Integrität und Vertraulichkeit bei der Datenverarbeitung

Integrität und Vertraulichkeit in der DSGVO

Nach Art. 5 Abs. 1 lit. f DSGVO muss bei der Verarbeitung personenbezogener Daten ein ausreichender Schutz sichergestellt werden. Es ist insbesondere dafür zu sorgen, dass die personenbezogenen Daten bewahrt werden vor

• unbefugter und unrechtmäßiger Verarbeitung (Vertraulichkeit) sowie
• unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung (Integrität).

Um dies zu erreichen, muss der Verantwortliche oder Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen (TOM) treffen.

Der Grundsatz der Integrität und Vertraulichkeit wird insbesondere in Art. 32 DSGVO (Sicherheit der Verarbeitung) konkretisiert. Dort werden über die Schutzziele der Integrität und Vertraulichkeit hinaus noch weitere Schutzziele genannt, welche jedoch nach dem Gesetzeswortlaut („schließen gegebenenfalls unter anderem Folgendes ein“) nicht abschließend sind:

• Pseudonymisierung und Verschlüsselung
• Belastbarkeit der Systeme
• Verfügbarkeit und rasche Wiederherstellbarkeit
• Verfahren zur regelmäßigen Überprüfung der Wirksamkeit von TOM

Risikoangemessenes Schutzniveau

Doch welche konkreten Maßnahmen eignen sich, um Vertraulichkeit und Integrität zu gewährleisten?  Die DSGVO lässt diese Frage offen. Allerdings nennt Art. 32 Abs. 1 DSGVO einige Anhaltspunkte zur Bestimmung angemessener Schutzmaßnahmen im Einzelfall:

• aktueller Stand der Technik
• Implementierungskosten
• Art, Umfang, Umstände und Zwecke der Verarbeitung
• Eintrittswahrscheinlichkeit eines Schadens
• Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen

Nach Art. 32 Abs. 2 DSGVO ist dabei das Risko, das durch die Datenverarbeitung für Betroffene entsteht, besonders zu berücksichtigen. Wichtig ist, dass es hier nicht auf Risiken des Verantwortlichen oder des Unternehmens ankommt, sondern auf die der Betroffenen.

Informationen zur Risikobewertung lassen sich aus den Erwägungsgründen der DSGVO entnehmen (75 – 79, 83). Problematisch ist jedoch, dass es in der DSGVO keinen definierten Risikobegriff gibt und bei der Bewertung von Eintrittswahrscheinlichkeit und Schwere des Schadens ein großer Interpretationsspielraum besteht. Entscheidend ist, dass es sich im konkreten Fall um eine vertretbare Risikobewertung und vertretbare Maßnahmen handelt. Je höher das Risiko ist, desto weitreichender müssen die technischen und organisatorischen Maßnahmen sein.

Die Risikobewertung ergibt sich aus der Eintrittswahrscheinlichkeit und der Schwere des möglichen Schadens. Bei der Bestimmung von Eintrittswahrscheinlichkeit und Schwere sind die Art, der Umfang die Umstände und die Zwecke der Verarbeitung zu berücksichtigen.

• Der Schaden kann physischer, materieller oder immaterieller Natur sein. Beispiele hierfür sind eine Diskriminierung, ein Identitätsdiebstahl oder -betrug, finanzielle Verluste oder die Rufschädigung einer natürlichen Person.
• Das Risko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob für die Datenverarbeitung ein Risiko oder ein hohes Risiko besteht. In letzterem Fall muss der Verantwortliche eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO vornehmen und versuchen das Risiko im Vorfeld auf ein vertretbares Maß zu minimieren.

Das Standard-Datenschutzmodell Version 2.0 (DSK) bietet hilfreiche Informationen zur Risiko- und Schutzbedarfsbewertung und kann zur Auswahl geeigneter TOM herangezogen werden. Eine umfassende Darstellung von grundlegenden Informationssicherheitsmaßnahmen und Umsetzungshinweisen ist zudem im IT-Grundschutz-Kompendium des BSI zu finden.

Stand der Technik und Implementierungskosten

Bei der Implementierung angemessener technischer und organisatorischer Maßnahmen ist ebenso der Stand der Technik zu berücksichtigen. Die TOM müssen gegebenenfalls angepasst werden, wenn die technologische Entwicklung dies erfordert. Der Stand der Technik muss nicht zwingend den effektivsten Maßnahmen entsprechen. Ein Referenzwerk zur Bestimmung des Stands der Technik im Rahmen der Informationssicherheit stellt die aktuelle Handreichung zum Stand der Technik von TeleTrusT dar.

Auch die Implementierungskosten können in die Bewertung der Angemessenheit einfließen. Sind die Kosten zu hoch, muss ein Unternehmen alle anderen Möglichkeiten ausschöpfen und entsprechende Maßnahmen treffen, um ein hohes Risiko für die Rechte und Freiheiten von Betroffenen zu verhindern.

ISO 27001 Zertifizierung

Bei der Auseinandersetzung mit TOM trifft man häufig auf die eine Zertifizierung nach ISO 27001. Hierbei handelt es sich um ein zertifiziertes Informationssicherheits-Managementsystem (ISMS). Ein solches Zertifikat allein genügt jedoch nicht den Anforderungen der DSGVO. Beachten Sie zusätzlich das Erfordernis eines Datenschutz-Managementsystems (DSMS) und der tatsächlichen Umsetzung angemessener TOM.

Verstöße gegen Vertraulichkeit und Integrität können teuer werden

Die Gewährleistung von Integrität und Vertraulichkeit stellt Unternehmen vor viele Herausforderungen, da hier nicht zuletzt Datenschutz- und Informationssicherheitsanforderungen zusammenkommen. Verstöße gegen die Grundsätze für die Verarbeitung einschlich gegen die Integrität und Vertraulichkeit können nach Art. 83 Abs. 5 lit. a DSGVO mit Bußgeldern von bis zu 20.000.000 Euro oder 4 % des gesamten weltweiten Jahresumsatzes geahndet werden.

Vor diesem Hintergrund empfehlen wir Ihnen die Umsetzung des Grundsatzes erst zunehmen und – gegebenenfalls in Rücksprache mit einem Fachexperten – angemessene technische und organisatorische Maßnahmen zu implementieren.