It Sicherheit Datenschutz

It-Sicherheit Datenschutz

Gesetz und IT-Sicherheit - Was Sie als Seitenbetreiber wissen sollten. Ein Mensch vor einem Laptop mit einer Hand über der Tastatur. Datenschutz- und IT-Bereich Datensicherheit und IT-Sicherheit sind zwei Aspekte derselben Medaille: Nur wenn die Informatikgeräte, auf denen persönliche Informationen abgelegt sind, angemessen gesichert sind, ist auch der Datenschutz gewährleistet. Es geht aber nicht nur um die Sicherheit der IT, sondern auch um die Sicherheit außerhalb der Endgeräte, d.h. um Menschen und ihre Arbeitsumgebung, wenn man die IT-Sicherheit effektiv nutzen will.

Deshalb ist die Sicherheit der Privatsphäre ein wesentlicher Teil des Datenschutzes, der oft unterlassen wird. Das BDSG widmet diesem Punkt einen eigenen Absatz (§ 9 BDSG) mit einem ausführlichen Anhang. Dementsprechend sollten angemessene fachliche und organisatorische Massnahmen ergriffen werden, die je nach Typ der zu schÃ?tzenden persönlichen oder der zu schÃ?tzenden Art der zu schÃ?tzenden DatensÃ?tze den Schutz angemessen und wirksam gewÃ?hrleisten.

Ein integriertes Datenschutz-Konzept umfasst neben der Organisation, den ökonomischen und rechtlichen Gesichtspunkten auch informations- und kommunikationstechnische Aspekte, einschließlich deren Konzeption, Regulierung und Sicherstellung. Mit der Novelle 2009 regelt der Gesetzgeber nun auch explizit die Datenverschlüsselung (vgl. dazu im Anhang zu 9 S. 1 BDSG S. 3).

Basisdatenschutzverordnung - IT-Sicherheit

In Europa wird der Datenschutz mit der grundlegenden Datenschutzverordnung harmonisiert. In der BDSG hat das Themenfeld IT-Sicherheit an Bedeutung gewonnen. Das beweist zum einen die Tatsache, dass die Verpflichtung zur Durchführung geeigneter technischer und organisatorischer Massnahmen grundsätzlich in die DSGVO, 5 Abs. 1 Buchstabe f DSGVO, übernommen wurde: "Personenbezogene Angaben müssen so behandelt werden, dass eine adäquate Sicherheit der Personendaten, auch gegen unbefugte oder rechtswidrige Bearbeitung und gegen unbeabsichtigten Verlust, unbeabsichtigte Vernichtung oder Beschädigung durch entsprechende technischorganisatorische Massnahmen (Integrität und Vertraulichkeit) gewahrt ist".

Andererseits werden die Grundsätze des gestalterischen Datenschutzes und des Datenschutzes in Artikel 25 erstmalig vereinheitlicht. Artikel 32 DSGVO regelt die Datenschutzanforderungen, die bisher in 9 des Bundesdatenschutzgesetzes (BDSG) und dem zugehörigen Anhang festgelegt waren. Jeder, der meint, das neue Reglement enthalte einen genaueren Maßnahmenkatalog oder gar eine Aktionshilfe, wird zunächst einmal enttaeuscht sein.

Ähnlich wie im BDSG sind die Bestimmungen in 32 DSGVO abstrahiert formuliert: "Unter Beachtung des Standes der Wissenschaft, der Umsetzungskosten und der Arten, des Umfanges, der Gegebenheiten und des Zwecks der Bearbeitung sowie der verschiedenen Eintrittswahrscheinlichkeiten und Schweregrade des Gefährdungspotenzials für die Rechte und Grundfreiheiten der natürlichen Person ergreifen der Verursacher und der Verarbeiter angemessene sicherheitstechnische und -technische Maßnahmen, um ein dem Gefährdungspotential entsprechendes Schutzgrad zu gewährleisten;....".

Bisher wurde in 9 BDSG und seinem Anhang festgelegt, dass je nach Typ und Typ der zu sichernden Informationen technisch-organisatorische Massnahmen zu ergreifen sind und nur dann notwendig sind, wenn deren Aufwendungen in einem sinnvollen Zusammenhang mit dem beabsichtigten Schutzziel stehen. Nach der DSGVO müssen sich die technischen und organisatorischen Massnahmen nun auch am Verarbeitungszweck und dem aktuellen technischen Fortschritt orientieren.

