25. Juli 2016 - Schutzmaßnahmen auswählen

Datensicherheit: Was ist der Stand der Technik?

Sowohl das Bundesdatenschutzgesetz (BDSG) als auch die Datenschutz-Grundverordnung (DSGVO) fordern Sicherheitsmaßnahmen nach dem Stand der Technik. Doch woher wissen Sie, was Stand der Technik ist?

Stand der Technik: Was ist darunter zu verstehen? Was gerade "Stand der Technik" ist, ändert sich immer wieder. Daher: Dranbleiben! (Bild: Nongkran_ch / iStock / Thinkstock)

Stand der Technik: IT-Sicherheit ist mehr als dynamisch

Haben Sie sich einmal gefragt, warum die Datenschutzgesetze keine genauen Vorgaben zur Art der technischen Schutzmaßnahmen machen? Abgesehen davon, dass Gesetze kaum ins Detail gehen und das eher den Verordnungen und anderen Vorschriften überlassen: Die Datensicherheit ist genau wie die zu schützende IT viel zu dynamisch, als dass ein Gesetz konkrete Schutzmaßnahmen fordern könnte.

Eine gewisse Ausnahme macht das BDSG in der Anlage (zu § 9 Satz 1) und nennt Verschlüsselungsverfahren als Maßnahme. Doch konkret wird das BDSG nicht, sondern es heißt: „Eine Maßnahme (…) ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren“.

Auch die Datenschutz-Grundverordnung (DSGVO) verhält sich so. In Artikel 32 (Sicherheit der Verarbeitung) ist zu lesen „Unter Berücksichtigung des Stands der Technik, (…) treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.

Datensicherheit unterliegt zeitlichen Änderungen

Genau wie die Risiken für personenbezogene Daten und die technische Entwicklung ändert sich die Datensicherheit ständig. Für Sie als Datenschutzbeauftragte/r ist es eine große Herausforderung, mit den technischen Entwicklungen und der aktuellen Bedrohungslage Schritt zu halten.

Unterstützung: Richtlinien des BSI, der Aufsichtsbehörden und Verbände

Risikoanalysen, Datenschutz-Folgenabschätzungen und Schutzbedarfs-Ermittlung erfolgen zwar immer individuell für das jeweilige Unternehmen und Verfahren der Datenverarbeitung. Trotzdem ist es  sinnvoll, sich Unterstützung bei „offiziellen“ Quellen zu holen, dort also nach Richtlinien, Standards und Orientierungshilfen zu suchen.

Als Quellen empfehlen sich insbesondere

  • das Bundesamt für Sicherheit in der Informationstechnik (BSI),
  • die Aufsichtsbehörden für den Datenschutz und
  • Fachverbände.

Passende Recherche-Links sind beispielsweise:

Als weitere Beispiele seien genannt

Dauerthema

Mit einer einmaligen Recherche zum Stand der Technik ist es nicht getan. Vielmehr gehört die Frage nach dem Stand der Technik dazu, wenn Sie das Datenschutz- und Datensicherheits-Konzept erstellen und pflegen sowie die Schutzmaßnahmen festlegen.

Bleiben Sie als Datenschutzbeauftragte/r hier am Ball. Gegenwärtig läuft zum Beispiel die Diskussion zu einem Entwurf des BSI zu „Telemediendienste – Absicherung nach Stand der Technik“. Auch wenn das BSI dieses Papier in Verbindung mit dem IT-Sicherheitsgesetz erstellt, betrifft es doch alle Betreiber von Telemedien. Selbstverständlich berichtet auch www.datenschutz-praxis.de regelmäßig über aktuelle Datensicherheitsmaßnahmen und begleitet Sie.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker (Universität Bonn), Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen.

Anzeige

Die Zeitschrift Datenschutz PRAXIS gibt Monat für Monat Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen. Nutzen Sie das kostenlose Probeabo, um die Datenschutz PRAXIS zu testen!

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln