Artikel 32 DSGVO: Informationssicherheit Next Level

Trennlinie

Artikel 32 DSGVO: Informationssicherheit Next Level

In Zukunft kann der Einsatz von EDV in Organisationen ohne eine vorherige Risikoanalyse und Umsetzung angemessener Informationssicherheitsmaßnahmen bei der Verarbeitung personenbezogener Daten existenzbedrohende Bußgelder nach sich ziehen. Werden keine risikoadäquaten Informationssicherheitsmaßnahmen durch die Organisation ergriffen und betrieben, drohen nicht nur bei Datenschutzverstößen Bußgelder bis zu 10 Mio. Euro (Artikel 83 Abs. 4 lit. a). Die nationalen Aufsichtsbehörden wurden durch den EU-Gesetzgeber sogar dazu aufgefordert, dass Geldbußen bei Verstößen gegen die kommende EU-Datenschutz-Grundverordnung (DSGVO) „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ seien sollen (Artikel 83 Abs. 1).

Ein Beitrag von Stephan Rehfeld, Geschäftsführer der scope & focus Service-Gesellschaft mbH, 23.5.2016

Informationssicherheits-Managementsystem <> Artikel 32 DS-GVO

Phase in einem ISMSArtikel 32 Abs. 1, 2 DS-GVO
Risikobeurteilung„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten;“ (Artikel 32 Absatz 1 Satz 1 DS-GVO)

„Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.“ (Artikel 32 Abs. 2 DS-GVO)
Erstellung und Umsetzung eines Risikobehandlungsplans (Maßnahmen zur Verminderung von Risiken)„diese Maßnahmen schließen unter anderem Folgendes ein:

a)    die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b)    die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c)    die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;“

(Artikel 32 Absatz 1 Satz 2 lit a) – c) DS-GVO)
internen Audits und Managementbewertung

und

Verfahren zur Korrektur/Anpassung von ergriffenen Maßnahmen.
„diese Maßnahmen schließen unter anderem Folgendes ein:

a)    ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“

(Artikel 32 Absatz 1 Satz 2 lit d) DS-GVO)

Bisher größtenteils keine gesetzliche Regulierung der Informationssicherheit

Bisher war die Informationssicherheit ein Gebiet, dass der Gesetzgeber nur in einem sehr geringen Umfang regelte. Organisationen mussten bei der Verarbeitung personenbezogener Daten lediglich die Informationssicherheitsmaßnahmen umsetzen, die sich aus § 9 BDSG und der Anlage zu § 9 Satz 1 BDSG ergaben. Die Auslegung dieses Paragraphen stellte den Anwender in der Praxis bisher schon vor große Probleme, da selbst die Datenschutz-Aufsichtsbehörden der Länder den Anwendern in Umfang und Qualität sehr unterschiedliche Orientierungshilfen zur Interpretation von Informationssicherheit zur Verfügung stellten. In der Praxis kam es zwischen den Anwendern und den Aufsichtsbehörden häufig zu Unstimmigkeiten in der Auslegung der gesetzlichen Bestimmung; die Beschreitung des Klageweges wurde allerdings von beiden Seiten häufig gescheut.

Neuregelung ab 2018

Die Datenschutz-Grundverordnung (DS-GVO) wurde am 4.5.2016 im Amtsblatt der Europäischen Union veröffentlicht  und tritt am 25.5.2018 in Kraft. Mit dem Inkrafttreten der DS-GVO müssen durch Organisationen die neuen Bestimmungen des Artikels 32 DS-GVO zur Informationssicherheit umgesetzt sein.

Der Gesetzgeber beschreibt im Gesetzestext, was für Informationssicherheits-Managementsysteme (ISMS) bereits seit Jahren ein völlig normales Vorgehen ist:

  • Als Motor des Management-Systems wird der PDCA-Zyklus eingesetzt.
  • Es werden die Phasen des Risiko-Assessments, der Erstellung und Umsetzung eines Risikobehandlungsplanes, interne Audits, Managementbewertung und Ergreifen von Korrekturmaßnahmen vorgeschrieben.

Maßnahmenkataloge und Verhaltensregeln

Während viele Standards dem Anwender umfangreiche Maßnahmenkataloge zur Minimierung des Risikos mitgeben, legt sich der Gesetzgeber natürlich nicht auf einen Maßnahmenkatalog fest. Der Verantwortliche kann selber einen Maßnahmenkataloge wählen, sofern die Aspekte des Artikels 32 Absatz 1 Satz 2 lit a) – c) DS-GVO beachtet werden.

In der Informationssicherheit werden bspw. die folgenden Maßnahmenkataloge eingesetzt:

Der Gesetzgeber hat allerdings auch vor Augen, dass Kleinstunternehmen und KMUs mit der Umsetzung der genannten Standards regelmäßig überfordert sein werden. Daher wird in Artikel 32 Absatz 4 DS-GVO explizit darauf hingewiesen, dass Organisationen einen Compliance-Nachweis mit der in Artikel 32 DS-GVO geforderten Informationssicherheit über die Einhaltung genehmigter Verhaltensregeln (Artikel 40, 41 DS-GVO) führen können, die von Verbänden oder anderen Organisationen erarbeitet worden sind.

Fazit

  • Der Einsatz von EDV bei der Verarbeitung personenbezogener Daten wird in Organisationen wesentlich strukturierter und komplizierter werden.
  • Die Durchführung von Risikobeurteilung wird allen Organisationen bei der Verarbeitung personenbezogener Daten vorgeschrieben.
  • Ein Verstoß gegen die Informationssicherheit kann für Organisationen existenzbedrohende Bußgelder nach sich ziehen.

Nutzen Sie die Zeit für die Vorbereitung auf die neue Gesetzeslage. Zwei Jahre sind schnell vorbei!