Bei der Konzeption und Durchführung von fachlichen und organisatorischen Massnahmen wird dem durch die Datenverarbeitung bedingten Gefährdungspotential der Persönlichkeitsrechte und -freiheiten Rechnung getragen. Diese Gefährdungsbeurteilung ist das Resultat einer datenschutzrechtlichen Folgenabschätzung, die vor der Einführung der entsprechenden Prozeduren durchgeführt wird. Als zweckdienliche Massnahme wurde die pseudonymisierte und verschlüsselte Übermittlung von Personendaten ausdrücklich in die Regelung miteinbezogen.

Die DSGVO befasst sich nicht mehr mit der Datenanonymisierung, obwohl dies unter gewissen Anwendungsbedingungen auch für eine adäquate Anwendung des Prinzips der Datenminderung sinnvoll wäre. Vielmehr werden Begrifflichkeiten wie Geheimhaltung, Unversehrtheit, Verfügbarkeit und Ausfallsicherheit von Systemen und Diensten als zu gewährleistende Schutzziele bei der Bearbeitung von personenbezogenen Informationen festgelegt. Bei der Durchführung von geeigneten technischen und organisatorischen Massnahmen sind die in der Regelung enthaltenen sicherheitstechnischen Ziele noch hinreichend interpretierbar.

Nach § 32 Abs. 1 S. 1 d) muss die Güte der fachlichen und organisatorischen Massnahmen in Zukunft ausreichen. Die Verordnung ist eine Neuerung und zwingt die Anlagenbetreiber, "ein System zur regelmässigen Prüfung, Beurteilung und Beurteilung der Effektivität von Massnahmen zur Sicherung der Verarbeitungssicherheit" einzuführen.

Dazu gehören unter anderem unterschiedliche Penetration Tests, die ausdrücklich darauf abzielen, Sicherheitsmaßnahmen zu umgehen und auszusetzen. Artikel 25: Erstmals sind die Prinzipien des Datenschutzes durch das Gesetz vereinheitlicht: Beim Datenschutz durch Gestaltung soll das Prinzip der Vermeidung von Daten durch geeignete technische Massnahmen (z.B. Pseudonymisierungstechniken) wirkungsvoll durchgesetzt werden.

Mit dem standardmäßigen Datenschutz soll durch entsprechende Voreinstellungen und Parametrierung der IT-Systeme sichergestellt werden, dass nur die für die Bearbeitung notwendigen Informationen bearbeitet werden. Die Wahrscheinlichkeit des Eintritts und die Gefährdung der individuellen Rechte und Freiheiten sind bei der Konzeption und Durchführung von geeigneten technischen und organisatorischen Massnahmen zu berücksicht.

Ist mit einem hohen Gefährdungspotential zu rechnen, vor allem bei der Erstellung von Profilen, bei der Bearbeitung spezieller Personendaten, bei strafrechtlichen und strafrechtlichen Angaben oder bei der umfassenden Beaufsichtigung von öffentlichen Bereichen, muss eine Datenschutzverträglichkeitsprüfung durchgeführt werden, Artikel 35 Absatz 1. 1: "Wenn eine Verarbeitungsform, vor allem bei Einsatz der neuen Techniken, aufgrund von Natur, Umfang, Umständen und Zwecken der Datenverarbeitung ein erhebliches Gefährdungspotential für die Rechte und Grundfreiheiten der natürlichen Person darstellen kann, nimmt der für die Datenverarbeitung zuständige Sachbearbeiter eine vorherige Bewertung der Auswirkungen der vorgeschlagenen Verarbeitungen auf den Datenschutz vor.

"Die Datenschutzverträglichkeitsprüfung löst die frühere Ex-ante-Kontrolle des BDSG ab. Das Ergebnis der Datenschutzfolgenabschätzung beeinflusst die Wahl der geeigneten technischen und organisatorischen Massnahmen. In der DSGVO wurden die Bußgeldvorschriften hinsichtlich ungenügender fachlicher Gesichtspunkte deutlich verschärft: Bei ungeeigneten technischen und organisatorischen Sicherungsmaßnahmen oder bei ungenügender Prüfung der Sicherungsmaßnahmen oder wenn keine Datenschutzverträglichkeitsprüfung im Vorfeld durchgeführt wird, können die Datenschutzbehörden Geldbußen in der Größenordnung von maximal 10 Mio. oder bis zu maximal 2 % des weltweiten Umsatzes eines Betriebes verhängen.

Von besonderem Interesse sind die neuen Regelungen zur Datenschutzverträglichkeitsprüfung und die Prinzipien des Design- und Datenschutzes. Ungeeignete Sicherheitsvorkehrungen können jedoch zu erheblichen Geldbußen führen.