Technischer Datenschutz

Technischer Datenschutz

erstellt am 02.01.19 von ts@vnr.de

Die Änderungen des technischen Datenschutzes

Mit der Einführung der europäischen Datenschutz-Grundverordnung (EU-DSGVO) am 25. Mai 2018 wurde der Schutz personenbezogener Daten deutlich verschärft. Die neue Verordnung ist für alle Mitglieder der Europäischen Union bindend. Ein besonderes Augenmerk gilt der IT Sicherheit in den Mitgliedsstaaten. In der Bundesrepublik Deutschland hat sie aufgrund der Verordnung einen deutlich höheren Stellenwert als im alten Bundesdatenschutzgesetz (BDSG) erhalten. Doch welche Änderungen ergeben sich durch die neue DSGVO und die Anpassung des BDSG?

Technische und organisatorische Maßnahmen nach der neuen DSGVO

Kapitel zwei mit den Artikeln fünf bis elf regelt in der neuen DSGVO die Grundsätze des Datenschutzes in Verbindung mit den technisch-organisatorischen Maßnahmen:

  • 5:    Grundsätze für die Verarbeitung personenbezogener Daten
  • 6:    Rechtmäßigkeit der Verarbeitung
  • 7:    Bedingungen für die Einwilligung
  • 8:    Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
  • 9:    Verarbeitung besonderer Kategorien personenbezogener Daten
  • 10: Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten und
  • 11: Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist

Artikel 5 Abs. 1 Satz 1 sagt ausdrücklich, dass personenbezogene Daten „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen. Die Verordnung erlaubt die Verwendung nur für „… festgelegte, eindeutige und legitime Zwecke …“. Gespeichert werden dürfen identifizierbare Daten nicht länger als für den Bearbeitungszweck nötig. Ausnahmen bilden öffentliches Interesse, wissenschaftliche und historische Forschungen sowie statistische Zwecke gemäß Artikel 89 Abs. 1. Zudem ist für jeden, der Daten verarbeitet, eine angemessene Sicherung der personenbezogenen Daten zwingend vorgeschrieben. Sie muss durch eine entsprechende Dokumentation jederzeit nachweisbar sein.

Bisher fanden sich die Anforderungen an eine sichere Datenverarbeitung im § 9 BDSG und den zugehörigen Anlagen. Im neuen Artikel 32 der EU-DSGVO sind die Inhalte leider genauso unpräzise formuliert wie im alten Bundesdatenschutzgesetz. Auch hier gibt es keine konkrete Anleitung, sondern lediglich abstrakte Aussagen, wie zum Beispiel: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: …“(Artikel 32 Abs. 1 EU-DSGVO).

Die Anforderungen der DSGVO an den technischen Datenschutz

Neu ist, dass sich die technischen sowie organisatorischen Maßnahmen künftig nach dem aktuellen Stand der Technik richten müssen. Das bedeutet unter anderem, dass die Schutzsoftware gegen Viren und Hackerangriffe stets auf dem neuesten Stand zu sein hat. Zudem fordert die EU-DSGVO bei der Planung und Umsetzung der technischen und organisatorischen Maßnahmen die Berücksichtigung der Persönlichkeits- und Freiheitsrechte. Explizit aufgenommen wurden die Pseudonymisierung sowie die Verschlüsslung personenbezogener Daten.

In der IT Richtlinie verschwanden antiquierte Begriffe für die Sicherheitsziele wie Zutrittskontrolle, Zugriffskontrolle oder Zugangskontrolle. An ihre Stelle traten Termini wie Belastbarkeit der Systeme, Dienste, Integrität, Verfügbarkeit und Vertraulichkeit. Die zahlreichen Änderungen sind für den Anwender insofern unproblematisch, als dass er weiterhin ausreichende Interpretationsmöglichkeiten für die Umsetzung der technischen und organisatorischen Maßnahmen hat. Allerdings verpflichtet Art. 32 Abs. 1 Satz 1 lit. den Anwender, sein IT Sicherheitskonzept regelmäßig auf Sicherheitslücken zu überprüfen. Der Gesetzgeber meint damit differenzierte Penetrationstests, welche die Umgehung und Aussetzung der Sicherheitssysteme als Ziel haben.

