Geldbußen wegen unzureichender technisch- organisatorischer Maßnahmen

Mit Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) können unzureichende technische und organisatorische Maßnahmen mit Geldbußen bis zu zehn Millionen Euro oder, sofern dieser Betrag höher ist, bis zu zwei Prozent des weltweiten Jahresumsatzes eines Unternehmens geahndet werden. Die Datenschutzaufsichtsbehörde hat gegenüber dem Betreiber einer Internetseite einen Bußgeldbescheid über 65.500 Euro erlassen, weil die eingesetzte Software des Online-Shops veraltet war und erhebliche Sicherheitslücken enthielt.

Während vor Wirksamwerden der DS-GVO unzureichende technisch-organisatorische Maßnahmen (TOM) nicht unmittelbar bußgeldbewehrt waren, hat der Gesetzgeber in Artikel 25 DS-GVO und insbesondere in Art. 32 DS-GVO Anforderungen an TOM formuliert und Verstöße gegen die darin auferlegten Pflichten ausdrücklich von der Bußgeldvorschrift des Artikel 83 Absatz 4 Buchstabe a DS-GVO erfasst.

Was sind TOM?

Die DS-GVO fordert von Verantwortlichen und Auftragsverarbeitern, über TOM sicherzustellen, dass Risiken für personenbezogene Daten bereits vor der Verarbeitung geprüft, abgewogen und durch entsprechende Vorkehrungen minimiert werden. Diese Abwägung ist für jedes einzelne Verfahren notwendig. Zwar ist eine abschließende Auflistung nicht möglich, der Gesetzgeber nennt in Artikel 32 Absatz 1 DS-GVO jedoch typische Maßnahmen, die zu einem angemessenes Schutzniveau beitragen. Darüber hinaus verlangt Artikel 24 Absatz 1 Satz 2 DS-GVO, dass diese Maßnahmen nicht nur zum Zeitpunkt der Etablierung eines Verfahrens einen ausreichenden Schutz darstellen müssen, sondern auch zum Zeitpunkt der jeweiligen Verarbeitung. Der Verordnungsgeber verlangt dazu ausdrücklich, dass die „Maßnahmen […] erforderlichenfalls überprüft und aktualisiert“ werden.

Pseudonymisierung und Verschlüsselung

Bei der Pseudonymisierung im Sinne des Artikels 4 Nummer 5 DS-GVO kann ein „Inhaltsdatensatz“ einer bestimmten Person nur mit Hilfe einer gesondert aufzubewahrenden Tabelle zugeordnet werden. Damit kann eine Pseudonymisierung bei Bedarf aufgehoben werden. Solche Verfahren kommen beispielsweise in der Forschung häufig zum Einsatz.

Ob und in welchem Umfang eine Verschlüsselung erforderlich ist, muss sich am Schutzbedarf und gegebenenfalls Besonderheiten der Verarbeitung ausrichten. Beim Versand von E-Mails mit sensiblem Inhalt kann beispielsweise eine Ende-zu-Ende-Verschlüsselung notwendig werden, wenn die Transportverschlüsselung nicht durchgängig gewährleistet werden kann und möglicherweise weitere Mailserver auf dem Transportweg verwendet werden. Die verwendeten Algorithmen haben sich dabei stets am Stand der Technik zu orientieren, sodass als nicht hinreichend sicher identifizierte Algorithmen nicht mehr zu verwenden sind.

Sicherstellung der Gewährleistungsziele Vertraulichkeit, Integrität, Verfügbarkeit so- wie Belastbarkeit der Systeme und Dienste

Das Standard-Datenschutzmodell sowie die ISO 27000-Normenreihe werden von diesen Gewährleistungszielen geleitet. Im Vordergrund steht der wirksame Schutz vor Zugriffen durch Unbefugte.

