Der Stand der Technik unter der Datenschutz-Grundverordnung
Im Vorfeld der Entscheidung, welche technischen und organisatorischen Maßnahmen (TOM) ein Verantwortlicher im Unternehmen oder in der Behörde einsetzen muss, um den technischen Datenschutz zu gewährleisten, stellen sich meist zwei grundsätzliche Fragen:
- Welche Maßnahmen gibt es?
- Wie hoch ist der Aufwand – und wie hoch sind damit die Kosten –, um diese Maßnahmen umzusetzen?
Schutzmaßnahmen im technischen Datenschutz
Die Datenschutz-Grundverordnung (DSGVO) hat den technischen Datenschutz zum Schutz der Rechte und Freiheiten natürlicher Personen deutlich gestärkt und in vier wesentlichen Artikeln festgeschrieben:
- Die Verantwortung regelt Art. 24 DSGVO.
- Die Forderung, die Datenschutzgrundsätze von Art. 5 auch technisch/organisatorisch unter Berücksichtigung der zeitlichen Rahmenbedingungen umzusetzen, findet sich in Art. 25 DSGVO unter dem Namen „Datenschutz durch Technikgestaltung“.
- Den Teilbereich von Art. 25, der sich mit dem Grundsatz der „Vertraulichkeit und Integrität“ beschäftigt, beschreibt Art. 32 DSGVO durch die Sicherheit der Verarbeitung.
- Der Umgang mit Hochrisikoverarbeitungen anhand einer Datenschutz-Folgenabschätzung findet sich in Art. 35 DSGVO.
Datenschutzrisiko unter der DSGVO
Allen diesen rechtlichen Anforderungen gemein ist das zentrale Konstrukt des risikoorientierten Ansatzes der Datenschutz-Grundverordnung.
Das bedeutet, der Verantwortliche muss das Datenschutzrisiko einer Datenverarbeitung abschätzen. Und zwar jeweils unter Berücksichtigung
- der spezifischen Eintrittswahrscheinlichkeit des Risikos,
- der Schwere des Risikos,
- des Stands der Technik,
- der Implementierungskosten und
- weiterer Faktoren einer konkreten Verarbeitung wie z.B. der Art der personenbezogenen Daten.
Geeignete Maßnahmen müssen dieses Risiko eindämmen. Dabei ist die DSGVO hier im Wesentlichen technikneutral formuliert. Sie gibt keine Maßnahmenlisten vor.
Verhältnis zwischen Risiko und Stand der Technik
Damit setzt die Grundverordnung mit dem Stand der Technik keinen Maßstab, der für alle Verarbeitungen absolut ist.
Geeignet ist die Maßnahme, die bei einer konkreten Risikobeurteilung das Risiko am besten eindämmt, ohne dass die Kosten unvertretbar hoch wären.
Das bedeutet aber auch: Reichen Maßnahmen, die nicht mehr Stand der Technik sind, aus, um ein Risiko zu minimieren, muss es nicht zwingend der Stand der Technik sein.
Grundsatz der Verhältnismäßigkeit
Insofern besteht ein gewisses Spannungsverhältnis zwischen Risiko und Implementierungskosten in Verbindung mit dem Stand der Technik. Es spiegelt sich im Grundsatz der Verhältnismäßigkeit wider.
Der Grundsatz bedeutet in diesem Zusammenhang, dass Verantwortliche nicht alle am Markt verfügbaren Technologien einsetzen müssen, sondern ein gewisses Restrisiko tolerierbar ist, wenn ansonsten die zusätzlichen Kosten unverhältnismäßig hoch wären.
Das gilt allerdings nicht, wenn das Restrisiko hoch ist. Denn hier ist eine Datenschutz-Folgenabschätzung erforderlich.
WICHTIG: Nicht vergessen: Zusätzlich zur Auswahl der TOM muss nach DSGVO eine sorgfältige Dokumentation erfolgen, die Basis für Audits etwa durch den Datenschutzbeauftragten ist.
Was ist der Stand der Technik?
