Datensicherheit: Was ist der Stand der Technik?
Die Datenschutz-Grundverordnung (DSGVO) fordert Sicherheitsmaßnahmen nach dem Stand der Technik. Doch woher wissen Sie als Datenschutzbeauftragter, was Stand der Technik ist?
Stand der Technik: IT-Sicherheit ist mehr als dynamisch
Haben Sie sich einmal gefragt, warum die Datenschutzgesetze keine genauen Vorgaben zur Art der technischen Schutzmaßnahmen machen?
Abgesehen davon, dass Gesetze kaum ins Detail gehen und das eher den Verordnungen und anderen Vorschriften überlassen: Die Datensicherheit ist genau wie die zu schützende IT viel zu dynamisch, als dass ein Gesetz konkrete Schutzmaßnahmen fordern könnte.
Auch die Datenschutz-Grundverordnung (DSGVO) verhält sich so. In Artikel 32 (Sicherheit der Verarbeitung) ist zu lesen „Unter Berücksichtigung des Stands der Technik, (…) treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.
Datensicherheit unterliegt zeitlichen Änderungen
Genau wie die Risiken für personenbezogene Daten und die technische Entwicklung ändert sich die Datensicherheit ständig. Für Sie als Datenschutzbeauftragte/r ist es eine große Herausforderung, mit den technischen Entwicklungen und der aktuellen Bedrohungslage Schritt zu halten.
Trotzdem ist es zwingend erforderlich. „Die Berücksichtigung des Stands der Technik ist eine technische, organisatorische und rechtliche Aufgabe für die Unternehmen und Behörden“, so TeleTrusT-Vorstand RA Karsten U. Bartels.
Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) ist ein Kompetenznetzwerk, das in- und ausländische Mitglieder aus Industrie, Verwaltung, Beratung und Wissenschaft sowie thematisch verwandte Partnerorganisationen umfasst.
Unterstützung: Richtlinien des BSI, der Aufsichtsbehörden und der Verbände
In Deutschland haben die im oben bereits erwähnten Bundesverband IT-Sicherheit e.V. organisierten Fachkreise eine Handreichung erarbeitet. Die englische Sprachfassung wurde in Kooperation mit der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) veröffentlicht.
Das veröffentlichte deutschsprachige Dokument zum „Stand der Technik“ in der IT-Security gibt konkrete Hinweise und Handlungsempfehlungen.
Die Handreichung soll Unternehmen, Anbietern und Dienstleistern Hilfestellung zur Bestimmung des Standes der Technik in der IT-Sicherheit geben und kann laut TeleTrusT als Referenz z.B. für vertragliche Vereinbarungen, Vergabeverfahren oder für die Einordnung implementierter Sicherheitsmaßnahmen dienen.
Es ersetzt aber nicht eine technische, organisatorische oder rechtliche Beratung bzw. Bewertung im Einzelfall.
ENISA Executive Director Dr. Udo Helmbrecht sagte dazu: „Die Inhalte bieten konkrete Informationen und Empfehlungen, wie die IT-Sicherheit verbessert werden kann. Für IT-Experten ist die Handreichung eine nützliche Leitlinie, um in der Praxis den rechtlichen Anforderungen technisch gerecht zu werden.“
Risikoanalysen, Datenschutz-Folgenabschätzungen und Schutzbedarfs-Ermittlung erfolgen zwar immer individuell für das jeweilige Unternehmen und Verfahren der Datenverarbeitung, müssen aber der Datenschutz-Grundverordnung entsprechen.
Es ist sinnvoll, sich Unterstützung bei „offiziellen“ Quellen zu holen, dort also nach Richtlinien, Standards und Orientierungshilfen zu suchen.
Als Quellen empfehlen sich insbesondere
- das Bundesamt für Sicherheit in der Informationstechnik (BSI),
- die Aufsichtsbehörden für den Datenschutz und
- Fachverbände.
Passende Recherche-Links sind beispielsweise:
- die technischen Richtlinien des BSI (BSI-TR)
- Mindeststandards des BSI
- Technologische Orientierungshilfen der Aufsichtsbehörden für den Datenschutz
Als aktuelles Beispiel sei der aktualisierte Mindeststandard für sichere Web-Browser genannt:
„Die Möglichkeiten, die moderne Web-Browser bieten, gehen immer auch mit Risiken für die Informationssicherheit einher. Um diese Risiken effektiv zu minimieren und einen sicheren Zugang zum Internet zu gestalten, hat das BSI Mindestsicherheitsanforderungen entwickelt.
Web-Browser müssen aktuelle Sicherheitsstandards erfüllen und aktiv vom Hersteller gepflegt werden, damit Sicherheitslücken zeitnah geschlossen werden können. Anwenderinnen und Anwender sollten die Konfigurationsmöglichkeiten von Web-Browsern nutzen, um die Einstellungen an ihre individuellen Sicherheitsbedürfnisse anzupassen.
Dann sind sie gut gerüstet, um sich sicher im Netz zu bewegen“, so BSI-Präsident Arne Schönbohm.
Dauerthema
Mit einer einmaligen Recherche zum Stand der Technik ist es nicht getan. Vielmehr gehört die Frage nach dem Stand der Technik dazu, wenn Sie das Datenschutz- und Datensicherheits-Konzept erstellen und pflegen sowie die Schutzmaßnahmen festlegen.
Bleiben Sie als Datenschutzbeauftragte/r hier am Ball. Selbstverständlich berichtet auch www.datenschutz-praxis.de regelmäßig über aktuelle Datensicherheits-Maßnahmen und begleitet Sie.
