IT-Sicherheit in der Pra­xis: Art. 32 DSGVO mit Leben füllen

Art. 32 DSGVO ver­pflich­tet den Ver­ant­wort­li­chen zur Gewähr­leis­tung eines ange­mes­se­nen Schutz­ni­veaus durch die Umset­zung von tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men nach dem Stand der Tech­nik. Stel­len sie sich als unzu­rei­chend her­aus und es kommt zu einer Daten­schutz­ver­let­zung, dro­hen dem Ver­ant­wort­li­chen neben hohen Buß­gel­dern auch Scha­dens­er­satz­an­sprü­che der Betrof­fe­nen. Der Gewähr­leis­tung eines aus­rei­chen­den IT-Sicherheitsniveaus kommt für Unter­neh­men folg­lich eine zen­tra­le Bedeu­tung zu.

Gleich­wohl nennt die DSGVO kei­ne kon­kre­ten Maß­nah­men, son­dern ver­weist ledig­lich exem­pla­risch auf eini­ge abs­trak­te Mög­lich­kei­ten zum Schutz von Daten, wie etwa den Ein­satz von Ver­schlüs­se­lung. In der Pra­xis wer­den daher zur Aus­fül­lung von Art. 32 DSGVO tech­ni­sche Stan­dards, bei­spiels­wei­se das IT-Grundschutz-Kompendium in Ver­bin­dung mit wei­te­ren Emp­feh­lun­gen des Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) oder ISO 27001, her­an­ge­zo­gen. Dabei gilt es grund­sätz­lich zu beach­ten, dass es sich bei der DSGVO um euro­päi­sches Recht han­delt und daher auch Art. 32 DSGVO euro­pa­rechts­au­to­nom aus­zu­le­gen ist. Eine Ergän­zung der all­ge­mei­nen Stan­dards zur IT-Sicherheit erfolgt indes durch Bran­chen­stan­dards, etwa TISAX für die Auto­mo­bil­in­dus­trie oder die Cyber-Sicherheitsanforderungen an netz­werk­fä­hi­ge Medi­zin­pro­duk­te im Healthcare-Bereich.

Zuletzt haben sich aber auch Daten­schutz­auf­sichts­be­hör­den aus­führ­li­cher mit der The­ma­tik befasst. Zu nen­nen sind hier bei­spiels­wei­se die “Gui­dance for Con­trol­lers on Data Secu­ri­ty” der iri­schen Daten­schutz­auf­sicht oder auch die bereits Anfang 2019 ver­öf­fent­lich­ten “Hin­wei­se zum Umgang mit Pass­wör­tern” des Lan­des­da­ten­schutz­be­auf­trag­ten Baden-Württemberg. Inhalt­lich bil­den bei­de Doku­men­te dabei im Wesent­li­chen die Anfor­de­run­gen der bestehen­den tech­ni­schen Stan­dards ab. Im Gegen­satz zu den tech­ni­schen Stan­dards erlau­ben sie jedoch einen bes­se­ren Über­blick und einen leich­te­ren Zugang. Dies dürf­te gera­de für Unter­neh­men ohne dezi­dier­te IT-Sicherheitsabteilung inter­es­sant sein. Gleich­zei­tig zei­gen die Doku­men­te auch, dass sich Ver­ant­wort­li­che an bestehen­den tech­ni­schen Stan­dards ori­en­tie­ren kön­nen, ohne Gefahr zu lau­fen, sich in Wider­spruch mit den Anfor­de­run­gen des Daten­schutz­rechts zu setzen.

Die Her­aus­for­de­rung für Ver­ant­wort­li­che besteht folg­lich weni­ger in der Ver­füg­bar­keit von Ori­en­tie­rungs­hil­fen, son­dern eher in der Fra­ge, wel­ches Schutz­ni­veau im Ein­zel­fall erfor­der­lich ist. Dabei ist zu berück­sich­ti­gen, dass sich Anfor­de­run­gen an die IT-Sicherheit nicht nur aus der DSGVO, son­dern auch aus einem gan­zen Kata­log von ande­ren Bestim­mun­gen (z.B. der Abga­ben­ord­nung i.V.m. den GoBD) erge­ben kön­nen. IT-Sicherheit im Unter­neh­men kann inso­weit nicht als rein tech­ni­sche Fra­ge begrif­fen wer­den, son­dern erfor­dert eben­so fach­spe­zi­fi­sche juris­ti­sche Kompetenz.