Grundsätzlich wird den Gewährleistungszielen hinreichend Rechnung getragen, wenn die Systeme ein dem im Zeitpunkt der Verarbeitung geltenden Stand der Technik vergleichbares Sicherheitsniveau bieten. Die Vertraulichkeit wird – neben der technischen Maßnahme der Verschlüsselung – mit organisatorischen Maßnahmen wie Zutritts-, Zugriffs-, Zugangs- und Weitergabekontrolle gewährleistet. Geeignete Maßnahmen zur Gewährleistung der Integrität sind eine restriktive Rechtevergabe nach dem Grundsatz, dass alles verboten ist, was nicht ausdrücklich erlaubt ist. Darüber hinaus können Maßnahmen wie Signierung der Daten, Prüfsummen und Protokollierung dabei unterstützen, Verletzungen der Datenintegrität zu erkennen. Daneben sind Maßnahmen zur Gewährleistung der Integrität der Systeme im Sinne der IT-Sicherheit (wie Untersuchung auf Schwachstellen, Netztrennungen und Penetrationstests) geeignet, die Gefahr einer datenschutz- rechtlichen Integritätsverletzung zu minimieren.

Die Verfügbarkeit wird durch Maßnahmen wie redundante Auslegung der Systeme, zusätzliche Absicherung der Stromversorgung und mehrstufige Datensicherungen erreicht. Bei Systemen, die aus dem Internet oder anderen unsicheren Netzen erreichbar sind, kommen der Schutz vor Überlastangriffen neben gewöhnlichen Firewall-Systemen zum Einsatz. Mit Belastbarkeit ist eine Widerstandsfähigkeit gegen unvorhergesehene Störungen gemeint, was unter anderem die Reduzierung von Angriffsflächen sowie Maßnahmen zum Schutz vor gezielten Überlastungen umfasst.

Die ergriffenen Maßnahmen müssen jederzeit wirksam sein und sind daher in regelmäßigen Abständen zu überprüfen.

Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten bei einem Zwischenfall rasch wiederherzustellen

Tritt trotz der gerade beschriebenen Vorsorge ein Krisenfall ein, müssen Verantwortliche in der Lage sein, die personenbezogenen Daten in angemessener Zeit wiederherstellen und darauf zugreifen zu können. Artikel 32 Absatz 1 Buchstabe c DS-GVO fordert zur Gewährleistung der Sicherheit der Verarbeitung die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.

Um im Krisenfall den Geschäftsbetrieb aufrecht erhalten zu können, benötigen Verantwortliche ein Notfall- und Krisenkonzept. Dieses kann beispielsweise eine Notstromversorgung, Vertretungspläne für das IT-Personal und ein betriebliches Kontinuitätsmanagement beinhalten. Zudem sollte die Funktionsfähigkeit des Konzeptes überprüft werden. So soll die vollständige Wiederherstellungsfähigkeit der erstellten Backups auf geeigneten Testsystemen regelmäßig geprüft werden.

Regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit

Die technische Entwicklung macht es notwendig, die ergriffenen Maßnahmen regelmäßig auf ihre Wirksamkeit zu überprüfen. Beispielsweise können sich verwendete Verschlüsselungsverfahren durch neu entdeckte Schwachstellen sowohl im Hinblick auf den verwendeten Algorithmus, als auch auf dessen konkrete Implementierung oder durch gesteigerte Rechenleistung als unsi- cher erweisen.

Zur Überprüfung der Maßnahmen kann eine Vielzahl von Methoden eingesetzt werden. So könnten mit Penetrationstests Angriffsvektoren identifiziert werden, die bei integrierten Schwachstellenscans bzw. Build-in-Self-Tests der verwendeten Hard- und Software möglicherweise nicht auffallen. Hinsichtlich organisatorischer Maßnahmen kommen vor allem Evaluierungen durch Verantwortliche sowie regelmäßige Trainings von Beschäftigten in Betracht.

Weiter ist auch die Wirksamkeit von Maßnahmen zum Schutz vor betrügerischen Angriffsversu- chen gegenüber Beschäftigen regelmäßig zu überprüfen. Zu diesen Versuchen zählt das Social Engineering, dessen Ziel es ist, durch zwischenmenschliche Beeinflussung vertrauliche Informationen insbesondere von Beschäftigten zu erlangen. Mit einigen Rahmeninformationen können Beschäftigte eines Unternehmens in ein Gespräch verwickelt werden, in dem sich Anrufer beispielsweise als Techniker oder Technikerin ausgeben, die noch Zugangsdaten benötigen. Unter- nehmen sollten ihre Beschäftigten im Rahmen ihrer Informations- und Hinweispflichten darauf hinweisen, dass es Penetrationstest und auch simulierte Social-Engineering-Angriffe geben kann, in deren Rahmen möglicherweise auch Beschäftigtendaten verarbeitet werden.

Quelle: LfD Niedersachsen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks