Sicherheit der Verarbeitung nach der EU Datenschutz-Grundverordnung
© typographyimages / pixabay
Die Regelungen der Europäischen Datenschutz-Grundverordnung zur Sicherheit der Verarbeitung ersetzen die bisherigen technisch-organisatorischen Vorgaben in § 9 BDSG bzw. § 9 LDSG („10 Gebote“). Die wesentlichen Anforderungen finden sich in den Art. 5, Art. 25 und Art. 32 DS-GVO.
Danach muss durch geeignete technische und organisatorische Maßnahmen eine angemessene Sicherheit gewährleistet werden. In der Terminologie nimmt die DSGVO dabei auf die die Allgemeinen Kriterien für die Bewertung der Sicherheit von Informationstechnologie (Common Criteria) Bezug. Auf hierfür relevante Systematiken (z.B. BSI-Grundschutzkataloge) kann daher auch künftig zurückgegriffen werden.
Von Bedeutung ist künftig ein risikobasierter Ansatz, d.h. die Ausrichtung der erforderlichen Maßnahmen an der Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken. Dabei sind insbesondere folgende Risiken in den Blick zu nehmen:
- unbeabsichtigte/unrechtmäßige Vernichtung und Veränderung,
- unbeabsichtigter/unrechtmäßiger Verlust,
- unbefugte Offenlegung,
- unbefugter Zugang zu personenbezogenen Daten.
Dies begründet die Notwendigkeit einer stärker als bislang formalisierten Risikoanalyse.
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art und Zwecke der Verarbeitung sind geeignete technisch-organisatorische Maßnahmen zu treffen, die Folgendes einschließen:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten,
- die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste sicherzustellen,
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen nach einem Zwischenfall rasch wiederherzustellen.
Neu sind die Anforderung, ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Sicherheitsmaßnahmen zu etablieren (Datenschutzmanagement; Art. 32 Abs. 1 Buchst. d) DSGVO), sowie ein Sicherheitskonzept, das die getroffenen Maßnahmen darstellt (vgl. Art 5 Abs. 2 DSGVO).
Für die Risikoanalyse sowie die Datenschutzfolgeabschätzung sollte auf das von der Konferenz der unabhängigen Datenschutzbehörden entwickelte Standard-Datenschutzmodell zurückgegriffen werden.