazität haben, sich unternehmensintern darum zu kümmern (mehr zur Auftragsverarbeitung finden Sie in diesem Beitrag). Zudem wird sich Ihr Aufwand auch nach Ihrer Gestaltung der Datenverarbeitung richten, sodass Sie es teilweise selbst in der Hand haben, den Aufwand selbst zu bestimmen.

Zudem fördert die DSGVO, dass bestimmte Verhaltensregeln unter Verbänden und Vereinigungen begründet und ausgebaut werden, die Verantwortliche und AV vertreten. Weiter sollen Zertifizierungsverfahren durch europäische Behörden entwickelt werden, die das Vorliegen geeigneter TOMs erkennen lassen. So müssen Sie als Unternehmer das Rad nicht eigenständig neu erfinden. Es ist davon auszugehen, dass standardisierte Maßnahmen festgestellt werden, die den technischen Anforderungen der DSGVO gerecht werden. Die entsprechenden öffentlichen Behörden - auch auf EU-Ebene - werden sich zudem bemühen, diese Maßnahmen mit passenden Verfahren und Kennzeichnungen zu bewerten und einzuordnen.

 

Unser Tipp:

Ordnen Sie alle Datenverarbeitungsprozesse, die in Ihrem Online-Shop ablaufen, zuerst in die entsprechenden Kategorien und stellen Sie dann für jeden einzelnen fest, welche TOMs getroffen wurden. Fragen Sie zur Unterstützung in Ihrer unternehmensinterner IT-Abteilung oder Ihres AVs, die fachkundig sind und offene Fragen beantworten können. Erarbeiten Sie sodann einen gemeinsamen Überblick über alle TOMs, die zurzeit vorgenommen werden, und bewerten Sie diese nach den in der DSGVO geregelten Kriterien. Falls sich herausstellen sollte, dass einzelne Prozesse der Datenverarbeitung entweder kein angemessenes Schutzniveau anbieten oder die getroffenen TOMs zu dessen Erreichung nicht (mehr) geeignet sind, so bemühen Sie sich, schnellstmöglich die erforderliche Sicherheit auf technischer und organisatorischer Ebene herbeizuführen (z. B. durch räumliche Gestaltung, aktuellere Software, usw.).

 

DSGVO-Checkliste

 

Über die Autorin

autor_anne_hattenauerAnne Lehmann, LL.M., ist Legal Consultant bei der Trusted Shops GmbH im Bereich Legal Services. Bachelor an der Hanse Law School in Vergleichendem und Europäischem Recht sowie Master in Unternehmensrecht in Internationalem Kontext an der HWR Berlin. Im Rahmen ihrer Tätigkeit war sie zunächst für die Prüfung von Online-Shops der Märkte DACH, NL sowie UK zuständig und verantwortete das Key Account Operational Management. Sie betreut die Trusted Shops Abmahnschutzpakete und beschäftigt sich intensiv mit den für Online-Händler relevanten Rechtsgebieten.

26.07.18

© 2024 Trusted Shops AG  |  Impressum  |  Datenschutz  |  Cookies