WrightStudio - stock.adobe.com
Cyber Resilience Act und DSGVO: Risikoanalysen verbinden
Cyberregulierungen wie CRA (Cyber Resilience Act, Cyberresilienzgesetz) und die Datenschutz-Grundverordnung (DSGVO) erfordern Risikoanalysen. Dabei lassen sich Synergien nutzen.
Die Vielzahl neuer und bestehender Regulierungen für den digitalen Bereich stellen deutliche Herausforderungen für viele Unternehmen dar, sie berichten von hohen Aufwänden und einer Rechtsunsicherheit. Entsprechend positiv sind zumindest die Reaktionen von Wirtschaftsverbänden auf den sogenannten Digitalen Omnibus. Mit diesem Reformpaket sollen zentrale europäische Regelwerke, darunter DSGVO, Data Act und AI Act, besser aufeinander abgestimmt werden.
„Der Digitale Omnibus bietet eine gute Chance, Europas digitale Regeln klarer, verständlicher und praxistauglicher zu machen“, sagte Oliver Süme, Vorstandsvorsitzender von eco – Verband der Internetwirtschaft e.V. „Wichtig ist, dass am Ende nicht neue Komplexität entsteht, sondern tatsächlich ein schlüssiges Gesamtbild.“
Auch die Datenschutzaufsichtsbehörden haben bereits auf mögliche Synergien zum Beispiel bei der Umsetzung von NIS2 und DSGVO hingewiesen, insbesondere mit Blick auf die Meldepflichten.
Ohne auf den Digitalen Omnibus warten zu müssen, lassen sich aber schon heute Synergien nutzen bei der Umsetzung von rechtlichen Vorgaben wie CRA (Cyber Resilience Act) und Datenschutz-Grundverordnung (DSGVO). Ein Schlüssel zu den Synergien liegt in den risikobasierten Ansätzen.
Gefordert werden risikobasierte Maßnahmen
Blickt man auf CRA und DSGVO, stellt man nicht nur Parallelen fest, weil der Datenschutz Privacy by Design und die Cyberresilienz Security by Design fordern. Beide Rechtsvorschriften sehen auch Risikobewertungen vor, denn die Maßnahmen für den Datenschutz müssen genauso wie die Maßnahmen für die Cyberresilienz insbesondere auf die Risiken abgestellt werden.
Konkret fordert die DSGVO für die Datensicherheit technische und organisatorische Maßnahmen „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“, wie Artikel 32 DSGVO zu entnehmen ist.
Für Hersteller fordert der Cyber Resilience Act ebenfalls Sicherheitsmaßnahmen auf Basis einer Risikoanalyse. So erklärt die EU-Kommission: Unternehmen, die Hard- und Softwareprodukte verkaufen, müssen sicherstellen, dass Hard- und Software grundsätzlich sicher ist. Der erste Schritt für den Hersteller besteht darin, eine Risikobewertung durchzuführen, auf deren Grundlage er festlegen muss, wie die entsprechenden grundlegenden Cybersicherheitsanforderungen umzusetzen sind. So besagt CRA insbesondere: „Die Bewertung des Cybersicherheitsrisikos umfasst mindestens eine Analyse der Cybersicherheitsrisiken auf der Grundlage der Zweckbestimmung und der vernünftigerweise vorhersehbaren Verwendung des Produkts mit digitalen Elementen, wie der Betriebsumgebung oder der zu schützenden Anlagen, wobei die voraussichtliche Nutzungsdauer des Produkts berücksichtigt wird“.
Auch wenn sich die DSGVO bisher nicht an die Hersteller wendet (PDF), macht es Sinn, anstehende Risikobewertungen nicht nur aus Sicht der Cyberresilienz, sondern immer auch mit Blick auf den Datenschutz durchzuführen, also Security by Design und Privacy by Design zu verbinden.
Risikoanalyse und Datenschutz-Folgenabschätzung verbinden
Wenn also eine Risikobewertung zur Umsetzung des CRA ansteht, sollte die Prüfung nicht fehlen, ob auch eine Datenschutz-Folgenabschätzung (DSFA) notwendig ist. Die Datenschutzaufsichtsbehörden haben schon vor Jahren eine Liste von Fällen (PDF) veröffentlicht, bei denen eine DSFA erforderlich ist.
Während die DSFA die möglichen Risiken bei der geplanten Verarbeitung personenbezogener Daten in den Blick nimmt, sucht die Risikobewertung nach CRA insbesondere nach Sicherheitslücken in Hardware und Software, die durch entsprechende Schutzmaßnahmen gemindert werden müssen.
Beides hängt aber eng zusammen: Eine unzureichende Cybersicherheit von Hardware und Software ist oftmals der Grund, warum es zu einer Datenschutzverletzung kommen kann. Deshalb ist es auch mehr als sinnvoll, Risikoanalysen nach CRA und die DSFA nach DSGVO gemeinsam anzugehen. Dies spart Aufwände und erhöht die notwendige Datensicherheit, da auch der Datenschutz betrachtet wird, zusätzlich zur Cyberresilienz.
