DSGVO
Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die die Regeln für die Verarbeitung personenbezogener Daten EU-weit vereinheitlicht.
Die wichtigsten Grundsätze der DSGVO für die IT-Sicherheit:
Personenbezogene Daten müssen durch geeignete technische und organisatorische Maßnahmen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der Daten gewährleistet. Dazu gehört, dass unbefugte Personen weder zu den Daten noch zu den Geräten mit denen sie verarbeitet werden, Zugang haben. Die in der DSGVO verankerte „Rechenschaftspflicht“, führt dazu, dass jeder datenschutzrechtlich Verantwortliche in der Lage sein muss, die Rechtmäßigkeit der Datenverarbeitung nachzuweisen.
Was sind „Verantwortliche“ und „Auftragsverarbeiter“?
Bei der Verarbeitung personenbezogener Daten wird zwischen dem Verantwortlichen und dem Auftragsverarbeiter unterschieden. Die Unterscheidung zwischen Verantwortlichen und Auftragsverarbeiter kann äußerst komplex sein und stellt eine schwierige Rechtsfrage des europäischen Datenschutzrechts dar. Die Abgrenzung ist für die IT-Sicherheit von besonderer Wichtigkeit, da die jeweilige Funktion darüber bestimmt, wer in welchem Umfang über die Implementation von IT-Sicherheitsmaßnahmen Verantwortung trägt. Der Auftragsverarbeiter fungiert als „verlängerter Arm“ der verantwortlichen Person. Er entscheidet also nicht selbst über die Zwecke und Mittel der Verarbeitung. Zu den zentralen Pflichten des Auftragsverarbeiters gehört insbesondere die Implementation angemessener technischer und organisatorischer Maßnahmen zur Absicherung der von ihm durchgeführten Verarbeitung. Die Maßnahmen können und müssen vom jeweiligen Verantwortlichen mit geeigneten Mitteln regelmäßig überprüft werden.
Sicherheit der Datenverarbeitung
Art. 32 DSGVO regelt die Sicherheit der Verarbeitung und nennt dazu beispielhaft einige mögliche Maßnahmen zur Sicherstellung eines geeigneten Schutzniveaus, z.B.:
- Die Verschlüsselung personenbezogener Daten (lit. a)
- Die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sicherzustellen (lit. b)
- Die Fähigkeit den Zugang zu den Daten bei einem Zwischenfall rasch wiederherzustellen (lit. c)
- Ein Verfahren zur regelmäßigen Überprüfung (lit. d)
In Bezug auf die gewünschte Technikneutralität und Entwicklungsoffenheit der DSGVO werden auch im Art. 32 DSGVO nur Vorschläge gegeben und keine konkret umzusetzenden Maßnahmen genannt.
Die Verschlüsselung personenbezogener Daten:
Unter Verschlüsselung versteht man den Vorgang, bei dem klar lesbare Information in mit Hilfe eines Verschlüsselungsverfahrens in „nicht lesbare“ (im Sinne von „nicht verständliche“) Zeichenfolgen umgewandelt. Damit soll es selbst bei einem unerlaubten Zugriff auf das System nicht möglich sein, die Daten zu interpretieren und einen Personenbezug herzustellen.
Die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sicherzustellen
Mit der Wortwahl impliziert der Gesetzesgeber, dass man nicht von einer absoluten Sicherheit ausgehen kann. Es geht also nicht nur um die Abwehr von unbefugten Zugriffen oder Störungen, sondern auch um die Möglichkeit, solche zu erkennen und melden. Damit gemeint sind sogenannte „Intrusion Detection and Response“ Systeme.
1. Vertraulichkeit
Vertraulichkeit bedeutet der Schutz von Informationen vor unbefugter Preisgabe. Dies kann beispielsweise mit Zugriffs- oder Zugangskontrollen umgesetzt werden.
2. Integrität
Hiermit soll die Manipulation von Daten verhindert werden. Mit Manipulation ist nichts anderes als eine unautorisierte Veränderung von Daten. Elektronische Signaturen sind klassische Schutzmaßnahmen, um die „Richtigkeit“ von Daten sicherzustellen.
3. Verfügbarkeit
Verfügbarkeit bedeutet in der Informationstechnik die Wahrscheinlichkeit, dass ein System die geforderte Leistung realisiert. Um die Verfügbarkeit zu erhalten, werden in der Regel Komponenten der Datenverarbeitung mehrfach (redundant) in das System eingebaut („Back-up“).
4. Belastbarkeit
Die Belastbarkeit (auch Resilienz) meint die Fähigkeit, die Leistungsfähigkeit bei internen als auch externen Störungen aufrechtzuerhalten.
Die Fähigkeit den Zugang zu den Daten bei einem Zwischenfall rasch wiederherzustellen
Hier sind Maßnahmen gefordert, damit der Verpflichtete in der Lage ist, die Verfügbarkeit der Daten und den Zugang zu ihnen rasch wiederherzustellen. Backups und die Schaffung redundanter Systeme sind auch hier denkbar. Was mit der „raschen“ Wiederherstellung gemeint ist, bleibt unklar. Es ist überzeugend, dass bei der Feststellung der geforderten Geschwindigkeit der Schwere des Zwischenfalls eine entscheidende Rolle zukommt.
Ein Verfahren zur regelmäßigen Überprüfung
Die Verantwortlichen sind verpflichtet, nicht nur Maßnahmen zu etablieren, sondern auch deren Wirksamkeit regelmäßig zu testen. Penetrationstests können hier ein geeignetes Mittel darstellen. Wie oft solche Tests durchgeführt werden müssen, hängt auch hier von der Relevanz der Systeme und Daten ab.