Schutz personenbezogener Daten: Das verlangt die DSGVO
Wie wichtig der Schutz personenbezogener Daten ist, hat die jüngste Sicherheitslücke bei Microsoft wieder einmal gezeigt. Doch welche Regeln gelten für den Schutz? Wo gibt es Empfehlungen und wann muss ich Kunden und Mitarbeiter informieren?
Anfang März informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) über sicherheitskritische Schwachstellen bei Microsoft Exchange Servern. Microsoft stellte hierfür Updates bereit, mit denen vier Schwachstellen geschlossen werden konnten.
Die Schwachstellen ermöglichen zielgerichtete Angriffe und potenzielle Täter haben die Möglichkeit, Daten abzugreifen oder weitere Schadsoftware zu installieren. Bei beobachteten Angriffen wurde hierüber Zugang zu den E-Mail-Accounts erlangt sowie weitere Malware zur Langzeit-Persistenz installiert.
Ein „Datenschutz-Problem?“
Aus Sicht des Datenschutzes mag man zunächst die Frage stellen, warum dieser Vorfall relevant sein sollte. Geht es doch „nur“ um Schwachstellen und Angriffspunkte in der IT- und Software-Struktur von Servern.
Doch befasst man sich näher mit diesem Thema, wird schnell klar, dass Datenschutz und Daten- oder auch IT-Sicherheit in der Praxis quasi untrennbar miteinander verbunden sind. Denn oft führen Schwachstellen in der IT-Infrastruktur oder in Software zu dem Risiko, dass personenbezogene Daten abgegriffen werden können.
Bereits dieses Risiko für den Schutz personenbezogener Daten adressiert die Datenschutz-Grundverordnung (DSGVO) in ihren Vorschriften zur Sicherheit personenbezogener Daten (Artikel 32 ff. DSGVO).
Welcher Schutz ist gesetzlich vorgeschrieben?
Artikel 32 Absatz 1 DSGVO verlangt sowohl von Verantwortlichen als auch von Auftragsverarbeitern (also Dienstleistern, die mit personenbezogenen Daten umgehen), dass sie für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Dabei müssen sie den Stand der Technik, die Implementierungskosten und die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos berücksichtigen.
Das klingt zunächst sehr offen und wenig konkret. Tatsächlich ist dies aber auch die Absicht des Gesetzgebers. Es werden in der DSGVO keine speziellen Schutzmaßnahmen zwingend vorgegeben. Vielmehr soll ein dem Risiko angemessener Schutz gewährleistet werden.
Das bedeutet: Berufliche E-Mail-Adressen sind anders zu schützen als etwa Patientenakten. Datenverarbeitende Stellen müssen also jeweils für die von ihnen verarbeiteten Daten und dem potenziellen Risiko für diese Daten prüfen, welche Maßnahmen erforderlich sind.
Wo findet man Empfehlungen für den Schutz personenbezogener Daten?
Da die DSGVO zu keinen Minimumstandards für Maßnahmen verpflichtet, fragen sich datenverarbeitende Stellen oft, wo man denn gute Tipps für umzusetzende „technische und organisatorische Maßnahmen“ findet?
Recht praktisch ist hierfür ist das Dokument „Good Practice bei technischen und organisatorischen Maßnahmen“ des Bayerischen Landesamts für Datenschutzaufsicht.
Dort findet sich eine Fülle an Vorschlägen für Schutzmaßnahmen. Zu beachten ist, dass dies natürlich nur Vorschläge sind. Jeder Verantwortliche und jeder Auftragsverarbeitende muss im Einzelfall prüfen, welche Schutzmaßnahmen für seine Datenverarbeitungen „passen“.
Und wenn es schiefläuft?
Um noch einmal auf die entdeckte Schwachstelle bei Microsoft Exchange zurückzukommen: Kurz nach Veröffentlichung der Information durch das BSI traten die ersten deutschen Datenschutzbehörden mit Pressemitteilungen an die Öffentlichkeit, wie nach der DSGVO mit der nun bekannten Sicherheitslücke zu verfahren ist.
Oder anders: Ob nach der DSGVO eine Meldung an die Aufsichtsbehörde (Artikel 33 DSGVO) oder gar eine Benachrichtigung an betroffene Personen (Artikel 34 DSGVO) zu erfolgen hat.
Wichtig zu beachten ist hierbei, dass diese Meldungen unterschiedliche Voraussetzungen haben. Die Meldung an die Behörde nach Artikel 33 Absatz 1 DSGVO muss (schon) dann vorgenommen werden, wenn eine Verletzung des Schutzes personenbezogener Daten vorliegt. Ebenso muss (!) diese voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führen.
Das bedeutet: Unternehmen müssen in Fällen wie dem hier angesprochenen intern prüfen, ob erstens etwa personenbezogene Daten abgegriffen wurden. Im Anschluss geht es um die Frage, ob dies zu einem Risiko für Betroffene führen kann (zum Beispiel Identitätsdiebstahl).
Wichtig ist hier eine saubere Dokumentation der Prüfung. Das gilt auch für den Fall, dass man eine Meldepflicht verneint (Artikel 33 Absatz 5 DSGVO).
LinkedIn-Guide gratis! Melde dich jetzt für unseren wöchentlichen Newsletter BT kompakt an. Als Dank schenken wir dir unseren LinkedIn-Guide.