Mobile-Device-Management: Die Vorschriften der DSGVO

Viele Unternehmen überlassen ihren Mitarbeitern Smartphones oder geben ihnen Sub-Notebooks, Tablets für eine bessere Erreichbarkeit und für Außentermine. Die Geräte werden über eine zentrale Stelle, das mobile device management, von einem oder mehreren Administratoren verwaltet. Diese Verwaltung dient ausschließlich der

  • Organisation,
  • Inventarisierung,
  • Softwareverteilung,
  • Datenverteilung,
  • Richtlinienverteilung und dem
  • Datenschutz

Telefonate unterliegen generell dem Fernmeldegeheimnis und dürfen ohne Genehmigung der Betroffenen weder abgehört noch die Verbindungen überprüft werden. Bei E-Mails ist eine Sichtung zulässig, wenn das Unternehmen eine private Nutzung untersagt hat. Problematisch für die Datensicherheit kann es sein, wenn sich die Geräte über WLAN in ein internes Netz einbuchen. Die Sicherheit der Daten steht bei mobilen Geräten zu jedem Zeitpunkt im Vordergrund.

„privacy by design“ und „privacy by default“ – Bedeutung und Definition

Bei “privacy by design” und “privac by default” handelt es sich nicht wirklich um Neuerungen. Seit Jahren gibt es für den IT Grundschutz ähnliche Sicherheitsprojekte durch die IT- und Datenschutzlandschaft. Ältere Generationen erinnern sich im Zusammenhang mit dem Datenschutz im Internet an Ausdrücke wie Systemdatenschutz und PET (privacy enhancing technologies). Nun ist es privacy by design und data privacy by default.

Privacy by design heißt wörtlich übersetzt Datenschutz durch Design. Es bedeutet, dass Unternehmen und Organisationen ihre technischen und organisatorischen Maßnahmen in den frühesten Phasen der Gestaltung von Verarbeitungsvorgängen so umsetzen müssen, dass sie den Datenschutz und die Datenschutzgrundsätze von Anfang an gewährleisten. Standardmäßig muss sichergestellt sein, dass personenbezogene Daten mit dem höchstmöglichen Datenschutz behandelt werden. Das kann durch ausschließliche Verarbeitung der erforderlichen Daten, kurze Aufbewahrungsfristen und/oder eingeschränkten Zugriff geschehen. Auch die Anwendung von Pseudonymisierungen, also den Ersatz von persönlichem und damit identifizierbarem Material durch künstliche Identifikatoren gehört dazu. Eine andere Möglichkeit ist die Verschlüsselung durch das Codieren von Nachrichten, sodass nur die autorisierten Personen sie lesen können.

Privacy by default lässt sich mit einem Satz beschreiben: Unternehmen und Organisationen müssen geeignete Maßnahmen ergreifen, um zum Zeitpunkt der Datenerfassung das Datenschutzrisiko zu minimieren und zur selben Zeit die Schutzmaßnahmen bei der Verarbeitung erweitern. Es sollen nur solche Daten herangezogen werden, die für den Verarbeitungszweck erforderlich sind.

Mit der Einführung von Artikel 25 DSGVO „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ würdigt eine Verordnung die Grundsätze des privacy by design und data privacy by default explizit.

Datenschutz-Folgenabschätzung: Erklärung und Bedeutung

Bereits bei der Planung und im Anschluss bei der Umsetzung von technischen/organisatorischen Maßnahmen ist unter anderem die Wahrscheinlichkeit für das Eintreten von Risiken für die persönlichen Rechte und Freiheiten sowie deren Schwere abzuschätzen. Sind große Gefahren für den Datenschutz zu erwarten, schreibt die DSGVO eine Datenschutz-Folgenabschätzung vor (Art. 35 Abs. 1). Sie ersetzt die Vorabkontrolle des alten Bundesdatenschutzgesetzes. Die Konsequenzen einer Datenschutz-Folgenabschätzung beeinflussen wiederum die Entscheidung, welche technischen und organisatorischen Maßnahmen zum Einsatz kommen.

Änderungen und Neuheiten der Datensicherheit

Das sogenannte EU-Datenschutz-Anpassungs- und Umsetzungsgesetz (DSAnpUG-EU) sieht folgende Änderungen vor:

