DSGVO und Cybersicherheit: Die praktische Umsetzung des Datenschutzes

Frau, die ein Tablet mit einem holografischen Vorhangschloss und einem Schutzschild benutzt, die Datenschutz und Cybersicherheit darstellen

DSGVO Artikel 32: Erläuterungen zur Sicherheit der Verarbeitung

Artikel 32 stellt die zentrale Anforderung an die Cybersicherheit im Rahmen der DSGVO dar. Organisationen sind verpflichtet, „geeignete technische und organisatorische Maßnahmen“ zu treffen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten.

Im Kern legt Artikel 32 einen risikobasierten Sicherheitsansatz fest. Anstatt ein festes Regelwerk vorzuschreiben, verlangt die Verordnung von den Organisationen, die Sensibilität der von ihnen verarbeiteten Daten, den Umfang ihrer Tätigkeiten sowie die potenziellen Auswirkungen einer Datenschutzverletzung auf Einzelpersonen zu bewerten. Sicherheitsmaßnahmen müssen daher entsprechend diesen Risiken konzipiert und aufrechterhalten werden.

Das bedeutet, dass die DSGVO keine festgelegte Checkliste für die Einhaltung der Vorschriften vorsieht. Von einem weltweit tätigen Gesundheitsdienstleister, der mit sensiblen Patientendaten umgeht, wird erwartet, dass er strengere Kontrollmaßnahmen einhält als eine kleine Organisation, die lediglich grundlegende Kontaktdaten verarbeitet, wodurch sowohl die Art der Daten als auch die potenziellen Folgen einer Datenschutzverletzung widergespiegelt werden.

Was unter „geeigneten technischen und organisatorischen Maßnahmen“ zu verstehen ist

In der Praxis umfassen „geeignete“ Maßnahmen eine Kombination aus technischen Kontrollmaßnahmen und organisatorischen Prozessen, wie beispielsweise Verschlüsselung, Multi-Faktor-Authentifizierung, Zugriffsverwaltung, Datensicherung und -wiederherstellung, Schwachstellenverwaltung, Sicherheitsüberwachung, Reaktion auf Sicherheitsvorfälle, Ausfallsicherheitsplanung sowie Schulungen zur Sensibilisierung der Mitarbeiter, die so umgesetzt werden, dass sie dem spezifischen Risikoprofil der Organisation Rechnung tragen.

Dies spiegelt einen allgemeinen Wandel in der DSGVO wider, weg von einer einmaligen Einhaltung hin zu einer kontinuierlichen Rechenschaftspflicht, bei der Organisationen nicht nur nachweisen können müssen, dass Sicherheitsmaßnahmen vorhanden sind, sondern auch, dass diese aktiv gepflegt und im Laufe der Zeit verbessert werden. Die wichtigste Erwartung besteht jedoch nicht nur darin, dass Kontrollmaßnahmen vorhanden sind, sondern auch darin, nachweisen zu können, dass diese Maßnahmen wirksam, verhältnismäßig und konsequent angewendet werden.

Von Organisationen wird erwartet, dass sie Risikobewertungen durchführen, ihre Entscheidungen dokumentieren und ihre Kontrollmaßnahmen regelmäßig überprüfen, um sicherzustellen, dass diese den sich wandelnden Bedrohungen weiterhin gerecht werden. Die Anforderungen an die Cybersicherheit sind nicht statisch, und Kontrollmaßnahmen, die vor einigen Jahren noch als ausreichend galten, entsprechen möglicherweise nicht mehr den heutigen regulatorischen Erwartungen, da die Aufsichtsbehörden zunehmend die Notwendigkeit einer kontinuierlichen Verbesserung und Rechenschaftspflicht betonen, anstatt sich auf eine einmalige Konformitätsprüfung zu beschränken.

Vertraulichkeit, Integrität und Verfügbarkeit

Die Sicherheitsverpflichtungen gemäß der DSGVO basieren auf drei Grundprinzipien: Vertraulichkeit, Integrität und Verfügbarkeit. Zusammen legen diese fest, wie personenbezogene Daten in der Praxis geschützt werden müssen.

