Dr. Stefan Drewes, Sebastian Wilfling
Rz. 71
Unternehmen sind verpflichtet, personenbezogene Daten vor einer unbefugten oder unrechtmäßigen Verarbeitung und vor einem unbeabsichtigten Verlust bzw. unbeabsichtigter Zerstörung durch geeignete technische und organisatorische Maßnahmen zu schützen. Dies müssen sie auf Anfrage jederzeit der Aufsichtsbehörde gegenüber nachweisen können (vgl. Art. 5 Abs. 1 lit. f), Abs. 2 DSGVO).
Rz. 72
Diese Vorgaben werden in Art. 32 DSGVO noch weiter spezifiziert. Die DSGVO verlangt eine Risikobewertung und darauf aufbauend ein angemessenes Schutzniveau, um die Verfügbarkeit, Vertraulichkeit und Integrität der unternehmensintern verarbeiteten personenbezogenen Daten zu gewährleisten. Die DSGVO selbst ist technikneutral formuliert. Das Unternehmen als Verantwortlicher ist verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen. Diese Auswahlentscheidung des Verantwortlichen muss unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und Zwecke der Datenverarbeitung als auch der Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten der Betroffenen getroffen werden.
Rz. 73
Die zu treffenden Maßnahmen teilen sich auf in organisatorische Vorgaben und technische Anforderungen. Grundsätzlich sind technische Anforderungen vorzuziehen, da durch entsprechende Einstellungen der IT-Systeme etwa ein Zugang zu Anwendungen unterbunden bzw. nur den Mitarbeitern gestattet werden kann, die diesen Zugang nach dem "need to know-Prinzip" benötigen. Sofern entsprechende Vorgaben auf technischem Wege nicht eingeführt werden können, muss das Unternehmen durch geeignete organisatorische Vorkehrungen wie etwa Richtlinien oder Anweisungen vorgeben, wie Mitarbeiter sich zu verhalten haben. Aufgrund der Rechenschaftspflicht nach Art. 5 Abs. 2, Art. 24 DSGVO ist der Verantwortliche gegenüber den Aufsichtsbehörden in der Verpflichtung, die Einhaltung dieser Vorgaben auch belegen zu können. Die Einhaltung der organisatorischen Vorgaben muss – zumindest stichpunktartig – durch den Verantwortlichen kontrolliert werden.
Rz. 74
Bei der Ausgestaltung der IT-Sicherheitsanforderungen ist das Unternehmen verpflichtet, den Stand der Technik abzubilden. Hier gibt es einschlägige Publikationen, denen zu entnehmen ist, wie der Stand der Technik definiert wird. Weiterhin muss der Verantwortliche bei Festlegung der IT-Sicherheitsmaßnahmen auch die Implementierungskosten berücksichtigen. Der Stand der Technik muss daher nicht um jeden Preis abgebildet werden. Gleichwohl kann sich der Verantwortliche bei einem Verzicht auf notwendige technische und organisatorische Maßnahmen nicht darauf berufen, dass ihm finanzielle oder personelle Mittel fehlen. Er ist vielmehr verpflichtet, bei Auswahl der technischen bzw. organisatorischen Maßnahmen eine Kosten-Nutzen-Analyse vorzunehmen. Konkret ist zu bewerten, ob der Aufwand für die Einführung einer IT-Sicherheitsmaßnahme und der dadurch erreichte Mehrwert an IT-Sicherheit objektiv in einem ausgewogenen Kosten-Nutzen-Verhältnis steht. So wird ein Verantwortlicher nicht verpflichtet sein, eine kostenintensive Maßnahme einzuführen, die nur einen geringen Beitrag zur Erhöhung der IT-Sicherheit im Unternehmen leistet.
Rz. 75
Das Unternehmen muss weiterhin eine regelmäßige interne Überprüfung der Wirksamkeit der getroffenen IT-Sicherheitsmaßnahmen durchführen. Es muss seitens des Verantwortlichen regelmäßig nachgehalten werden, ob die IT-Sicherheitsmaßnahmen noch angemessen und auch tatsächlich wirksam sind. Fehlen etwa bestimmte Maßnahmen bzw. hat sich der Stand der Technik geändert, ist das Unternehmen verpflichtet, entsprechende Anpassungen vorzunehmen.