Top Ten der DSGVO, #9: Sicherheit und Information über Verstösse

Modernes Sicherheitsdenken

In der Vergangenheit wurde eine Firewall, um «Hacker» aufzuhalten, in Kombination mit der Zuweisung von Benutzer-Passworten mit mindestens sechs Zeichen, als ausreichende Sicherheitsmassnahme erachtet, um die Sicherheit von Konten zu gewährleisten. Diese Zeiten sind längst vorbei. Modernes Sicherheitsdenken sagt uns, dass rein präventive Massnahmen (wie Firewalls und Passwörter) nicht mehr ausreichen. Sicherheit bedeutet heute, in der Lage zu sein, die eigenen digitalen Vermögenswerte vor unbefugtem Zugriff zu schützen, aber auch potenzielle Bedrohungen zu erkennen.

In der Datenschutz-Grundverordnung (DSGVO) wurde der Abschnitt «Sicherheit» im Vergleich zum Vorgängerreglement, der Datenschutzrichtlinie, stark erweitert. Die Sicherheit wird jetzt in drei Artikeln (Art. 32, 33 und 34) anstelle von einem (Art. 17) beschrieben und durch Bestimmungen über die Informationsverpflichtung im Fall eines Verstosses ergänzt. Was zeigt nun ein näherer Blick auf Kapitel IV, Abschnitt 2 der DSGVO?

Sichern Sie Ihre Daten

Auch die DSGVO schreibt vor, dass Sie die von Ihnen verarbeiteten personenbezogenen Daten in angemessener Weise zu schützen haben. Wie dieser Schutz auszusehen hat bleibt unverändert. Sicherheit wird auch hier als Risikomanagementprozess beschrieben: Beurteilung des Risikos, gefolgt von Evaluation potenzieller Sicherheitsmassnahmen und nach Abwägung von Risiko und Kosten, definieren Sie Ihre Sicherheitsmassnahmen.

Es bleibt also wie gehabt, wenn es um vorschriftsmässige Datensicherheit geht, denn dieser Prozess hat schon immer einer ordnungsgemässen Datensicherheit entsprochen. Einige spezifische Details sind jedoch trotzdem zu berücksichtigen: 

• Erstens, sollten die Risiken für die Rechte und Freiheiten natürlicher Personen in Erwägung gezogen werden, und nicht etwa die finanziellen Risiken, denen Ihre Organisation ausgesetzt sein könnte, wenn die Sicherheit personenbezogener Daten beeinträchtigt wird. Es steht Ihnen selbstverständlich frei letztere miteinzubeziehen, erstere sind jedoch Pflicht. Die Beurteilung von Sicherheitsrisiken betreffend personenbezogener Daten sollte zumindest die Auswirkungen von Sicherheitsverletzungen auf natürliche Personen berücksichtigen – der Rest ist auf freiwillige Basis.
• Zweitens nennt die DSGVO eine Reihe von Beispielen für Sicherheitsmassnahmen. So werden Pseudonymisierung¹ und Verschlüsselung als geeignete Sicherheitsmassnahmen vorgeschlagen. Ausserdem wird darauf hingewiesen, dass Sicherheit aus der Triade Vertraulichkeit – Integrität – Verfügbarkeit und aus der Widerstandsfähigkeit gegen Störungen besteht. Zudem werden auch Desaster-Recovery- und andere Prozesse zur Beurteilung des Status Ihrer Sicherheitsmassnahmen vorgeschlagen.
• Drittens obliegt die Wahrung der Sicherheit nicht allein dem Verantwortlichen. Der Auftragsverarbeiter wird auch in den Sicherheitsartikeln der DSGVO angesprochen. Er ist nun verpflichtet, geeignete, vom Verantwortlichen getrennte Sicherheitsmassnahmen anzuwenden. Das bedeutet auch, dass Auftragsverarbeiter von den Aufsichtsbehörden direkt angesprochen werden können, wenn ihre Sicherheitsmassnahmen versagen und sie von den Verantwortlichen nicht länger abgeschirmt sind.

¹Die DSGVO definiert die Pseudonymisierung als «Verarbeitung personenbezogener Daten in einer Weise, dass diese Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.»