Für den Fall, dass eine solche Schutzverletzung ein hohes Risiko für Betroffene birgt, muss das Unternehmen zusätzlich auch diese Betroffenen (Kunden oder Mitarbeiter) informieren (Artikel 34 DSGVO).
Ein solches hohes Risiko wird etwa dann angenommen, wenn Zahlungsdaten entwendet wurden und diese dazu genutzt werden können, um Geld von Betroffenen zu stehlen.
Auch interessant:
Personenbezogene Daten schützen: 5 Tipps
Von: Janina Jung
ITM: Herr Sander, wie wird Datenschutz in Europa derzeit gehandhabt?
Fabian Sander: Die aktuell geltende EU-Datenschutzrichtlinie (95/46/EG) dient als Basis für unterschiedliche Regelungen in den einzelnen EU-Mitgliedsstaaten. Diese nationalen Regelungen widersprechen sich teilweise. Zudem berücksichtigen viele weder die Globalisierung noch technologische Entwicklungen, wie beispielsweise soziale Netzwerke, Big Data und Cloud Computing, ausreichend.
ITM: Wie unterscheidet sich die neue EU-Datenschutz-Grundverordnung von der alten und was bedeutet die Verordnung für Unternehmen?
Sander: Die geplante Verordnung ist ein vollkommen neues, einheitliches Datenschutzgesetz, das bindend ist für alle 28 EU-Mitgliedsstaaten und zum Ziel hat, die personenbezogenen Daten aller EU-Bürger zu schützen. Bei Verstoß gegen das Gesetz werden ernstzunehmende Strafen fällig.
Für Unternehmen und Organisationen, die Daten on premise oder in der Cloud sammeln, speichern und verarbeiten, bedeutet die Verordnung, dass sie sich im Umgang mit personenbezogenen Daten an wesentlich striktere Regelungen halten müssen. Das Sammeln ist dann nur noch für einen legitimierten Zweck erlaubt. Unternehmen sind zudem in der Pflicht nachzuweisen, dass sie die Anforderungen der Verordnung erfüllen.
ITM: Was sind im Rahmen der Verordnung die größten Hindernisse für Unternehmen?
Sander: Viele personenbezogene Daten, für die Unternehmen verantwortlich sind, werden unstrukturiert abgelegt. Das heißt, dass die Daten nicht in Datensystemen oder Cloud-Services gespeichert sind, die die gesetzlichen Anforderungen erfüllen und als Teil eines Management-Systems regelmäßig aktualisiert und überprüft werden. Diese unstrukturierten Daten können außerdem auf mobilen Geräten gespeichert und über nicht autorisierte Anwendungen und Cloud-Speicherplätze ausgetauscht werden. Der „Bring-your-own-Device-Trend“ hat dieses Problem noch verstärkt.
In diesem unkontrollierten Datenaustausch liegt meiner Meinung nach die größte Gefahr, denn dieser kann ernsthafte rechtliche Risiken für Unternehmen nach sich ziehen. Wird der Schutz personenbezogener Daten nicht eingehalten, besteht eine Meldepflicht. Als Strafe drohen dann bis zu vier Prozent des Jahresumsatzes als Abgaben und eine strenge Kontrolle der Erhebung, Speicherung, Sicherung und Anwendung der Daten.
So schützen Sie Ihre Privatsphäre
Das Privacy Paradox – Die Diskrepanz zwischen Wissen und Handeln beim Datenschutz
Mit dem Begriff „Privacy Paradox“ wird das Phänomen beschrieben, dass Internetnutzer*innen den Schutz ihrer Privatsphäre zwar generell für wichtig halten, dies aber nicht unbedingt auf ihr Handeln übertragen. Es gibt einige mögliche Erklärungen für dieses paradoxe Verhalten. So könnte mangelndes Wissen über vorhandene Schutztechniken oder Probleme im Umgang mit diesen die Ursache sein. Oder aber das genaue Gegenteil: Eine digital sozialisierte Generation glaubt, die digitale Selbstdarstellung unter Kontrolle zu haben. Ein wesentliches Motiv könnte auch die starke Gewöhnung an den Komfort der digitalen Dienste und Geräte sein, die bis hin zur Abhängigkeit gehen kann. Vielleicht existiert aber auch grundsätzlich ein mangelndes Bewusstsein gegenüber den negativen Folgen der digitalen Datenpreisgabe.
„Ich habe doch nichts zu verbergen!“ - Ein Trugschluss mit Folgen
Sehr beliebt ist das Argument, man habe ja nichts zu verbergen und daher auch nichts zu befürchten. Doch das ist ein Irrtum. Es kann jedem schaden, wenn bestimmte private Informationen – wie z. B. über eine schwere Krankheit – öffentlich werden. Dabei wird auch unterschätzt, dass durch private Daten nicht unbedingt ein richtiges oder objektives Bild von einer Person vermittelt wird.
Das Bild, das andere so von einer Person gewinnen, kann also ganz anders aussehen als das Bild, das die betroffene Person selbst für korrekt hält. Außerdem ist vielen möglicherweise zu wenig bewusst, dass sie auch unschuldig ins Visier der Sicherheitsbehörden geraten können. Sie meinen, Überwachungsmaßnahmen träfen nur andere, etwa Terroristen.
