DSGVO/GDPR: Modell zur Auswahl von Sicherheitsmaßnahmen

Aufsichtsbehörde: Modell zur Auswahl angemessener Maßnahmen

Verantwortliche Stellen fragen sich häufig, wie sie die geeigneten TOM (Technisch-Organisatorische Maßnahmen) ermitteln können, um die Anforderungen der DSGVO ordnungsgemäß zu berücksichtigen, so die Landesbeauftragte für den Datenschutz Niedersachsen (LfD). Die Landesbeauftragte hat nun ein Modell vorgestellt, welches die Auswahl angemessener Maßnahmen erleichtern soll.

Dieser Prozess zur Auswahl angemessener Sicherungsmaßnahmen (ZAWAS) kann dabei helfen, sowohl bei der Durchführung einer Datenschutz-Folgenabschätzung als auch bei einer normalen Verarbeitungstätigkeit die TOM herzuleiten.

Dazu beschreibt das Modell in mehreren Schritten eine Abfolge von Tätigkeiten, an deren Ende die Auswahl angemessener Sicherheitsmaßnahmen steht:

• Zu Beginn sollen Verantwortliche als Grundlage die Verarbeitungstätigkeit beschreiben.
• Darauf folgt die Prüfung der rechtlichen Grundlagen.
• Anschließend kann die eigentliche Analyse und Auswahl der Maßnahmen beginnen.
• Ein großer Teil des Modells besteht aus einer umfangreichen Risikoanalyse. Hier kommt auch die Datenschutzfolgenabschätzung (DSFA, Artikel 35 DSGVO) zum Tragen.
• Das Modell sieht außerdem vor, dass die ergriffenen Maßnahmen regelmäßig evaluiert werden. Die DSGVO fordert „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ (Artikel 32).

Mit der Veröffentlichung von ZAWAS möchte die LfD Niedersachsen eine Lücke in der praktischen Anwendbarkeit der DSGVO schließen. Derzeit befindet sich ZAWAS in der Erprobungsphase. Mit den daraus gewonnenen Erkenntnissen wird die LfD den Prozess ergänzen und fortschreiben.

Schritte zur Auswahl angemessener Sicherheitsmaßnahmen nach DSGVO

Das Modell der Aufsichtsbehörde von Niedersachsen sollte auch von Unternehmen aus anderen Bundesländern betrachtet werden, denn die genannten Schritte können generell bei der Umsetzung der DSGVO im Bereich Datensicherheit helfen. Die folgenden Punkte sind Teil des Modells:

• Verarbeitungstätigkeit beschreiben (Zwecke und Ablauf der Verarbeitung, genutzte und erzeugte Daten), Tipp: Das Verzeichnis der Verarbeitungstätigkeiten liefert diese Informationen.
• Rechtliche Grundlagen prüfen (Rechtmäßigkeit der Verarbeitung wie zum Beispiel das Vorliegen einer Einwilligung, Beachtung der Grundsätze nach Artikel 5 DSGVO, Gewährleistung der Betroffenenrechte, möglicherweise Auftragsverarbeitung)
• Strukturanalyse durchführen (Geschäftsprozesse, IT-Dienste, IT-Systeme)
• Risikoanalyse vornehmen (Risiken, dass die Schutzziele nicht eingehalten werden können, möglichen Schaden und Eintrittswahrscheinlichkeit bewerten, Einstufung als geringes, normales oder hohes Risiko)
• Maßnahmen auswählen (unter Beachtung von Risiko, Kosten und Stand der Technik, Maßnahmen, die in Artikel 32 DSGVO genannt sind)
• Restrisiko bewerten (was leisten die Maßnahmen, was nicht)
• Maßnahmen konsolidieren (Einbettung in ein Gesamtkonzept)
• Maßnahmen realisieren (Umsetzung und regelmäßige Überprüfung der Wirksamkeit)

Als Beispiele für mögliche Maßnahmen, die über das Modell jeweils in ihrer Angemessenheit bewertet werden müssen, nennt die Aufsichtsbehörde:

• Maßnahmen wie Verschlüsselung, Pseudonymisierung (Art. 32 Abs. 1 DSGVO) 
• Maßnahmen aus dem Standard-Datenschutzmodell (SDM)
• SDM – Maßnahmenkatalog (erste Bausteine von einzelnen Aufsichtsbehörden in Erprobung)
• Maßnahmen aus IT-Grundschutz-Kompendium des BSI (Bundesamt für Sicherheit in der Informationstechnik)
• BSI - Grundschutzmaßnahmen (alt)
• ISO -27001 generische Maßnahmen
• IT-Grundschutz-Profile des BSI

Zu finden ist die komplette Präsentation des Modells auf den Internetseiten der Datenschutzaufsichtsbehörde (PDF).