Weder die Datenschutz-Grundverordnung noch das IT-Sicherheitsgesetz definieren den Stand der Technik.
Aus diesem Grund verwendet die Praxis ein schon recht betagtes, aber vom Konstrukt her auch heute noch brauchbares Urteil des Bundesverfassungsgerichts aus dem Jahr 1978.
Es beschreibt drei unterschiedliche Technologiestandards:
- Allgemein anerkannte Regeln der Technik haben sich durch langjährige Erfahrung auf dem Markt bewährt und sind geschulten Anwendern durchweg bekannt.
- Der Stand der Technik ist die am Markt verfügbare Maßnahme, die ein Schutzziel am besten sicherstellt, aber sich noch nicht durch langjährige Praxiserfahrung bewährt haben muss.
- Den Stand der Wissenschaft und Forschung stellen tendenziell aktuelle Forschungsergebnisse dar, die allerdings noch nicht in verfügbare Marktprodukte oder Verfahrensweisen gegossen sind.
Open Source
Bei der Bewertung, ob ein Produkt dem Stand der Technik entspricht, ist wichtig, dass es internationale Standards einhält und einen störungsfreien Betrieb (Marktreife) ermöglicht.
Das bedeutet, dass Open-Source-Software nur dann dem Stand der Technik entspricht, wenn mehrere Institutionen sie dauerhaft am Markt verfügbar halten und mit Sicherheitsupdates versorgen.
Das wäre etwa bei bestimmten Linux-Distributionen der Fall, die, obwohl vom Kern her Open Source, als kostenpflichtige „Business-Versionen“ mit Support und Updates verfügbar sind.
Teletrust-Papier zum Stand der Technik
Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) ist laut Eigendarstellung ein Kompetenznetzwerk, das in- und ausländische Mitglieder aus Industrie, Verwaltung, Beratung und Wissenschaft umfasst. Er hat ganz aktuell ein Papier zur Ermittlung des Stands der Technik herausgebracht.
Dieses Papier berücksichtigt die Formulierung des Stands der Technik sowohl im deutschen IT-Sicherheitsgesetz als auch in der Datenschutz-Grundverordnung.
Das TeleTrust-Papier bildet dazu den Technologiestand über eine Beziehung zwischen „Grad der Bewährung in der Praxis“ sowie „Grad der Anerkennung“ ab, bei dem der Stand der Technik das Mittelfeld bildet.
Fokus auf IT-Sicherheitsschutzziele
Bei der Festlegung der Best-Practice-Ansätze zum Stand der Technik betrachtet das Papier die IT-Sicherheitsschutzziele Verfügbarkeit, Vertraulichkeit und Integrität, die sich in Art. 32 DSGVO (Sicherheit der Verarbeitung) wiederfinden.
Zu beachten ist hier, dass die DSGVO über die Grundsätze der Verarbeitung nach Art. 5 Abs. 1 DSGVO fordert, weitere Schutzziele wie Zweckbindung, Transparenz oder Löschung sicherzustellen.
Sie sind allerdings nicht Bestandteil des TeleTrust-Papiers. Denn es bezieht sich ausschließlich auf die – auch im Datenschutz sehr wichtigen – Aspekte der Informationssicherheit.
Der TeleTrust-Leitfaden beschreibt den Stand der Technik bei 21 technischen und 12 organisatorischen Maßnahmen zur IT-Sicherheit.
Best-Practice-Kataloge zu technischen Maßnahmen
Bei den technischen Maßnahmen liegt der Fokus auf dem typischen Unternehmenseinsatz, also auf Server-/Cloudsystemen, kryptografischen Verfahren, der Sicherheit von Netzwerken und Webanwendungen sowie dem Betrieb mobiler Endgeräte.
Das umfasst die Kernbereiche der klassischen IT-Sicherheit, wie sie z.B. auch in der ISO 27001 vorkommt.
Im Folgenden seien zwei Maßnahmenbereiche exemplarisch herausgenommen und vorgestellt.
