EU Datenschutz  ·  13. März 2018

    EU Datenschutz: Sicherheit der Verarbeitung

    In unseren letzten Artikeln zum EU Datenschutz haben wir uns mit der Frage beschäftigt, ob auch Schweizer Unternehmen von der Europäischen Datenschutz-Grundverordnung (DSGVO) betroffen sein könnten, welche am

    25. Mai 2018 in Kraft tritt ("EU Datenschutz in der Schweiz?"), und uns danach mit den Grundlagen der Regulierung auseinandergesetzt ("EU Datenschutz Grundlagen").

     

    Personendaten müssen durch angemessene technische und organisatorische Massnahmen gesichert sein (Art. 32).

     

    Wie die Angemessenheit der technischen Schutzmassnahmen beurteilt werden soll, ist offen formuliert ("Unter Berücksichtigung des Stands der Technik ..." bzw. "Taking into account the state of the art ...").

     

    Somit stellt sich die Frage, welche technischen und organisatorischen Massnahmen angemessen sind und umgesetzt werden müssen, damit allfällige Geldbussen verhindert werden können.

    Datenschutz und IT-Sicherheit

    Datenschutz ist ohne IT-Sicherheit nicht möglich, da ansonsten die Vertraulichkeit und Integrität der Daten nicht gewährleistet werden können.

     

    Dabei muss beachtet werden, dass der Schutzbedarf von Personendaten nicht zwingend dem Schutzbedarf der Geschäftsprozesse eines Unternehmen entsprechen muss. Der Schutzbedarf von Personendaten kann durchaus höher sein.

    Standard-Datenschutzmodell

    Da die DSGVO vage bleibt, was unter angemessenen organisatorischen und technischen Massnahmen konkret zu verstehen ist, müssen die EU-Mitgliedsländer diese Lücke schliessen.

     

    Aus diesem Grund haben die deutschen Datenschutzbehörden das "Standard-Datenschutzmodell" (SDM) entwickelt. Auf Basis dieser Methodik sollen Datenschutzberatung und -prüfung in Deutschland möglich sein.

     

    Das SDM überführt die rechtlichen Anforderungen der DSGVO in einen Katalog von technischen und organisatorischen Massnahmen. 

     

    Zu diesem Zweck legt das SDM sieben Gewährleistungsziele fest:

    • Datenminimierung
    • Verfügbarkeit
    • Integrität
    • Vertraulichkeit
    • Nichtverkettung
    • Transparenz
    • Intervenierbarkeit

    Für die Gewährleistungziele werden generische Massnahmen für betroffene Daten, Systeme und Prozesse definiert. Die konkret umzusetzenden Referenzmassnahmen sind noch nicht festgelegt und werden zurzeit erarbeitet (Stand "SDM V.1.0 –Erprobungsfassung").

     

    Bei den Gewährleistungszielen Verfügbarkeit, Integrität und Vertraulichkeit handelt es sich um die klassischen drei Schutzziele der IT-Sicherheit. Aus diesem Grund und insbesondere beim Gewährleistungsziel Vertraulichkeit verweist das SDM explizit auf den IT-Grundschutz des BSI.

     

    Auch die Schutzbedarfsabstufungen im SDM entsprechen denjenigen im BSI IT-Grundschutz (normal, hoch, sehr hoch). Bei der Verarbeitung personenbezogener Daten kann der Schutzbedarf gemäss SDM niemals niedriger als „normal“ sein.

    BSI IT-Grundschutz

    Der vom "Bundesamt für Sicherheit in der Informationstechnik" (BSI) entwickelte IT-Grundschutz ermöglicht durch ein systematisches Vorgehen notwendige Sicherheitsmassnahmen zu identifizieren und umzusetzen. Die BSI-Standards liefern hierzu bewährte Vorgehensweisen, das IT-Grundschutz-Kompendium konkrete Anforderungen.

     

    Der IT-Grundschutz wird seit 1994 kontinuierlich verbessert und weiterentwickelt und adressierte bis anhin vornehmlich öffentliche Behörden in Deutschland und Unternehmen, welche Dienstleistungen für diese Behörden erbringen. Anderen Unternehmen und im Besonderen KMU-Betrieben dient der IT-Grundschutz als Grundlage und vereinfacht die Erarbeitung eigener Sicherheitsmassnahmen.

     

    Der BSI IT-Grundschutz geniesst in der Fachwelt hohes Ansehen und ist kompatibel zu internationalen Standards und Normen (ISO 27001).

     

    Die BSI-Standards wurden 2017 nochmals vollständig überarbeitet. Das IT-Grundschutz-Kompendium liegt seit Februar in der "1. Edition 2018" vor und enthält neu Sicherheitsanforderungen nach dem aktuellen "Stand der Technik". Künftig wird das Kompendium jährlich mit neuen Erkenntnissen ergänzt und veröffentlicht.

     

    Die Anforderungen werden folgendermassen kategorisiert:

    • Basis-Anforderungen
      Müssen vorrangig umgesetzt werden, da sie mit geringem Aufwand den grösstmöglichen Nutzen erzielen.
    • Standard-Anforderung
      Gemeinsam mit den Basis-Anforderungen erfüllen die Standard-Anforderungen den «Stand der Technik» und adressieren den normalen Schutzbedarf.
    • Anforderungen bei erhöhtem Schutzbedarf
      Enthält Vorschläge für Anforderungen bei erhöhtem Schutzbedarf.

    Bei den Basis-Anforderungen handelt es sich um MUSS-Anforderungen, d.h. diese müssen zwingend umgesetzt werden. Soll ein "normaler" Schutzbedarf erreicht werden, sind zusätzlich die Standard-Anforderungen umzusetzen.

     

    Somit liegen erstmals allgemein gültige Mindest-Anforderungen in Bezug auf IT-Sicherheit vor.

     

    Durch die Verknüpfung von SDM und IT-Grundschutz gelten die Anforderungen auch für den Datenschutz, zumindest um das Gewährleistungsziel Vertraulichkeit erreichen zu können. Da das SDM für die Verarbeitung personenbezogener Daten von einem mindestens "normalen" Schutzbedarf ausgeht, müssen auch die Standard-Anforderungen des Kompendiums umgesetzt werden.

     

    Wir werden uns in einem weiteren Artikel noch detaillierter mit dem IT-Grundschutz-Kompendium befassen. Um ein Gefühl zu vermitteln, wie umfangreich das Kompendium ist, sollen an dieser Stelle die Anzahl der Anforderungen in den verschiedenen Kategorien einen ersten Eindruck vermitteln:

    • Basis-Anforderungen: 421
    • Standard-Anforderung: 673
    • Anforderungen bei erhöhtem Schutzbedarf: 314

    Tags: Datenschutz, DSGVO, GDPR, IT-Sicherheit, SDM, IT-Grundschutz