  • Auftragskontrolle: Sicherstellung, dass personenbezogene Daten bei der Auftragsverarbeitung nur gemäß Anweisung des Auftraggebers bearbeitbar sind
  • Benutzerkontrolle: Verhinderung der Verwendung und der Datenübertragung mithilfe von automatisierten Verarbeitungssystemen durch Unbefugte
  • Datenintegrität: Sicherstellung, dass durch eine Fehlfunktion des Systems die gespeicherten personenbezogenen Daten nicht beschädigt werden können (neu)
  • Datenträgerkontrolle: Sicherung von Datenträgern gegen unbefugtes Kopieren, Lesen, Löschen und Verändern
  • Eingabekontrolle: Sicherstellung, dass jederzeit nachträglich überprüfbar und feststellbar ist, wer wann welche personenbezogenen Daten in automatisierte Verarbeitungssysteme eingeben oder bereits vorhandene Informationen verändert hat.
  • Speicherkontrolle: Verhinderung von unbefugten Eingaben sowie Änderungen, Einsichtnahmen oder Löschungen personenbezogener Daten
  • Transportkontrolle: Sicherstellung des Schutzes der Integrität und Vertraulichkeit personenbezogener Daten bei der Sendung sowie beim Transport auf Datenträgern
  • Trennbarkeit: Sicherstellung, dass personenbezogene Daten, die für verschiedene Zwecke erhoben wurden, getrennt und nur zweckbezogen verarbeitet werden können
  • Übertragungskontrolle: Sicherstellung, dass jederzeit nachprüfbar und feststellbar ist, wo personenbezogene Daten mithilfe welcher Datenübertragungseinrichtung übermittelt wurden, beziehungsweise zur Verfügung gestellt werden (können)
  • Verfügbarkeitskontrolle: Sicherstellung, dass die personenbezogenen Daten vor Verlust und Zerstörung entsprechend geschützt sind
  • Wiederherstellbarkeit: Sicherstellung der Wiederherstellung eingesetzter Systeme im Störungsfall (neu)
  • Zugangskontrollen: Sperre der Zugänge von Verarbeitungsanlagen für Unbefugte
  • Zugriffskontrolle: Sicherstellung, dass bei automatisierten Verarbeitungssystemen ausschließlich die Berechtigten Zugriff auf die für sie zugelassenen personenbezogenen Daten haben
  • Zuverlässigkeit: Sicherstellung der Meldung von Fehlfunktionen sowie der Funktionalität der zur Verfügung stehenden Systeme (neu)

Neu sind die Punkte Datenintegrität, Wiederherstellung und Zuverlässigkeit. Die Zutrittskontrolle wurde im BDSG in den Punkt Zugangskontrolle integriert, die Weitergabekontrolle findet sich in der Benutzerkontrolle, Datenträgerkontrolle, Transportkontrolle und Übertragungskontrolle wieder. Im alten BDSG enthielt die Zugriffskontrolle die Speicherkontrolle, nun ist die Speicherkontrolle ein eigener Punkt. Für Checklisten und die Kontrollorganisation sind Zusammenfassungen beziehungsweise die Unterteilung von Kontrollen besonders zu beachten. Für Punkte wie Datenintegrität, Zuverlässigkeit und Wiederherstellbarkeit besteht die Notwendigkeit, Verfahren und Funktionen zu generieren, die diese Ziele umsetzen und prüfen sowie die Wirksamkeit der Verfahren und Funktionen infrage stellen.

WannaCry, Petrwrap/Petya und Co – Angriffe auf die Datensicherheit

Die Zahl der Cyberangriffe nahm in den letzten Jahren deutlich zu. Jedes Unternehmen kann es treffen, egal, welche Branche oder Unternehmensgröße. Schnelles Handeln entscheidet über die Bewältigung der Folgen solcher Attacken. Erstaunlicherweise haben viele Firmen keinen sogenannten cyber incident response plan (CIRP), also einen IT Notfallplan, entwickelt und in ihre Unternehmensprozesse eingebunden. Um die personenbezogenen Daten zu sichern, schreibt die neue Datenschutzverordnung jedoch ein entsprechendes Notfallmanagement vor.

Der CIPR ist im Grunde nichts anderes, als die schriftliche Zusammenfassung des Notfallmanagements. Er enthält, verbindlich für alle Beteiligten im Unternehmen, die nötigen Sofortmaßnahmen sowie einen Leitfaden für die zugehörige Kommunikation. Bewährt haben sich in der Praxis ganzheitliche Ansätze, die sowohl technische als auch organisatorische, juristische und kommunikative Besonderheiten berücksichtigen. Nicht immer müssen die Aufsichtsbehörden unterrichtet werden. Besteht jedoch eine Meldepflicht nach Art. 33 DSGVO, ist es sinnvoll, die inhaltliche und zeitliche Kommunikation abzustimmen, um nicht nur Schäden, sondern auch Bußgelder zu vermeiden.

