Ab 25. Mai 2018 gilt die Datenschutz Grundverordnung (DSGVO). Für Unternehmen ist es wichtig, bis zu diesem Zeitpunkt alle Schritte zu unternehmen, um die rechtlichen Anforderungen der DSGVO zu erfüllen. Ein wichtiger Aspekt hierbei ist die Datensicherheit.

Schon nach heutigem Recht sind Unternehmen verpflichtet, Sicherheitsmaßnahmen zu ergreifen, um personenbezogene Daten zu schützen. In Zukunft verschärfen sich die Anforderungen, da nach der DSGVO hohe Bußgelder drohen. Wenn ein Unternehmen künftig nicht über ein Datensicherheitskonzept verfügt oder dieses Konzept nicht einhält, so kann die Datenschutzbehörde ein Bußgeld bis zu 10 Mio. EUR oder bis 2 % des weltweiten Unternehmensumsatzes verhängen, je nachdem, welcher Betrag höher ist. Datenschutzbehörden haben bereits angekündigt, dass sie ab Mai 2018 mit den Überprüfungen beginnen werden.

Was genau sind die gesetzlichen Anforderungen an die Datensicherheit?

Unternehmen müssen ein angemessenes Schutzniveau für die personenbezogenen Daten gewährleisten, die sie verarbeiten. Angemessen bedeutet, dem bestehenden Risiko angemessen. Dabei sind die Risiken zu berücksichtigen, die durch Vernichtung, Verlust, Veränderung der Daten sowie unbefugte Offenlegung oder unbefugten Zugang drohen. Bei der Beurteilung muss die Eintrittswahrscheinlichkeit und die Schwere des Risikos berücksichtigt werden, genauso wie die Implementierungskosten, der Stand der Technik sowie die Art, der Umfang und die Umstände und Zwecke der Datenverarbeitung.

Unternehmen müssen nicht nur angemessene Maßnahmen ergreifen, sie müssen auch genau dokumentieren, wie sie die Risiken ermittelt und bewertet haben und aus welchen Gründen sie die Schutzmaßnahmen ausgewählt haben.

Verfahren zur Prüfung der Datensicherheit im Unternehmen

Jedes Unternehmen muss über ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Sicherheitsmaßnahmen verfügen. Das Unternehmen ist frei darin, die Methode auszuwählen, allerdings ist es sinnvoll, sich an etablierten Standards zu orientieren. Wichtig ist es vor allem, systematisch vorzugehen. Ein geordnetes Vorgehen besteht aus folgenden Schritten (siehe hierzu auch BITKOM Leitfaden Risk Assessment & Datenschutz-Folgenabschätzung, Berlin 2017):

Vorbereitende Maßnahmen

Bevor das eigentliche Projekt beginnt, ist es wichtig, das oberste Management im Unternehmen einzubinden. Die Verantwortung dafür, dass eine angemessene Datensicherheit besteht, liegt bei der Geschäftsführung bzw. dem Vorstand. Der nächste Schritt besteht darin, in dem Projektteam die Verantwortlichkeiten festzulegen und die Rollen zu bestimmen (Wer liefert Informationen und wer bewertet sie? Wer trägt die Verantwortung?).

Wichtig ist es auch, den Kontext festzulegen, also die gesetzlichen Anforderungen nach DSGVO bzw. IT-Sicherheitsgesetz oder nach Spezialgesetzen. Auch wenn vertragliche Vereinbarungen bestehen, z. B. aus einem Vertrag zur Auftragsdatenverarbeitung, ist dies wichtig. Vor Beginn der eigentlichen Analyse ist auch der Anwendungsbereich festzulegen. Die Analyse kann sich auf sämtliche oder einzelne Geschäftsprozesse beziehen, auf die IT-Infrastruktur des Unternehmens oder auch auf einmalige Aktionen oder Vorhaben.

Identifikation der Datenschutzrisiken

Der zweite Schritt besteht darin, die Risiken zu erkennen, d. h. zu prüfen, welche Gefahren für die Verfügbarkeit (Belastbarkeit), Vertraulichkeit oder Integrität der Daten entstehen können. Diese Risikoquellen kann man auf unterschiedliche Weise erkennen, bspw. in Interviews mit Verantwortlichen genauso wie in Workshops mit Teilnehmern aus Fachabteilungen und aus der IT-Abteilung.

