GDPR/DSGVO: Welche IT-Sicherheit wird gefordert?

Empfehlung: Auswahlprozess für IT-Sicherheit nach DSGVO etablieren

Wie in Artikel 32 DSGVO gefordert, sollten Unternehmen ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einführen und aufrechterhalten.

Dieses Verfahren sollte aber auch auf den Auswahl- und Beschaffungsprozess ausgeweitet werden, denn nur dann kann überhaupt eine Wirksamkeit der Maßnahmen für die Sicherheit der Verarbeitung erzielt werden. Nur wenn die richtigen Maßnahmen ausgewählt werden, können diese später auch die geeignete Wirksamkeit unter Beweis stellen.

Für den Auswahlprozess nennt die DSGVO folgende Kriterien:

• Stand der Technik
• Implementierungskosten
• Art, Umfang, Umstände und Zwecke der Verarbeitung
• Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen

Das Ziel ist, dass die Maßnahmen ein dem Risiko angemessenes Schutzniveau gewährleisten.

Ausgangspunkt ist Verzeichnis von Verarbeitungstätigkeiten

Da es konkret um die Auswahl der Maßnahmen für die Sicherheit der Verarbeitung personenbezogener Daten geht, steht am Beginn der Lösungssuche immer das Verzeichnis von Verarbeitungstätigkeiten (Artikel 30 DSGVO). Dort müssen sich alle Verarbeitungstätigkeiten finden, die es zu schützen gilt. Zudem müssen dort auch die technisch-organisatorischen Maßnahmen erläutert werden, die für die Sicherheit des jeweiligen Verarbeitungsvorganges ergriffen werden. Das Verzeichnis von Verarbeitungstätigkeiten liefert insbesondere die Angaben für die Kriterien „Art, Umfang, Umstände und Zwecke der Verarbeitung“.

Nächster Schritt: Risikoanalyse

Mit den jeweiligen Daten, Datenkategorien, Verarbeitungsverfahren und dem Verarbeitungszweck sind bestimmte Risiken verbunden, die es zu untersuchen gilt. So nennt die DSGVO unter anderem die Verarbeitung besonderer Kategorien personenbezogener Daten (Artikel 9 DSGVO), bei der ein besonders hohes Risiko für die Rechte und Freiheiten natürlicher Personen zu befürchten ist, darunter Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.

Insbesondere sollen bei der Risikoanalyse die Risiken betrachtet werden, die durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von (beziehungsweise unbefugten Zugang zu) personenbezogenen Daten entstehen können.

Geprüft werden muss dabei auch, ob die jeweilige Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dann muss der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführen (Datenschutzfolgenabschätzung, Artikel 35 DSGVO).

Es folgt die Definition der Risikominderung

Wurde zum Beispiel festgestellt, dass bei einer Verarbeitung ein hohes Risiko dafür besteht, dass die zu verarbeitenden Daten ungewollt verändert werden, muss ein entsprechender Schutz der Datenintegrität gefunden werden. Es geht hier noch nicht um konkrete Lösungen, sondern um die Aufgaben, die die Lösungen erfüllen sollen.

Kosten und Stand der Technik im Blick behalten

Wenn ein Bedarf für eine Risikominderung gefunden wurde, stellt sich die Frage nach dem Verfahren zur Umsetzung, also zum Beispiel, wie sich die Integrität denn besser schützen lässt. Hier kommt der Stand der Technik ins Spiel. Hat man diesen zum Beispiel auf Basis von Empfehlungen des BSI (Bundesamt für Sicherheit in der Informationstechnik) bestimmt, müssen nun die Lösungen auf dem Markt gefunden werden, die dies praktisch umsetzen.

Wie eingangs erwähnt, ist das Ziel ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Das bedeutet auch, dass nicht jede Höhe an Implementierungskosten erbracht werden muss. Vielmehr muss eine Abwägung zwischen den Kosten und den zu minimierenden Risiken stattfinden.

Ein solcher, schrittweiser Auswahlprozess ist kein Selbstläufer, es ist vieles von den Unternehmen an Prüfungsarbeit und Recherche zu leisten. Doch es ist wichtig, dass diese Aufwände in einem strukturierten Vorgehen erbracht werden. Dadurch kann zum Beispiel verhindert werden, dass eine scheinbar günstige Lösung gewählt wird, die aber nicht dem Stand der Technik entspricht, oder dass eine neue Lösung gewählt wird, obwohl es gar kein entsprechendes hohes Risiko für die Daten bei der jeweiligen Verarbeitung gibt.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!