„TOMs“ – technische und organisatorische Maßnahmen

rotes Hexagon mit einem weißen Vorhandschloss in der Mitte IT-SECURITY,

Christian Werbik

VACE Business Consultant Compliance

E-Mail schreiben

Worum handelt es sich und besteht eine Pflicht?

Regelmäßig stellen sich Unternehmer die Frage: Worum geht es bei technischen und organisatorischen Maßnahmen zum Datenschutz genau? Und: Besteht überhaupt eine Pflicht zur Umsetzung?

Bei Einführung eines Datenschutz-Management-Systems wird dann oftmals der Fehler begangen, mit Maßnahmen ins Blaue zu schießen – ohne das Betroffenenrisiko gebührlich zu berücksichtigen. Eine solche Vorgangsweise ist weder ökonomisch sinnvoll noch wird der Schutzzweck erreicht.
Zuweilen gehen Verantwortliche davon aus, dass Maßnahmen einer Verhandlung mit dem Betroffenen im Sinne einer „Parteiendisposition“ offenstehen würden. So wird nicht selten die Frage gestellt: „Sind Sie mit einer unverschlüsselten Übermittlung Ihrer Personendaten einverstanden?“
Oftmals kommt bei Datenschutzkoordinatoren und Datenschutzbeauftragten auch die Überlegung auf, warum das Gesetz nicht die Maßnahmen im Speziellen (im Sinne einer genauen technischen Vorgabe) anordnet. Eine bloße Checkliste zur Compliance im Datenschutz wäre schließlich die leichteste Übung…
 

Verpflichtung zu technischen und organisatorischen Maßnahmen

Wie Sie wissen geht jede Aktion zum Datenschutz vom Verzeichnis der Verfahrenstaten aus. Artikel 30 Abs 1 DSGVO regelt etwa, dass nach Möglichkeit „eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1“ im Verfahrensverzeichnis eines Verantwortlichen enthalten sein muss. Artikel 32 DSGVO bezeichnet unter „Sicherheit der Verarbeitung“, dass

•    Stand der Technik,
•    Implementierungskosten,
•    Art und Umfang der Umstände und der Zwecke der Verarbeitung,
•    Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen

zu berücksichtigen sind, um „ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Unter anderem sei die „Verschlüsselung“ eine solche Maßnahme. Die Angemessenheit richtet sich insbesondere nach Risiken, die mit der jeweiligen Personendaten-Verarbeitung einhergehen (Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder Zugang).
Um solche Risiken bewerten zu können muss man also in einem ersten Schritt überlegen, was – aus Betroffenensicht und unter Berücksichtigung der jeweiligen Personendaten – schlimmstmöglich passieren könnte.

Im Ergebnis herrscht eine Pflicht zur Verschlüsselung sobald eine unverschlüsselte Personendatenverarbeitung nicht tragbare Risiken aufwerfen würde. So wird das nicht vertrauliche Weihnachtsgruß-E-Mail meist völlig unkritisch sein – die Bewerbungsunterlagen allerdings müssen unbedingt verschlüsselt werden. Ein Bewerber kann also nicht rechtswirksam zu einer unsicheren Übermittlung „zustimmen“. Verschlüsselte Bewerbungs-Plattformen zum Hochladen vom Lebenslauf haben unter anderem den Zweck, das Eingehen unverschlüsselter E-Mails einzudämmen.

Warum ausgerechnet „Verschlüsselung“ und keine andere technische Vorkehrung? Und welche Art von Verschlüsselung ist die richtige?

Beide Fragen sind mit dem Stand der Technik zu beantworten. Bei der Verschlüsselung, auch Kryptierung oder Chiffrierung genannt, wird Klartext unleserlich gemacht – und ist der erzeugte „Geheimtext“ nur mit dem richtigen Schlüssel zu gebrauchen. Dies schützt unter anderem die Vertraulichkeit von Personendaten.
Dass Verschlüsselung vielerorts zum Einsatz gebracht werden muss ist heutzutage unter Experten völlig unumstritten. Welche Verschlüsselung adäquat ist hängt zunächst vom Zustand der Daten ab:
•    at rest,
•    in use,
•    in transit.

