IT-Sicherheit in der Praxis: Art. 32 DSGVO mit Leben füllen

Dr. Carlo Piltz

Art. 32 DSGVO verpflichtet den Verantwortlichen zur Gewährleistung eines angemessenen Schutzniveaus durch die Umsetzung von technischen und organisatorischen Maßnahmen nach dem Stand der Technik. Stellen sie sich als unzureichend heraus und es kommt zu einer Datenschutzverletzung, drohen dem Verantwortlichen neben hohen Bußgeldern auch Schadensersatzansprüche der Betroffenen. Der Gewährleistung eines ausreichenden IT-Sicherheitsniveaus kommt für Unternehmen folglich eine zentrale Bedeutung zu.

Gleichwohl nennt die DSGVO keine konkreten Maßnahmen, sondern verweist lediglich exemplarisch auf einige abstrakte Möglichkeiten zum Schutz von Daten, wie etwa den Einsatz von Verschlüsselung. In der Praxis werden daher zur Ausfüllung von Art. 32 DSGVO technische Standards, beispielsweise das IT-Grundschutz-Kompendium in Verbindung mit weiteren Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) oder ISO 27001, herangezogen. Dabei gilt es grundsätzlich zu beachten, dass es sich bei der DSGVO um europäisches Recht handelt und daher auch Art. 32 DSGVO europarechtsautonom auszulegen ist. Eine Ergänzung der allgemeinen Standards zur IT-Sicherheit erfolgt indes durch Branchenstandards, etwa TISAX für die Automobilindustrie oder die Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte im Healthcare-Bereich.

Zuletzt haben sich aber auch Datenschutzaufsichtsbehörden ausführlicher mit der Thematik befasst. Zu nennen sind hier beispielsweise die "Guidance for Controllers on Data Security" der irischen Datenschutzaufsicht oder auch die bereits Anfang 2019 veröffentlichten "Hinweise zum Umgang mit Passwörtern" des Landesdatenschutzbeauftragten Baden-Württemberg. Inhaltlich bilden beide Dokumente dabei im Wesentlichen die Anforderungen der bestehenden technischen Standards ab. Im Gegensatz zu den technischen Standards erlauben sie jedoch einen besseren Überblick und einen leichteren Zugang. Dies dürfte gerade für Unternehmen ohne dezidierte IT-Sicherheitsabteilung interessant sein. Gleichzeitig zeigen die Dokumente auch, dass sich Verantwortliche an bestehenden technischen Standards orientieren können, ohne Gefahr zu laufen, sich in Widerspruch mit den Anforderungen des Datenschutzrechts zu setzen.

Die Herausforderung für Verantwortliche besteht folglich weniger in der Verfügbarkeit von Orientierungshilfen, sondern eher in der Frage, welches Schutzniveau im Einzelfall erforderlich ist. Dabei ist zu berücksichtigen, dass sich Anforderungen an die IT-Sicherheit nicht nur aus der DSGVO, sondern auch aus einem ganzen Katalog von anderen Bestimmungen (z.B. der Abgabenordnung i.V.m. den GoBD) ergeben können. IT-Sicherheit im Unternehmen kann insoweit nicht als rein technische Frage begriffen werden, sondern erfordert ebenso fachspezifische juristische Kompetenz.

[Mai 2020]