DSGVO und IT-Sicherheit: Diese Pflichten betreffen KMU

Die Datenschutzgrundverordnung (DSGVO) soll die Rechte von Personen bei der Verarbeitung ihrer Daten zu stärken. Bekannt ist vor allem die Pflicht, das schriftliche Einverständnis für die Speicherung und Verarbeitung bestimmter personenbezogener Daten einzuholen. Etwas weniger öffentlichkeitswirksam, aber dadurch nicht unwichtiger, ist die Pflicht, aktiv für die IT-Sicherheit des Netzwerks zu sorgen, in dem die Datenverarbeitung erfolgt. Es gibt heutzutage wohl kaum noch KMU, die ihre Buchführung und die Auftragsverarbeitung handschriftlich oder mittels Karteikarten durchführen. In fast allen Fällen dürfte zumindest ein an das Internet angebundener PC oder Laptop verwendet werden. Daher sind die IT-Sicherheitsvorschriften aus der DSGVO für die meisten Unternehmen relevant. Wir haben für Sie ein paar wichtige Informationen zu diesem Thema zusammengefasst.

DSGVO-Begriffsbestimmungen: Ein Überblick

Um zu wissen, ob die Vorschriften der DSGVO anzuwenden sind, müssen zunächst ein paar grundsätzliche Voraussetzungen geprüft werden. Die nachfolgenden Ausführungen sollen nur der groben Orientierung dienen. Im Zweifel sollten Sie sich natürlich von einem Juristen beraten lassen.

Artikel 2 begrenzt den Anwendungsbereich auf die "ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten" oder die nicht automatisierte Verarbeitung, sofern die Daten in einem Dateisystem gespeichert werden. Für die Einordnung notwendige Definitionen sind in Artikel 4 hinterlegt:

• Personenbezogene Daten (Art. 4 Nr. 1): Gefordert ist, dass es sich Informationen über identifizierte oder identifizierbare natürliche Personen handelt. Sollte also beispielsweise der Name nicht klartextlich erfasst sein, so reicht es auch aus, wenn eine Zuordnung über ein Identifizierungsmerkmal wie der Kennziffer in einer Datenbank möglich wäre.

• Verarbeitung (Art. 4 Nr. 2): Betrifft automatisierte Verfahren wie unter anderem das Erheben, die Organisation, das Speichern, Ordnen und Abfragen von personenbezogenen Daten. Die Definition ist so weit gefasst, dass letztlich alle denkbaren Aktionen der elektronischen Datenverarbeitung enthalten sein dürften, sofern es sich um personenbezogene Informationen handelt.

• Dateisystem (Art. 4 Nr. 6): Ist jede strukturierte Sammlung personenbezogener Daten. Diese muss nach bestimmten Kriterien zugänglich sein, jedoch unabhängig von der Art der Ablage und der Struktur der Ordnung. Dies bedeutet, dass auch Akten in Papierform von den allgemeinen Regelungen der DSGVO betroffen sind, wenngleich diese thematisch natürlich nicht zur IT-Sicherheit gehören.

Weiterhin wichtig ist die Person des Verantwortlichen, die in Art. 4, Nr. 7 definiert ist: Es handelt sich dabei um die natürliche oder juristische Person, die allein oder mit anderen über die "Zwecke und Mittel" der Verarbeitung der personenbezogenen Daten entscheidet.

Bei der Datenverarbeitung zu beachten sind die Grundsätze aus Art. 5. Diese umfassen auszugsweise:

• Rechtmäßige Verarbeitung
• Zweckgebundenheit
• Datenminimierung
• Richtigkeit der Daten
• Begrenzung der Speicherdauer
• Schutz durch technische und organisatorische Maßnahmen

Die technisch-organisatorischen Maßnahmen

In Artikel 25 DSGVO werden dem Verantwortlichen für die Datenverarbeitung bestimmte Pflichten bei der technischen Umsetzung gemacht. Dabei räumt ihm das Gesetz eine gewisse Verhältnismäßigkeit der zu treffenden Maßnahmen ein. Es müssen Faktoren wie der aktuelle Stand der Technik, die Implementierungskosten, aber auch die Wahrscheinlichkeit eines Schadenseintritts und die damit verbundenen Risiken berücksichtigt werden. Explizit gefordert ist, dass die Zugänglichkeit für "eine unbestimmte Zahl von natürlichen Personen" ausgeschlossen sein muss. Direkt aus diesem Artikel ergeben sich also folgende Verpflichtungen:

• Zutrittskontrolle: Es darf für Unberechtigte kein unkontrollierter physischer Zugriff auf die zur Datenverarbeitung genutzten Geräte bestehen.