Meldung von Verstössen

Neu in der DSGVO ist die verpflichtende Meldung von Verstössen: Wenn (präventive) Sicherheitsmassnahmen verletzt und personenbezogene Daten widerrechtlich verarbeitet werden, ist der Verantwortliche verpflichtet, einen solchen Verstoss innerhalb von 72 Stunden der Aufsichtsbehörde und eventuell auch den jeweils betroffenen Personen zu melden. Dies ist der Fall, sofern Sie nicht nachweisen können, dass der Verstoss keine tatsächlichen Risiken für die betroffenen oder andere Personen birgt.

Obwohl diese Bestimmung neu in die DSGVO aufgenommen wurde, ist sie ein wohlbekannter Mechanismus. Sie ist schon seit längerem Bestandteil der ePrivacy-Richtlinie, was bedeutet, dass Telekommunikationsunternehmen in der EU sich bereits täglich nach dieser Bestimmung richten. Auch weitere Länder, wie zum Beispiel die Niederlande, sind bereits mit der Pflicht zur Meldung von Verstössen vertraut. Dies hat zur Folge, dass bereits zahlreiche Richtlinien darüber veröffentlicht wurden, wie festzustellen ist, ob ein Verstoss schwerwiegend genug für eine Meldung ist, und wie Verstösse gemeldet werden sollten.

Im Falle einer Sicherheitsverletzung sollte die Meldepflicht von Verstössen (und es ist keine Frage, ob Sie ein Opfer einer solchen werden, sondern nur wann) nicht an oberster Stelle stehen. Die sofortige Reaktion auf den Verstoss und das Evaluieren aller zu ergreifenden Massnahmen sollte im Vordergrund stehen. Dazu gehört die Bekämpfung möglicher Hacker, die Feststellung der Schadensausmasse und die Wiederherstellung zum Normalzustand. Die Meldung der Verletzung an die Aufsichtsbehörde ist eines der Elemente Ihrer Reaktion, aber möglicherweise nicht das wichtigste.

Um eine ordnungsgemässe Meldung sicherzustellen, sollte sie fest in alle Teile Ihrer Reaktionspläne für Sicherheitsvorfälle eingebettet sein. Ausserdem sollten für die Meldung von Verstössen, genau wie für alle anderen Reaktionsprozesse, ein zusätzlicher Prozess mit klar definierten Rollen und Verantwortlichkeiten, eine Prozessbeschreibung, Checklisten etc. definiert werden. Dies hat den Vorteil, dass Meldungen von Verstössen im Fall der Anwendung von Sicherheitsreaktionsplänen (Sie wenden diese sicherlich an?) automatisch berücksichtigt werden, ganz so, wie es sein sollte.

Aussichten

Was bedeutet dies nun alles? Müssen Sie nun auch die winzigsten von Ihnen verarbeiteten Datenelemente verschlüsseln und pseudonymisieren? Oder gilt es die gesamten Vorfall-Reaktionsprozesse so überarbeiten, dass diese sich nur noch um die Meldung von Verstössen drehen? Nein, das wäre die falsche Reaktion.

Widerstehen Sie dieser Versuchung und gehen Sie weiterhin so vor wie anhin (oder wie Sie es hätten tun sollen): Stellen Sie sicher, dass angemessene Risikobeurteilungen vorgenommen werden und definieren Sie Ihre Sicherheitsmassnahmen dann auf der Grundlage dieser Beurteilung. Es gilt ausserdem technische und organisatorische Sicherheitsmassnahmen in allen drei Kernbereichen – Prävention, Erkennung, Reaktion- in Angriff zu nehmen und aufzubereiten. Ein Teil Ihrer Massnahmen sollte letztendlich auch Prozesse für die Meldung von Verstössen beinhalten.

Letztendlich läuft es darauf hinaus, dass die DSGVO Sie beauftragt Ihre gute Arbeit fortzusetzen, sofern Sie bereits über eine effektive und effiziente Sicherheitsorganisation verfügen. Sollte dies noch nicht der Fall sein, so ermutigt die DSGVO dazu dies anzustreben. Alles mit einem Ziel vor Augen: Wenn Sie möchten, dass andere Ihnen personenbezogene Daten anvertrauen, müssen Sie sicherstellen, dass Sie dieses Vertrauen auch verdienen, indem Sie die Daten entsprechend sichern.