Ein Notfallplan sollte folgende Punkte enthalten:

  • Beschreibung von möglichen Szenarien und deren Eskalationsstufe. Das könnte beispielsweise der Abschuss sensibler Daten von Kunden oder Unternehmen, die Nichterreichbarkeit wichtiger Systeme oder Produktionsausfall und Ähnliches sein.
  • Auflistung relevanter Beteiligter wie Kunden, Lieferanten, Mitarbeiter, Behörden und dergleichen.
  • Ansprechpartner, beispielsweise interne Abteilungen wie EDV und Geschäftsführung sowie Externe wie zum Beispiel IT-Forensiker oder Rechtsberater.
  • Genaue Definition von Prozessen und Aktivitäten sowie die jeweils dafür Verantwortlichen.
  • Vorbereitung von Vorlagen, Musterschreiben und Schablonen, die alle wesentlichen Elemente enthalten.
  • Trainingspläne
  • Anpassungen an interne Richtlinien

Der CIRP muss zudem exakt beschreiben, wann welche Mitarbeiter, Dienstleister, Behörden, staatliche Stellen oder die Öffentlichkeit zu informieren sind.

 IT Sicherheitsbeauftragter vs. Datenschutzbeauftragter – Unterschiede

Datenschutzbeauftragter und IT Sicherheitsbeauftragter unterscheiden sich hauptsächlich darin, dass sie für unterschiedliche Arten von Daten zuständig beziehungsweise verantwortlich sind. In der Realität überschneiden sich die Tätigkeitsbereiche oftmals. Anders als der Datenschutzbeauftragte, der sich gezielt um den personenbezogenen Datenschutz kümmert, arbeitet der IT-Sicherheitsbeauftragte ganzheitlich. Er wird bezüglich der IT-Sicherheit beratend tätig und unterstützt bei der Umsetzung. Gibt es Probleme, lösen im Idealfall Datenschutzbeauftragter und IT Sicherheitsbeauftragter die Aufgaben gemeinsam.

Aufgaben des IT Sicherheitsbeauftragten

Der IT Sicherheitsbeauftragte

  • nimmt den Bestand der bisherigen Aktivitäten bezüglich der IT-Sicherheit auf,
  • stimmt die Unternehmensziele beziehungsweise die Ziele von Behörden oder Institutionen mit den IT-Sicherheitszielen ab,
  • erstellt Sicherheitsleitlinien für den IT-Bereich,
  • organisiert den Aufbau sowie den Betrieb und die Weiterentwicklung der IT-Sicherheit,
  • erstellt IT-Sicherheitskonzepte und passt sie der jeweils aktuellen Gesetzeslage an,
  • erstellt Regeln und Richtlinien bezüglich der Informationssicherheit,
  • unterrichtet die Geschäftsführung über den aktuellen Stand der IT-Sicherheit,
  • stellt den Informationsfluss bezüglich des IT-Sicherheitsmanagements sicher,
  • kontrolliert und dokumentiert die IT-Sicherheitsmaßnahmen,
  • führt Schulungen bezüglich der IT-Sicherheit durch,
  • leitet die Analysen und Nachbearbeitungen im Rahmen von IT-Sicherheitsvorfällen,
  • verwaltet das für die IT-Sicherheit zur Verfügung stehende Budget und die dafür vorgesehenen Arbeitszeiten,
  • fungiert als Ansprechpartner für alle die IT-Sicherheit betreffenden Fragen von Kollegen, Geschäftspartnern und Kunden.

ISO 27001 – eine Norm zur Informationssicherheit

Bei der ISO 27001, der internationalen ISO/IEC 27001, handelt es sich um eine Norm, welche die Anforderungen an das Sicherheitsmanagement im Bereich Information während der Einrichtung, Aufrechterhaltung, Umsetzung und laufender Verbesserungen spezifiziert. Zudem beinhaltet sie die Maxime bei der Beurteilung sowie Behandlung von Sicherheitsrisiken unter Berücksichtigung der organisationsspezifischen Bedürfnisse. Betroffen sind alle in öffentlichen und wirtschaftlichen Sparten tätigen Organisationen, also Handelsunternehmen genauso wie Behörden und Non-Profit-Organisationen. Die DIN-Norm zählt zur ISO/IEC 200x-Familie.

Die BSI Standards werden vom „Bundesamt für Sicherheit in der Informationstechnik“, kurz BSI, festgelegt. Sie sind ein „elementarer Bestandteil der IT-Grundschutz-Methodik“ und enthalten neben Empfehlungen zu Verfahren, Prozessen und Methoden auch Anleitungen für Vorgehensweisen sowie einen Maßnahmenkatalog zu verschiedenen Aspekten der Sicherheit. Der Katalog der BSI Standards teilt sich auf in BSI Standard 100-1, 100-2, 100-3 und 100-4. BSI Standard 100-1 beinhaltet „Managementsystemen für Informationssicherheit“, BSI Standard 100-2 „IT-Grundschutz Vorgehensweise“ und BSI Standard 100-3 die „Risikoanalyse auf der Basis von IT-Grundschutz“. Neu hinzugekommen ist der BSI Standard 100-4 „Notfallmanagement“. Seit 2006 wird die BSI ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz durch das Bundesamt für Sicherheit in der Informationstechnik durchgeführt. Das Ministerium hat das Zertifizierungsschema nach ISO 27001 als PDF online gestellt.