• Zugriffskontrolle/Trennungsgebot: Ein Zugriff auf die Daten darf nur für berechtigte Zwecke möglich sein und darf nur die für den jeweiligen Zweck notwendigen Daten umfassen. Letztlich verpflichtet bereits Artikel 25 den Verantwortlichen, geeignete Vorkehrungen zu treffen, die einen Zugriff auf das Netzwerk von außen zumindest deutlich erschweren.

Weitere Ausführen macht der Gesetzgeber in Artikel 32, der sich mit der Sicherheit der Verarbeitung befasst. Es wird darin die Gewährleistung eines "angemessenen Schutzniveaus" gefordert. Als dafür geeignete Maßnahmen sind genannt:

• Pseudonymisierung und Verschlüsselung von personenbezogenen Daten. Wichtig ist, dass sich damit eine nicht verschlüsselte Übertragung von personenbezogenen Daten vollständig verbieten dürfte. Dies sollte ein Grund mehr sein, auf Techniken wie VPNs (Virtual Private Networks) zu setzen, wenn Mitarbeiter von unterwegs oder aus dem Homeoffice regelmäßig auf das Firmennetz zugreifen müssen.

• Die dauerhafte Sicherstellung u.a. der Vertraulichkeit, Integrität und Verfügbarkeit der eigenen Systeme und Dienste. Hierfür können Maßnahmen wie die ständige Beobachtung der Bedrohungssituation und die Sensibilisierung und Fortbildung des eigenen Personals erforderlich sein.

• Wiederherstellung der Verfügbarkeit nach einem Zwischenfall. Hieraus kann sich die Verpflichtung ergeben, Vorkehrungen im Sinne von Notfallplänen zu treffen und regelmäßig Backups von notwendigen Kundendaten zu erstellen.

• Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technisch-organisatorischen Maßnahmen. Neben eigenen Kontrollen der Systeme auf Aktualität und mögliche Sicherheitslücken kommen hierfür auch Auditierungen oder Penetration-Tests infrage.

Ein Nachweis der Anforderungen kann zudem auch mit einer Zertifizierung durch ein aus Artikel 42 DSGVO genehmigtes Verfahren erbracht werden. Sollte es zu einem Sicherheitsvorfall in Ihrem Firmennetzwerk gekommen sein, bei dem personenbezogene Daten betroffen sein könnten, besteht gemäß Artikel 33 DSGVO eine Meldepflicht. Die Meldung muss unverzüglich, aber spätestens innerhalb von 72 Stunden, an die zuständige Aufsichtsbehörde erfolgen. In der Regel handelt es sich für KMU dabei um den Landesdatenschutzbeauftragten des jeweiligen Bundeslandes. Die Meldung kann meistens auch online erfolgen.

Weitere Verpflichtungen aus der DSGVO

In vielen Fällen werden Daten nicht nur auf lokalen Rechnern gespeichert. Nutzen Sie die Dienste eines Cloud-Anbieters, haben Sie nur begrenzten Einfluss auf die Umsetzung der technisch-organisatorischen Maßnahmen. Für diesen Fall sieht Artikel 28 DSGVO vor, dass der sogenannte "Auftragsverarbeiter", bei dem es sich in der Praxis um den Anbieter des Dienstes handelt, "hinreichende Garantien" bieten muss. Zudem muss sichergestellt sein, dass die Verarbeitung im "Einklang" mit den Anforderungen der Verordnung erfolgt. Hieraus ergibt sich zumindest die Pflicht, eine sorgfältige Auswahl von Speicheranbietern zu treffen. Diese müssen die Einhaltung der Vorschriften garantieren. Ein Speicherort außerhalb der Europäischen Union kann problematisch sein, da dortige Behörden nach anderen Voraussetzungen Zugriffsrechte auf den Speicher haben.

Datenschutz geht nicht ohne IT-Sicherheit

Datenschutz und IT-Sicherheit gehören nicht erst seit Einführung der DSGVO untrennbar zusammen. Nur wenn Sie die Kontrolle über gespeicherte Kunden- und Mitarbeiterdaten haben, können Sie auch für deren Schutz garantieren. Absolute Sicherheit gibt es in Zeiten rapide steigender Cyber-Angriffe nicht. Letztlich kann jedes System gehackt werden. Das Gesetz orientiert sich glücklicherweise an dieser Tatsache und fordert "nur" einen angemessenen Schutz. Dieser verlangt von Verantwortlichen einige aktive Maßnahmen. Viele davon, wie die ständige Aktualisierung der Systeme und das regelmäßige Erstellen von Backups, sollten ohnehin zu den Pflichten einer verantwortungsbewussten IT-Administration gehören. Bei der Überprüfung der Wirksamkeit der Maßnahmen zur IT-Sicherheit sind wir Ihnen gerne mit einem Penetration-Testing behilflich.