Vertraulichkeit gewährleistet, dass personenbezogene Daten nur autorisierten Personen zugänglich sind. Unternehmen erreichen dies in der Regel durch Maßnahmen wie Multi-Faktor-Authentifizierung, rollenbasierte Zugriffskontrollen, Verschlüsselung und Netzwerksegmentierung, unterstützt durch das Prinzip der geringstmöglichen Berechtigungen und sichere Konfigurationspraktiken.

Integrität zielt darauf ab, Daten vor unbefugter Veränderung oder Beschädigung zu schützen. Dies umfasst häufig die Protokollierung von Prüfungen, die Anpassung von Verwaltungsprozessen und die Überwachung der Dateiintegrität sowie Kontrollmaßnahmen, die eine versehentliche Änderung von Daten verhindern.

Verfügbarkeit stellt sicher, dass Daten und Systeme bei Bedarf zugänglich bleiben. Dies erfordert eine ausfallsichere Infrastruktur, Backup-Strategien, Notfallpläne sowie effektive Verfahren zur Notfallwiederherstellung.

Von diesen Faktoren wird die Verfügbarkeit häufig unterschätzt. Gemäß der DSGVO können Ransomware-Angriffe, durch die personenbezogene Daten nicht mehr verfügbar sind, weiterhin als meldepflichtige Datenschutzverletzungen gelten, selbst wenn keine Daten gestohlen werden, da bereits der Verlust der Verfügbarkeit eine Verletzung im Sinne von Artikel 4 (12).

Verschlüsselung, Pseudonymisierung und Datenschutz

Die Verschlüsselung wird in Artikel 32 ausdrücklich erwähnt, da sie eine der wirksamsten Methoden darstellt, um das Risiko eines unbefugten Zugriffs zu verringern. Daten, die über Netzwerke übertragen werden, sollten durch moderne Verschlüsselungsprotokolle geschützt werden, während gespeicherte Daten auf Computern, Laptops, Wechseldatenträgern, Servern, Backups und in Cloud-Umgebungen ebenfalls mit robusten Lösungen (Hardware-Verschlüsselungsvorrichtungen) verschlüsselt werden sollten, um einen wirksamen Schutz zu gewährleisten.

Dies ist besonders wichtig für Mitarbeiter im Homeoffice und im Außendienst, bei denen der Verlust oder Diebstahl von Geräten nach wie vor eine häufige Ursache für Datenlecks darstellt. Da Unternehmen zunehmend in Hybrid- und Cloud-Umgebungen agieren, erfordert die Einhaltung der DSGVO auch die Sicherung von Remote-Endpunkten, von Kollaborationsplattformen, Cloud-Speicherumgebungen und SaaS-Anwendungen von Drittanbietern sowie den Einsatz von Hardwareverschlüsselung, um die Risiken zu mindern, die mit der Verarbeitung von Daten außerhalb sicherer Unternehmensnetzwerke verbunden sind.

Hardwareverschlüsselte Speichergeräte können zusätzlichen Schutz für sensible Daten bieten, die außerhalb der Unternehmensgrenzen genutzt werden, insbesondere für Remote-Mitarbeiter, Außendienstteams und Organisationen, die in verteilten Umgebungen mit regulierten Informationen umgehen, wo die physische Gerätesicherheit nach wie vor einen erheblichen Risikofaktor darstellt.

Verschlüsselung allein reicht jedoch nicht aus. Die Einhaltung der DSGVO hängt von einem mehrschichtigen Sicherheitskonzept ab. Unternehmen benötigen auch ein robustes Zugriffsmanagement, Überwachungs- und Reaktionsmaßnahmen bei Vorfällen, Mitarbeiterschulungen sowie kontinuierliche Testverfahren, um sicherzustellen, dass die Kontrollmaßnahmen angesichts sich ständig weiterentwickelnder Bedrohungen wirksam bleiben.

