Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

29. Mai 2019

Technisch-organisatorische Maßnahmen: Das ändert sich

Technisch-organisatorische Maßnahmen: Das ändert sich
Bild: i3D_VR / iStock / Thinkstock
5,00 (2)
DSGVO / BDSG: Datenschutzkontrollen
Mit dem Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) kam auch eine Neukonzeption des Bundesdatenschutzgesetzes (BDSG). Das betrifft unter anderem die Datenschutzkontrollen und die Datensicherheit. Worauf müssen Sie bei den TOMs achten?

DSGVO: Plan verzweifelt gesucht

Für die Sicherheit der Verarbeitung hat das Datenschutz-Anpassungs- und Umsetzungsgesetz EU tatsächlich einen Plan im Gepäck, der die Vorgaben der Datenschutz-Grundverordnung (DSGVO / GDPR) zur Datensicherheit näher spezifiziert.

Einiges davon ist aus dem alten BDSG bekannt. Andere technische und organisatorische Maßnahmen (TOMs) sind neu. Zu finden ist dies in § 64 BDSG, der auch Unternehmen Orientierung bieten kann.

Vorbereitung auf erweiterte Datenschutzkontrollen

Machen Sie sich zuerst damit vertraut, dass auf Basis einer Risikobewertung Maßnahmen für die Datensicherheit zu ergreifen sind. Welche Maßnahmen dies sein können, dazu bietet § 64 BDSG eine Übersicht:

  1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle)
  2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle)
  3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle)
  4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle)
  5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle)
  6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle)
  7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle)
  8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle)
  9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit)
  10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit)
  11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität)
  12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle)
  13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)
  14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit)

Im Vergleich zur früher bekannten Anlage zu § 9 Satz 1 BDSG-alt sind hier auch neue Datenschutzkontrollen genannt.

Andere Bezeichnungen, aber auch neue Kontrollen

Während die Zutritts- und Weitergabekontrolle scheinbar(!) fehlen, finden sich tatsächlich und nur scheinbar neue Datenschutzkontrollen:

  • Datenintegrität, Zuverlässigkeit und Wiederherstellbarkeit sind neu.
  • Scheinbar neu sind Transport- und Übertragungskontrolle, Datenträger-, Speicher- und Benutzerkontrolle.

Sehen Sie sich die Beschreibungen dieser Kontrollen an, stellen Sie fest, dass die Zutrittskontrolle nun zu den Zugangskontrollen gezählt wird. Die Weitergabekontrolle findet sich in Transport-, Übertragungs-, Datenträger- und Benutzerkontrolle wieder.

Die Speicherkontrolle ist bisher Teil der Zugriffskontrolle. Sie wird in Zukunft separat genannt.

Zum einen sind die Datenschutzkontrollen also genauer unterteilt. Das ist positiv für die Vorbereitung, Umsetzung und Überwachung der Kontrollen. Denn es kann sich ja um verschiedene Maßnahmen und zugehörige Sicherheitslösungen handeln.

Zum anderen müssen Unternehmen die neuen Kontrollen sehr genau betrachten, die bei der Umsetzung der DSGVO helfen:

  • Sie müssen gewährleisten, dass sie eingesetzte Systeme im Störungsfall wiederherstellen können (Wiederherstellbarkeit).
  • Sie müssen gewährleisten, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit).
  • Sie müssen gewährleisten, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität)

In diesen Bereichen fehlen heute vielfach noch geeignete technisch-organisatorische Maßnahmen.

Wiederherstellbarkeit, Zuverlässigkeit und Datenintegrität sind Pflicht

Nicht nur die Cyber-Angriffe mit der Ransomware „WannaCry“ und „Emotet“ haben gezeigt, dass viele Unternehmen nach Attacken und Störungen nicht über geeignete Maßnahmen für die Wiederherstellbarkeit verfügen.

Es gibt hierfür leider viele Beispiele, ebenso für den Mangel an Zuverlässigkeit bei IT-Systemen und bei der Datenintegrität.

Hier muss unbedingt nachgebessert werden – nicht nur, aber auch für die Umsetzung der DSGVO.


Download: Checkliste Datenschutzkontrollen


Oliver Schonschek

Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.