Pflichten und Haftung im Unternehmen (mit DSGVO & NIS-RL-UmsetzungsG). Der Praxisleitfaden liefert praxisorientierte Hinweise zur Einhaltung der anwendbaren IT-Sicherheitspflichten und zu den Haftungsrisiken bei Sicherheitsdefiziten. Hier im Blog werden einige zentrale Auszüge veröffentlicht.

Voigt, IT-Sicherheitsrecht, 2018, 287 Seiten, 79,80 Euro

Die Anforderungen an IT-Sicherheitsstandards in Bezug auf den Umgang mit personenbezogenen Daten sind besonders hoch. Das Datenschutzrecht gibt dabei nicht nur konkrete Schutzmaßnahmen für die Datenverarbeitung vor, sondern sieht gegenüber Aufsichtsbehörden und betroffenen Personen insbesondere auch Meldepflichten für den Fall von Datenschutzverletzungen vor (hierzu Voigt, IT-Sicherheitsrecht, 2018, Rz. 332 ff.).

Um die Sicherheit personenbezogener Daten zu gewährleisten, müssen Unternehmen technische und organisatorische Schutzmaßnahmen bei der Datenverarbeitung einsetzen. Der gesetzliche Pflichtenumfang folgt dabei einem risikobasierten Ansatz:

Je mehr Risiken die Verarbeitung für die betroffenen Personen und ihre Daten mit sich bringt, desto umfangreichere Schutzmaßnahmen müssen zum Einsatz kommen.

Der Pflichtenumfang für Unternehmen ist somit einzelfallabhängig, was zu erheblicher Rechtsunsicherheit führt. Es fällt schwer, ein generelles Programm an datenschutzrechtlichen IT-Sicherheitspflichten abzulesen, so dass die Umsetzung der Vorgaben der DSGVO Unternehmen vor einige Herausforderungen stellt.

1. Technische und organisatorische Maßnahmen

Verantwortliche und Auftragsverarbeiter sind zur Anwendung technischer und organisatorischer Maßnahmen (TOM) zum Schutz personenbezogener Daten verpflichtet, die dem Risiko der durchgeführten Verarbeitungstätigkeiten entsprechen, Art. 24 Abs. 1, 28 Abs. 1, 32 DSGVO. Unternehmen obliegt es daher auch, den Einsatz entsprechender Maßnahmen durch alle an der Verarbeitung beteiligten Mitarbeiter sicherzustellen, Art. 32 Abs. 4 DSGVO. Die Maßnahmen dienen vorrangig der Datensicherheit, also dem umfassenden Schutz der zur Verarbeitung eingesetzten IT und Systeme (Mantz in Sydow, DSGVO, 2017, Art. 32 Rz. 1).

a) Maßgebliche Gesichtspunkte:

Welche TOM im konkreten Fall angemessen sind, muss das Unternehmen im Wege einer umfassenden objektiven Risikoabwägung ermitteln (Voigt/von dem Bussche, DSGVO, 2018, Teil 3.3.3 m.w.N.). Das Gesetz nennt darüber hinaus in Art. 32 Abs. 1 DSGVO weitere Gesichtspunkte zur Ermittlung angemessener Schutzmaßnahmen:

• den Stand der Technik,
• die Implementierungskosten und
• die Art, den Umfang, die Umstände und Zwecke der Verarbeitung sowie
• die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen.

b) Praktische Vorgehensweise:

Zur praktischen Umsetzung der umfassenden Abwägung bietet sich folgende Vorgehensweise an (s. für die nachfolgenden Ausführungen Bayrisches Landesamt für Datenschutzaufsicht, Sicherheit der Verarbeitung – Art. 32 DS-GVO, 2016; Voigt/von dem Bussche, DSGVO, 2018, Teil 3.3.3 m.w.N.):

• Ermittlung des Schutzbedarfs der betroffenen Daten:
  Um den Schutzbedarf der von der Verarbeitung betroffenen Daten zu ermitteln ist zu prüfen, welches Schadenspotential durch Datensicherheitsdefizite im Hinblick auf die betroffenen Daten besteht.
• Ermittlung des Risikopotentials der Verarbeitung dieser Daten:
  Die dem Schutzbedarf entsprechenden Maßnahmen müssen unter Berücksichtigung des Risikos ihrer Verarbeitung ausgewählt werden. Dabei sind vorrangig die Risiken für die betroffenen Personen, aber auch die Interessen des Unternehmens im Rahmen der Abwägung zu berücksichtigen. Besteht ein hohes Risiko für die betroffenen Personen, ist eine Datenschutz-Folgenabschätzung durchzuführen, deren Ergebnis ebenfalls im Rahmen der Risikobewertung zu berücksichtigen ist (ErwGr. 84 DSGVO; Martini in Paal/Pauly, DSGVO, 2. Aufl. 2018, Art. 32 Rz. 49).
• Entwicklung eines Datenschutzkonzepts:
  Die verschiedenen Risiken und Interessen sind gegeneinander abzuwägen und ihre Ergebnisse dienen als Grundlage für die Entwicklung des angemessenen Datenschutzkonzepts. Dabei werden die Pflichten für jedes Unternehmen auf Einzelfallbasis ausdifferenziert, um ein angemessenes Verhältnis von Aufwand und Nutzen der TOM zu erreichen.

Im Vergleich zu den konkreten Vorgaben des § 9 BDSG-alt und dessen Anlage enthält die Selbsteinschätzung des Schutzbedarfs durch das Unternehmen ein größeres Element der Unsicherheit.

c) Stand der Technik

Hinzu kommt, dass Unternehmen unter Berücksichtigung des Stands der Technik nach Art. 32 Abs. 1 DSGVO ihre Maßnahmen an technologische Veränderungen fortlaufend anpassen müssen. Eine entsprechende Orientierung können zumindest ISO-Bestimmungen und der Grundschutzkatalog des BSI bieten (Martini in Paal/Pauly, DSGVO, 2. Aufl. 2018, Art. 32 Rz. 56 ff. m.w.N.).

d) Standard-Datenschutzmodell der Datenschutzbehörden

Darüber hinaus haben auch die deutschen Datenschutzbehörden im Rahmen einer gemeinsamen Konferenz ein Standard-Datenschutzmodell verabschiedet, welches eine der möglichen Vorgehensweisen zur Schaffung rechtskonformer TOM vorstellt.

2. Mindestschutzanforderungen

Auch wenn die DSGVO keine konkreten Maßnahmen zur Umsetzung eines angemessenen datenschutzrechtlichen IT-Sicherheitsstandards vorgibt, stellt Art. 32 Abs. 1 DSGVO zumindest Mindestanforderungen an die TOM des Unternehmens. Diese sind zur Gewährleistung eines hinreichenden Datenschutzniveaus unbedingt erforderlich und geben eine erste Richtschnur in Bezug auf die zu ergreifenden Maßnahmen. Sie lassen sich wie folgt klassifizieren (GDD-Praxishilfe DS-GVO IV, S. 21 f.):