Der Datenschutz und die Datensicherheit sind grundsätzlich zwei verschiedene und von einander zu trennende Themengebiete, aber es gibt eine gemeinsame Schnittstelle in Form von technischen und organisatorischen Maßnahmen. Bisher wurden diese Maßnahmen zum Schutz personenbezogener Daten im Bundesdatenschutzgesetz in § 9 in Verbindung mit der Anlage zu § 9 BDSG geregelt und ab 05.05.2017 befinden sie sich in § 64 des Datenschutz-Anpassungs- und Umsetzungsgesetzes.

I. Welche Änderungen ergeben sich aus dem Datenschutz-Anpassungs- und Umsetzungsgesetz?

Statt der acht Maßnahmen wurde eine Erweiterung auf  14 vorgenommen. Es handelt sich aber nicht um komplett neue Instrumente, sondern es wurde eine stärkere Differenzierung festgelegt. Wir möchten Ihnen die einzelnen Kontrollen, welche der Verantwortliche und der Auftragsverarbeiter vorzuhalten haben, mit praktischen Beispielen vorstellen:

1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle),

Beispiel: Sicherheitsschlösser, Systemauthentifizierung mit Benutzername und Passwort, Firewall

2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle) NEU!,

Beispiel: Verschlüsselung von mobilen Datenträgern, Zentrale Smartphoneadministrationssoftware

3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle) NEU!,

Beispiel: Berechtigungskonzept, Protokollierung von Dateibenutzung

4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle) NEU!,

Beispiel: Benutzerregelungen nach dem Need to Know-Prinzip, Netzwerkzugriffskontrolle

5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle),

Beispiel: Festlegung von Aufbewahrungsfristen, Systemadministratoren

6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle) NEU! ABER VORHER Weitergabekontrolle,

Beispiel: Standleitungen, VPN-Tunnel

7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),

Beispiel: Protokollierung, Revisionssichere E-Mail-Archivierung

8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle), NEU!,

Beispiel: Sorgfältige Auswahl von Transportpersonal und -fahrzeugen

9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit) NEU!,

Beispiel: Testung der Datensicherungen, Raid-Controller

10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit) NEU!,

Beispiel: Penetrationstests, Test- und Freigabeverfahren

11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität) NEU!,

Beispiel: Sicherheitskonzept, Managementsystem

12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

Beispiel: Sorgfältige Auswahl des Auftragnehmers, Datenschutzanweisungen

13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

Beispiel: Unterbrechungsfreie Stromversorgung, Feuerlöschgeräte

14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit)

Beispiel: Logische Mandantentrennung, Festlegung von Datenbankrechten

II. Was ist zukünftig bei der Ausgestaltung von technischen und organisatorischen Maßnahmen zu beachten?

Die Maßnahmen haben sich nach dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, der Umstände und den Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen zu richten.

In erster Linie ist ein Schutzniveau sicherzustellen, welches im Hinblick auf die Verarbeitung der Daten angemessen ist. Sofern besondere personenbezogene Daten einbezogen werden, ist ein dementsprechend höherer Maßstab anzulegen.

Die Maßnahmen sollten zukünftig aus datensicherheitsrechtlicher Sicht angepasst werden nach den aktuellen Vorgaben dokumentiert werden. Neben den datenschutzrechtlichen Anpassungen publiziert derzeit das Bundesamt für Sicherheit in der Informationstechnik (BSI) viele Hilfestellungen (https://www.bsi.bund.de/SiteGlobals/Forms/Suche/BSI/Publikationssuche/Publikationssuche_Formular.html?nn=6655134).

Gerne stehen wir Ihnen für Rückfragen zur Verfügung.