Die Pseudonymisierung ist eine weitere wichtige Methode. Dabei werden identifizierende Informationen ersetzt, entfernt oder umgewandelt, damit personenbezogene Daten ohne zusätzliche Informationen nicht mit einer bestimmten Person in Verbindung gebracht werden können. Diese zusätzlichen Informationen werden separat gespeichert und durch geeignete technische und organisatorische Maßnahmen geschützt.

Prüfung, Überwachung und kontinuierliche Bewertung

Artikel 32 verpflichtet Organisationen dazu, ihre Sicherheitsmaßnahmen regelmäßig zu prüfen und zu bewerten, um zu überprüfen, wie Daten erhoben, gesichert und gespeichert werden. In der Praxis umfasst dies Überprüfung der Schwachstellen, Penetrationstests, kontinuierliche Überwachung, Sicherheitsaudits, Übungen zur Reaktion auf Sicherheitsvorfälle sowie Tests zur Wiederherstellung aus Backups. All dies dient dazu, sicherzustellen, dass die Kontrollmaßnahmen auch langfristig wirksam bleiben.

Dies ist von Bedeutung, da Unternehmen Vorfälle weder melden noch eindämmen können, wenn sie diese nicht erkennen. Eine effektive Überwachung und Transparenz sind unerlässlich, um verdächtige Aktivitäten frühzeitig zu erkennen, Betriebsunterbrechungen zu begrenzen und die gesetzlichen Meldepflichten zu erfüllen, insbesondere wenn eine rasche Meldung von Datenschutzverletzungen erforderlich ist.

Viele Organisationen richten ihre DSGVO-Programme mittlerweile an anerkannten Rahmenwerken wie ISO/IEC 27001, ISO/IEC 27701, das NIST-Cybersicherheits-Framework oder Cyber Essentials aus. Diese Rahmenwerke helfen Unternehmen dabei, strukturierte und wiederholbare Prozesse zur Sicherheits-Governance aufzubauen, müssen jedoch weiterhin an das spezifische DSGVO-Risikoprofil des jeweiligen Unternehmens angepasst werden.

Auswirkungen der DSGVO auf Strategien zur Cybersicherheit

Die DSGVO hat die Herangehensweise von Unternehmen an die Cybersicherheit grundlegend verändert, und eine der größten Veränderungen betrifft die Rechenschaftspflicht. Unternehmen müssen nun in der Lage sein, die Einhaltung der Vorschriften nachzuweisen, anstatt dies lediglich zu behaupten. Dazu gehören die Dokumentation von Risikobewertungen, Sicherheitsdokumentationen, Verarbeitungsprotokollen, Verfahren zur Reaktion auf Vorfälle sowie Prozesse zur Lieferantenüberwachung, gestützt durch eindeutige Nachweise darüber, wie Sicherheitsentscheidungen getroffen und überprüft werden.

Die DSGVO unterstreicht zudem die Bedeutung einer risikobasierten Sicherheit. Sicherheitsinvestitionen sollten das Ausmaß widerspiegeln, in dem das Unternehmen Bedrohungen und Schwachstellen ausgesetzt ist, sowie die Sensibilität der von ihm verarbeiteten Daten, um sicherzustellen, dass die Kontrollmaßnahmen in einem angemessenen Verhältnis zu den ermittelten Risiken stehen.

Das Risikomanagement in Bezug auf Dritte hat ebenso an Bedeutung gewonnen. Wenn ein Lieferant oder Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet, bleibt Ihre Organisation dafür verantwortlich, dass angemessene Sicherheitsvorkehrungen getroffen werden. Daher sind die Sorgfaltspflicht gegenüber Lieferanten und die vertragliche Überwachung mittlerweile zentrale Bestandteile vieler Programme zur Einhaltung der DSGVO, ebenso wie die fortlaufende Überwachung der Leistung und der Sicherheit der Auftragsverarbeiter.

War dies hilfreich?

Brauchen Sie Hilfe?

Zugehörige Artikel