So sind – je nach Vorgang – etwa folgende Verfahren bzw. Verschlüsselungsprotokolle anerkannt:
•    Transport Layer Security (TLS) für E-Mails,
•    SSL für Websites (https),
•    AES-256 für Archive,
•    WPA2 für WLAN,
•    OpenVPN für – wenig überraschend – VPN…

Wie Sie sehen gibt es verschiedenste Standards und ist die Umsetzung eine Aufgabe der technischen IT-Security. Warum der Gesetzgeber keine konkreten Verfahren anordnet liegt völlig auf der Hand. Erstens sollen einzelne Wirtschaftstreibende nicht bevorzugt werden. Mit privatwirtschaftlichen Normen sind aber stets Hersteller, Anbieter, Produkte, Zertifizierer oder Gremien verbunden:
•    MS Outlook, welches – sofern man Zertifikate besitzt – E-Mails verschlüsseln kann,
•    GoDaddy, Zertifizierungsstelle und einer der größten Anbieter von SSL-Zertifikaten,
•    7-Zip, ein Packprogramm welches – und dies ist nicht selbstverständlich – AES-256-bit beherrscht,
•    WiFi-Alliance, ein Zusammenschluss von Unternehmen und Sponsoren, betreibt den WPA3-Standard…

Würde der Gesetzgeber öffentlich-rechtliche Normen dermaßen konkret ausgestalten so würde es zur Verhinderung von Wettbewerb kommen. Damit würde auch jede technische Fortentwicklung zum Erliegen kommen. Womit wir beim zweiten Grund wären, der den EU-Gesetzgeber beim schlichten Begriff „Verschlüsselung“ Halt machen lässt:

Der schwerfällige Gesetzgebungsprozess kann nicht mit einer raschen technischen Entwicklung Schritt halten. Auf der anderen Seite können zwischen Ankündigung, Einführung und Marktdurchdringung neuer Privat-Standards – zum Beispiel WPA3 – mehrere Jahre vergehen. Es braucht also auch in zeitlicher Hinsicht Freiräume bei der Schaffung und Anwendung von Gesetzen. Die Wendung „Stand der Technik“ erfüllt diese Vorgabe zur Flexibilität sowohl für den Gesetzgeber als auch für den Rechtsunterworfenen.
„Stand der Technik“ ist meines Erachtens nur auf den ersten Blick „schwammig“ oder groß auslegungsbedürftig – Unklarheit ist ein Vorwurf, den Laien immer wieder an den Gesetzgeber richten. Publikationen wie die Leitlinien des Bundesamts für Sicherheit in der Informationstechnik Deutschlands liefern recht eindeutige Aussagen, welche Sicherheitsvorkehrungen aktuell sind. Auch sind sich Techniker - welche die Märkte und Entwicklungen im Auge haben - in vielen Bereichen einig, was zum guten Ton der IT-Security gehört. Eine solche Branchenübung bzw „Verkehrsgewohnheiten“ spielen sicherlich eine Rolle bei der Auslegung.

Letztlich ist der Stand der Technik durchaus objektivierbar und festzumachen. Hohe Implementierungskosten aber können bei Vorliegen geringer Betroffenenrisiken durchaus ein Zuwarten mit Anschaffungen rechtfertigen. Beherrscht zB Ihr WLAN-Router bloß WPA2 so ist das Aufkommen neuer WPA3-Standards für sich alleine gesehen noch kein Grund für einen unbedingten Neukauf. Dient ein WLAN allerdings am Flughafen der Kommunikation von Geschäftsreisenden, Piloten und Privatleuten so würden erhebliche Risiken die Kosten der Hardware-Investitionen in den Hintergrund drängen.

Der Vollständigkeit halber muss erwähnt werden, dass TOMs auch organisatorische Maßnahmen umfassen. So ist zB der Passwortschutz eines öffentlichen WLAN kein Allheilmittel und wird der Benutzer für sensible Aufrufe wie CRM-Datenbanken mitunter angehalten sein, den WiFi-Hotspot seines Mobiltelefons sowie VPN-Tunnel zu verwenden. Dabei handelt es sich erstens um ein Schulungsthema, welches in Leitlinien dokumentiert werden sollte. Zweitens aber muss klar gesagt werden, dass der Mensch durch sein Verhalten einen erheblichen Unsicherheitsfaktor darstellt. Technische Maßnahmen, welche zB ein starkes Passwort erzwingen werden vermutlich eher zum Erfolg führen als entsprechende Weisungen, welche als unkomfortable Bevormundung wahrgenommen werden.
Wie Sie sehen ist eine „Checkliste“ zur Compliance im Datenschutz im Rahmen dieser Aussendung nicht zu erwarten, da ein Datenschutz-Management-System auf Ihren Einzelfall passen muss. Welche Maßnahmen im Speziellen geboten sind hängt in erster Linie vom Risiko für Betroffene ab (Verfügbarkeit, Vertraulichkeit, Integrität). Solchen Risiken muss wirksam begegnet werden – wobei im Sinne der Angemessenheit unter anderem die Umsetzungskosten Berücksichtigung finden.

schwarzer Ordner mit Vorhängeschloss zugesperrt - mit Wortlaut VACE auf dem goldenden Schloß