Bedeutung und Relevanz der Netzwerkdokumentation

Nicht nur im Rahmen einer ISO-Zertifizierung ist die Netzwerkdokumentation wichtig. Das Protokoll gibt Auskunft darüber, wer wann auf welche Daten zugegriffen hat. Zudem sind mithilfe einer guten Netzwerkdokumentation gemäß ISO Cookies erkennbar. Oftmals enthalten diese kleinen Programme Zusätze, welche die Datensicherheit gefährden. Netzwerkdokumentationen zählen zu den wertvollsten Modulen für ein IT-Management. Sie erlauben nicht nur eine Analyse der Zugriffe und Zugriffsberechtigungen sowie der Auslastung, sondern ermöglichen zudem die Bewertung von IT-Prozessen, Migrationsentscheidungen und Investitionsentscheidungen. Die Netzwerkdokumentation ist ein zentrales IT Sicherheitskonzept, Muster können Sie im Internet dafür genauso herunterladen wie für die IT Dokumentation Vorlagen. Sie müssen das Rad nicht neu erfinden, die bereits vorhandenen Musterkonzepte und Dokumentationsvorlagen erleichtern Ihnen die Arbeit. Sie helfen dabei, Fehler zu vermeiden und alle wichtigen Punkte zu erfassen.

Digitale Unterschrift als Sicherheitsrisiko

Es gibt zahlreiche Gründe für eine digitale Unterschrift. So können beispielsweise Verträgen abgeschlossen, bei Datenübertragungen der Empfang gegengezeichnet oder Dokumente gegen Empfangsbescheinigung online übermittelt werden. Für die rechtliche Anerkennung einer elektronischen Unterschrift müssen jedoch eine Reihe von Bedingungen erfüllt sein. So ist eine Legitimationsprüfung zur Feststellung der Identität des Unterzeichnenden sowie zur Authentifizierung der Unterschrift zwingend notwendig. Es gibt inzwischen anerkannte Identity-Verfahren mit digitalem Zertifikat. Für die unterschiedlichen Anforderungen sind verschiedenen Kriterien maßgeblich. Die Identitätsprüfung kann zum Beispiel gemäß

  • De-Mail-Gesetz (De-Mail-G),
  • European Telecommunications Standards Institute (ETSI),
  • Geldwäschegesetz (GwG),
  • Jugendschutzgesetz (JuSchG),
  • Signaturgesetz (SigG),
  • Straßenverkehrsgesetz StVG) oder
  • Verordnung über elektronische Identifizierung (eIDAS)

erfolgen.

Das Signaturgesetz sagt in § 2 „Begriffsbestimmung“ Nr. 1, beispielsweise dass „“elektronische Signaturen“ Daten in elektronischer Form [sind], die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen, …“. Nr. 2 führt weiter aus, dass diese Signatur ausschließlich einer bestimmten Person zugeordnet und eine Identifizierung darüber möglich sein muss. Qualifizierte Signaturen beruhen auf einem zum Zeitpunkt der elektronischen Unterschrift gültigen, qualifizierten Zertifikat.

Die eIDAS-Verordnung ermöglicht die Anwendung von Identifizierungssystemen auf europäischer Ebene. In vielen Mitgliedsstaaten sind bereits elektronische Identity-Verfahren üblich, die Systeme variieren jedoch von Land zu Land. Insbesondere differieren die Anforderungen an Sicherheit und Technologien stark. Für die gegenseitige Anerkennung der rechtlichen Erfordernisse wurde die eIDAS-Verordnung eingeführt. Sie sieht vor, dass die Wahl der Identifizierungsmethode sich nach dem jeweiligen Vertrauensniveau der Verwaltungsdienstleistung richtet.

Das De-Mail-Gesetz regelt die Dienste, die einen vertraulichen, sicheren und nachweisbaren Geschäftsverkehr im Internet sicherstellen sollen. Dafür muss neben einer sicheren Anmeldung die Nutzung eines Postfachdienstes und eines Versanddienstes für die elektronische Post vorhanden sein. De-Mail-Dienste werden ausschließlich durch akkreditierte Anbieter betrieben. Sie dürfen neben dem Postservice Identitätsbestätigungsdienste und Dokumentablagedienste betreiben.