Dr. Stefan Drewes, Sebastian Wilfling
I. Typischer Sachverhalt
Rz. 68
Der Geschäftsführer eines mittelständischen Unternehmens möchte von einem Rechtsanwalt wissen, welche Anforderungen nach der DSGVO an die IT-Sicherheit seines Unternehmens zu stellen sind. Er hat von einem Kollegen gehört, dass dort eine Datenpanne aufgetreten ist, die der Aufsichtsbehörde gemeldet werden musste. Der Geschäftsführer möchte weiterhin wissen, in welchen Fällen eine Meldepflicht besteht und welche Konsequenzen für das Unternehmen mit der Meldung eines Datenschutzverstoßes verbunden sind.
II. Rechtliche Grundlagen
1. Überblick
Rz. 69
Die Einhaltung der DSGVO erfordert auch einen adäquaten Schutz von personenbezogenen Daten vor Missbrauch und unbefugter Kenntnisnahme. Dies ist eine Aufgabe, die vom Verantwortlichen fortlaufend sicherzustellen ist. Die Aufgabe, die Sicherheit der Verarbeitung von personenbezogenen Daten zu gewährleisten, trifft auch den Auftragsverarbeiter. Der Verantwortliche muss sich aber davon überzeugen, dass der als Auftragsverarbeiter eingesetzte Dienstleister risiko-adäquate IT-Sicherheitsmaßnahmen vorhält.
Rz. 70
Aufgrund der positiven Erfahrungen mit einer umfassenden Meldepflicht bei Verlust von personenbezogenen Daten in verschiedenen Mitgliedstaaten der EU vor Geltung der DSGVO hat der Gesetzgeber eine solche Regelung mit in die DSGVO aufgenommen. So will der Gesetzgeber erreichen, dass Verantwortliche nachhaltiger die IT-Sicherheitsanforderungen umsetzen, um die Meldung eines Verstoßes bei der Aufsichtsbehörde zu vermeiden.
2. Gewährleistung der Datensicherheit
Rz. 71
Unternehmen sind verpflichtet, personenbezogene Daten vor einer unbefugten oder unrechtmäßigen Verarbeitung und vor einem unbeabsichtigten Verlust bzw. unbeabsichtigter Zerstörung durch geeignete technische und organisatorische Maßnahmen zu schützen. Dies müssen sie auf Anfrage jederzeit der Aufsichtsbehörde gegenüber nachweisen können (vgl. Art. 5 Abs. 1 lit. f), Abs. 2 DSGVO).
Rz. 72
Diese Vorgaben werden in Art. 32 DSGVO noch weiter spezifiziert. Die DSGVO verlangt eine Risikobewertung und darauf aufbauend ein angemessenes Schutzniveau, um die Verfügbarkeit, Vertraulichkeit und Integrität der unternehmensintern verarbeiteten personenbezogenen Daten zu gewährleisten. Die DSGVO selbst ist technikneutral formuliert. Das Unternehmen als Verantwortlicher ist verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen. Diese Auswahlentscheidung des Verantwortlichen muss unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und Zwecke der Datenverarbeitung als auch der Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten der Betroffenen getroffen werden.
Rz. 73
Die zu treffenden Maßnahmen teilen sich auf in organisatorische Vorgaben und technische Anforderungen. Grundsätzlich sind technische Anforderungen vorzuziehen, da durch entsprechende Einstellungen der IT-Systeme etwa ein Zugang zu Anwendungen unterbunden bzw. nur den Mitarbeitern gestattet werden kann, die diesen Zugang nach dem "need to know-Prinzip" benötigen. Sofern entsprechende Vorgaben auf technischem Wege nicht eingeführt werden können, muss das Unternehmen durch geeignete organisatorische Vorkehrungen wie etwa Richtlinien oder Anweisungen vorgeben, wie Mitarbeiter sich zu verhalten haben. Aufgrund der Rechenschaftspflicht nach Art. 5 Abs. 2, Art. 24 DSGVO ist der Verantwortliche gegenüber den Aufsichtsbehörden in der Verpflichtung, die Einhaltung dieser Vorgaben auch belegen zu können. Die Einhaltung der organisatorischen Vorgaben muss – zumindest stichpunktartig – durch den Verantwortlichen kontrolliert werden.
Rz. 74
Bei der Ausgestaltung der IT-Sicherheitsanforderungen ist das Unternehmen verpflichtet, den Stand der Technik abzubilden. Hier gibt es einschlägige Publikationen, denen zu entnehmen ist, wie der Stand der Technik definiert wird. Weiterhin muss der Verantwortliche bei Festlegung der IT-Sicherheitsmaßnahmen auch die Implementierungskosten berücksichtigen. Der Stand der Technik muss daher nicht um jeden Preis abgebildet werden. Gleichwohl kann sich der Verantwortliche bei einem Verzicht auf notwendige technische und organisatorische Maßnahmen nicht darauf berufen, dass ihm finanzielle oder personelle Mittel fehlen. Er ist vielmehr verpflichtet, bei Auswahl der technischen bzw. organisatorischen Maßnahmen eine Kosten-Nutzen-Analyse vorzunehmen. Konkret ist zu bewerten, ob der Aufwand für die Einführung einer IT-Sicherheitsmaßnahme und der dadurch erreichte Mehrwert an IT-Sicherheit objektiv in einem ausgewogenen Kosten-Nutzen-Verhältnis steht. So wird ein Verantwortlicher nicht verpflichtet sein, eine kostenintensive Maßnahme einzuführen, die nur einen geringen Beitrag zur Erhöhung der IT-Sicherheit im Unternehmen leistet.
Rz. 75
Das Unternehmen muss weiterhin eine regelmäßige interne Überprüfung der Wirksamkeit der getroffenen IT-Sicherheitsmaßnahmen durchführen. Es muss seitens des Verantwortlichen regelmäßig nachgehalten werden, ob die IT-Sicherheitsmaßnahmen noch angemessen und auch tatsächlich wi...