Welche Anforderungen stellt die EU-DSGVO an die IT-Sicherheit?

Sabrina Dubois, externe Datenschutzbeauftragte der SySS, erläutert, was die neue Datenschutz-Grundverordnung für Unternehmen bedeutet

Am 25. Mai 2018 ist die Umsetzungsfrist für die Europäische Datenschutz-Grundverordnung (DSGVO) abgelaufen. Diese Frist ist mittlerweile allgegenwärtig und viele Unternehmen sind in heller Aufregung, was damit auf sie zukommt.

Neben den umfassenden Dokumentationsanforderungen müssen auch Prozesse angepasst sowie eine Risikobewertung der Datenverarbeitung vorgenommen werden. Je risikobehafteter eine Datenverarbeitung ist, desto schärfere technische und organisatorische Maßnahmen müssen getroffen werden.

Handlungsdruck entsteht hierbei vor allem durch die – im Vergleich zum bisher anzuwendenden deutschen Bundesdatenschutzgesetz (BDSG) – drastisch erhöhten Strafen im Falle von Verstößen.  Dadurch hat das Thema auch die erforderliche Management Attention.

Bei der Umsetzung ist neben den grundsätzlichen Anforderungen vor allem auch die technische Absicherung der Systeme, die personenbezogene Daten verarbeiten, nicht zu vernachlässigen. Dies wird über die Annäherung von Informationssicherheit und Datenschutz durch die Verschmelzung der Schutzziele verstärkt. Regelungsgrundlagen finden sich hier an verschiedenen Stellen in der DSGVO. Insbesondere wird mit Art. 32 DSGVO eine gesetzliche Anforderung für die Vertraulichkeit, Verfügbarkeit und Integrität von personenbezogenen Daten geschaffen. Damit sind diese Anforderungen nunmehr auch gesetzlich verpflichtend.

Danach schließen technische und organisatorische Maßnahmen (TOMs) unter anderem Folgendes ein:

  • Die Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit
  • Rasche Wiederherstellbarkeit der Daten
  • Regelung für Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit von TOMs

Was bedeutet dies in der Praxis?

Im Gegensatz zum bisher geltenden BDSG sind mit der EU-DSGVO ab 25.05.2018 die (Schutz-) Ziele der Informationssicherheit ein fester Bestandteil, mit denen sich Unternehmen auseinandersetzen müssen. Unter Berücksichtigung des aktuellen Stands der Technik sind Prozesse und Verfahren einzuführen, die den Verlust oder den Datenzugriff oder Datenabgriff Dritter ausschließen.

Vor dem Hintergrund der aktuellen Presseberichterstattung über IT-Sicherheitsvorfälle sowie stetig vermeintlich neuer Sicherheitslücken ist eine Auseinandersetzung und Aufplanung erforderlicher Maßnahmen unabdingbar. Anderweitig drohen hohe Sanktionen und Imageschäden.

Wie kann ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet werden?

Es ist unerlässlich, dass die Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der IT-Systeme zum Schutz der personenbezogenen Daten zu jedem benötigten Zeitpunkt sichergestellt ist. Zur Sicherstellung der Verfügbarkeit sind technische Schutzmaßnahmen, beispielsweise geo-redundante Spiegelung der Systeme, ebenso sinnvoll wie in der Praxis verbreitet. Schwieriger wird es oftmals, wenn die Belastbarkeit der Infrastruktur evaluiert werden soll. Hierzu können Systeme zur Lastverteilung verwendet werden, um die Anfälligkeit auf die Probe zu stellen.

Für einen allumfassenden Sicherheitstest der IT-Infrastruktur, sei es die Sicherheit einzelner Rechner, Netzwerke oder die Gesamtheit der IT-Systembestandteile, sind Penetrationstests eine wirksame Maßnahme. Art und Umfang des Sicherheitstests orientieren sich am Gefahrenpotenzial des jeweiligen Systems. Regelmäßige Penetrationstests sind ein wichtiger Bestandteil jeder IT-Sicherheitsstrategie, um die Empfindlichkeit der IT-Systembestandteile zu testen und so den Schutz der Daten zu gewährleisten. So können gegebenenfalls bestehende Mängel erkannt und aus den daraus hervorgehenden geeigneten Gegenmaßnahmen kann die Erfüllung der Schutzziele – Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit – sichergestellt werden.

Außerdem ist es insbesondere bei Änderungen des Systems wichtig, eine regelmäßige Überprüfung der Wirksamkeit von TOMs durchzuführen, um die Sicherheit der IT-Systeme zu gewährleisten.

Vor dem Hintergrund der sich stetig entwickelnden Technik kann dies keine einmalige Maßnahme sein, sondern ist vielmehr regelmäßig einzuplanen. Damit wird gleichermaßen der Anforderung der DSGVO an eine regelmäßige Überprüfung genüge getan.

Unternehmen und externe IT-Dienstleister – Wer ist verantwortlich für den Schutz der Daten?

Sinnvoll ist vor diesem Hintergrund auch die Kommunikation mit neuen oder bereits bestehenden IT-Dienstleistern, die personenbezogene Daten des Unternehmens verarbeiten. Hier sind Unternehmen und IT-Dienstleister gleichermaßen dafür verantwortlich, dass die Anforderungen der Datenschutz-Grundverordnung eingehalten werden und diese bestenfalls mit vorzuweisenden Zertifikaten bestätigt werden können.

Fazit

Die IT-Sicherheit sollte im Rahmen von Umsetzungsprojekten zur EU Datenschutz-Grundverordnung nicht vernachlässigt werden. Es müssen neben Dokumentations- und Prozessanpassungsaufgaben auch die vorhandenen technischen und organisatorischen Maßnahmen zum Schutz der Daten hinterfragt und nötigenfalls angepasst werden. Ein regelmäßiges Review und gegebenenfalls eine Aktualisierung der Maßnahmen ist verpflichtend, ebenso wie die Überprüfung der Wirksamkeit der Maßnahmen, beispielsweise mittels gut dokumentierter Penetrationstests. Darüber hinaus empfiehlt sich eine Zertifizierung über die Erfüllung der IT-Sicherheitsanforderungen der DSGVO, um einen sicheren Schutz der personenbezogenen Daten zu gewährleisten und nachweisen zu können.

 

Sabrina Dubois, externe Datenschutzbeauftragte der SySS GmbH, ist Wirtschaftsjuristin und TÜV-zertifizierte Datenschutzbeauftragte. Seit 2015 arbeitet sie für die T-Systems Multimedia Solutions GmbH als Datenschutzberaterin. Sie berät intern und extern in umfangreichen branchenübergreifenden Projekten. Ab Ende Mai 2018 übernimmt die Juristin Monika Meinhardt LL.M. zeitweise die Vertretung von Sabrina Dubois.


Termine

19.06.2018 - 21.06.2018
SySS-Schulung – Hack3: Angriffe gegen Windows-basierte Netzwerke
26.06.2018 - 27.06.2018
SySS-Schulung – Hack7: Sicherheit und Einfallstore bei Webapplikationen
27.06.2018
Sebastian Schreiber auf der IT-Konferenz für Verlage und Medienhäuser in München
03.07.2018 - 04.07.2018
SySS-Schulung – Secu3: Incident Detection