Analyse der Datenschutzrisiken

Der nächste Schritt ist die Analyse der Risiken. Zunächst lassen sich verschiedene Bedrohungen unterscheiden. Menschliche Risikoquellen, nicht menschliche Risikoquellen, interne oder externe, die Handlungen können unbeabsichtigt sein oder vorsätzlich erfolgen. Industriespionage von außen ist eine externe, vorsätzliche menschliche Risikoquelle. Demgegenüber gehört ein Mitarbeiter, der unbedacht einen fremden USB-Stick mit seinem Computer verbindet, zu den internen, unbeabsichtigten menschlichen Risikoquellen. Zu den nicht menschlichen Risikoquellen gehören Stromausfälle oder Wassereinbrüche.

Bei der Analyse ist zu untersuchen, welche Auswirkungen bei Verletzung der Datenschutzziele eintreten würden, z. B. Offenbarung von Kontodaten. Dabei ist auch die Schwere der Auswirkung einzuschätzen, genauso wie die Eintrittswahrscheinlichkeit.

Bewertung der Datenschutzrisiken

Wenn man die bestehenden Risiken analysiert hat, kann man sie anhand der Auswirkungen und der Eintrittswahrscheinlichkeit bewerten. Risiken mit geringen Auswirkungen und einer geringen Eintrittswahrscheinlichkeit sind als gering einzustufen. Das Gegenteil sind Risiken mit einer hohen Eintrittswahrscheinlichkeit und schweren Auswirkungen. Je höher ein Risiko zu bewerten ist, je größer also das Produkt der Auswirkung und der Eintrittswahrscheinlichkeit ist, desto wichtiger ist dieses Risiko.

Bewältigung der Datenschutzrisiken

Es gibt vier verschiedene Möglichkeiten mit Risiken umzugehen. Das sind die Risikominimierung durch Ergreifung von Maßnahmen, die Risikovermeidung durch Unterlassung einer bestimmten Verarbeitung, der Risikotransfer auf Dritte sowie die Risikoakzeptanz.

Dabei geht es darum, zwei Ziele zu erreichen: Erstens soll die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme auf Dauer sichergestellt werden, zum zweiten geht es darum, die Verfügbarkeit der Daten und den Zugang zu ihnen nach einem Zwischenfall rasch wieder herzustellen.

Die Bewältigung von Datenschutzrisiken muss nicht immer darin bestehen, dass man die höchstmöglichen Schutzmaßnahmen ergreift oder manche Datenverarbeitungen ganz einstellt. Wichtig ist, dass man ein rationales, nachvollziehbares Verfahren anwendet. Kommt man bei der Bewertung zu dem Ergebnis, dass ein Risiko nur gering zu bewerten ist, so braucht man auch nur geringe Schutzmaßnahmen zu ergreifen. Ein rationales, nachvollziehbares Verfahren führt dazu, dass die Ressourcen im Unternehmen sinnvoll eingesetzt werden, je schwerer das Risiko, d. h. die Eintrittswahrscheinlichkeit und die Schwere der Auswirkungen sind, desto bessere Schutzmaßnahmen setzt man ein.

Umsetzung und Überwachung

Der abschließende Schritt besteht darin, die ausgewählten Maßnahmen umzusetzen. Datensicherheit ist keine einmalige Handlung, sondern ein Prozess. Daher ist das Unternehmen verpflichtet, einen Prozess einzuführen, um die Wirksamkeit der ergriffenen technischen und organisatorischen Maßnahmen regelmäßig zu überprüfen. Die Ergebnisse der Überprüfung müssen dokumentiert werden. Unternehmen müssen nicht nur angemessene Maßnahmen der Datensicherheit ergreifen, sie müssen im Streitfall auch nachweisen, dass sie solche Maßnahmen ergriffen haben.

Zusammenfassung

Ein Vorgehen wie oben beschrieben, hat für das Unternehmen mehrere Vorteile. Zum einen schützt man das eigene IT-System gegen Bedrohungen. In den Daten verkörpert sich ein großer Teil des im Unternehmen vorhandenen Wissens und Know-hows, also des Unternehmenswertes. Durch die systematische Suche nach Schwachstellen erkennt man zahlreiche Lücken, die sich mit relativ wenig Aufwand schließen lassen. Die Bewertung der Risiken stellt sicher, dass man die Ressourcen dort einsetzt, wo sie benötigt werden. Eine Dokumentation hat den Vorteil, dass man Nachweise hat. Falls doch einmal etwas passieren sollte, kann man der Behörde zeigen und beweisen, dass man eine angemessene Risikovorsorge betrieben hat. Ein Bußgeld wird dann nicht verhängt.

Arnd Böken, Rechtsanwalt und Notar
Berlin