Datenablage in der Cloud
Bei der Datenablage in der Cloud, z.B. bei Backups, entspricht es laut TeleTrust-Papier dem Stand der Technik, diese personenbezogenen Daten vor Übertragung an den Cloud-Dienstleister zu verschlüsseln. Dazu gehört, dass die Ver- und Entschlüsselung vollständig beim Verantwortlichen erfolgt (z.B. durch ein Verschlüsselungsgateway).
Außerdem muss das interne Schlüsselmanagement so ausgestaltet sein, dass einzelne Personen es nicht unrechtmäßig aushebeln können.
Verschlüsselung von E-Mails
Um E-Mails beim Transport über das Internet abzusichern, geht das TeleTrust-Papier davon aus, dass es dem Stand der Technik entspricht, die Nachrichten geeignet zu verschlüsseln.
Immer erforderlich ist eine Transportverschlüsselung mit dem TLS-Protokoll. Eine zusätzliche Inhaltsverschlüsselung mittels S/MIME und PGP entspricht ebenfalls dem Stand der Technik.
Das Teletrust-Papier sieht die Ende-zu-Ende-Verschlüsselung allerdings nur bei „besonders schützenswerten Daten“ als erforderlich an.
Damit lässt sich gut die Verbindung zum „hohen Risiko“ unter der DSGVO ziehen: Auch hier stellen eine Transportverschlüsselung und eine Ende-zu-Ende-Verschlüsselung eine dem Risiko angemessene Schutzmaßnahme dar.
Best-Practice-Kataloge zu organisatorischen Maßnahmen
Die DSGVO legt in Art. 32 fest, dass auch organisatorische Maßnahmen für die Sicherheit der Verarbeitung personenbezogener Daten sorgen müssen.
Im Folgenden sei der Stand der Technik bei zwei organisatorischen Maßnahmen des TeleTrust-Papiers, die dort eher kurz dargestellt werden, angerissen.
Risikomanagement
Das TeleTrust-Papier beschreibt für das Risikomanagement nach dem Stand der Technik, Regeln festzulegen, die die organisationseigenen Werte, Schwachstellen, Bedrohungen, Auswirkungen und Eintrittswahrscheinlichkeiten bestimmen und die zulässige Höhe des Restrisikos definieren.
Verantwortliche müssen an dieser Stelle allerdings darauf achten, dass es bei dem Datenschutzrisiko nach DSGVO um die Rechte und Freiheiten natürlicher Personen geht und nicht um unternehmerische Werte.
Ressourcenmanagement
Der Stand der Technik erfordert, ausreichend Ressourcen bereitzustellen, um ein ISMS (Informationsmanagementsystem) aufzubauen, umzusetzen, aufrechtzuerhalten und fortlaufend zu verbessern.
Das heißt: Es muss ausreichend Personal vorhanden sein. Das lässt sich auch durch Art. 32 DSGVO abbilden.
Fazit: Hilfreich, aber nicht vollständig
Das TeleTrust-Papier zum Stand der Technik lässt sich klar als Bestandteil eines „Werkzeugkastens“ für die Umsetzung des technischen Datenschutzes empfehlen.
Wichtig an dieser Stelle ist aber, dass diese Leitlinien nur Maßnahmen zur Sicherheit der Verarbeitung nach Art. 32 DSGVO adressieren.
Weitere technische Schutzmaßnahmen nach Art. 25 DSGVO wie Datenminimierung oder Sicherstellung der Zweckbindung bei einer rechtskonformen Verarbeitung bleiben gänzlich außen vor.
Hilfreich werden die Best-Practice-Ansätze zum Stand der Technik sowohl für die eigene Qualitätssicherung der bestehenden technischen und organisatorischen Maßnahmen sein („Prüffrage: Haben wir alle Stand-der-Technik-Maßnahmen, sofern für eine konkrete Verarbeitung geeignet, auch so umgesetzt?“) als auch für die Argumentation gegenüber der IT-Abteilung oder der Geschäftsführung.
Letztendlich steht bei der DSGVO im Vordergrund, das Risiko ausreichend einzudämmen. Das geht zwar häufig mit dem Stand der Technik einher, ist aber manchmal auch mit weniger Aufwand umzusetzen.
