Denn die Strafen, die aus der DSGVO resultieren, sind das eine. Meistens folgt die Strafe auf einen Hack oder eine andere Form der Cyberkriminalität und deren Schaden erreichte mit über 100 Milliarden Euro in Deutschland in den vergangenen zwei Jahren den absoluten Höchststand. Daher wollen wir im Folgenden beleuchten, was zu tun ist, um DSGVO-konform zu werden.

Auslegungssache – mit diesem Begriff ist schon viel über die DSGVO gesagt. Auch was die konkreten technischen und organisatorischen Maßnahmen betrifft, wird die Verordnung nur in zwei Punkten wirklich konkret. Ansonsten herrscht eine gewisse Abgrenzungs- und Definitionsproblematik.

Maßnahmen nach Artikel 32 DSGVO

Die DSGVO gibt in Artikel 32 Maßnahmen vor, mit denen die Sicherheit der Datenverarbeitung gewährleistet werden soll. Jedoch stellen diese keine konkreten Handlungsanweisungen dar, sondern beschreiben vielmehr Datenschutzziele. Dieser Umstand trägt nicht gerade dazu bei, dass sich Unternehmen bei der Umsetzung der DSGVO rechtlich auf der sicheren Seite befinden. Außerdem legt die DSGVO es in ihr eigenes Ermessen, welche und wie viele technisch-organisatorische Maßnahmen sie treffen. Das geht allerdings auch aus dem alten Bundesdatenschutzgesetz nicht anders hervor.

Das alles entscheidende Kriterium bei der DSGVO ist das Risiko Ihrer Datenverarbeitung für die betroffenen Personen. Je riskanter das ist, was Sie mit den personenbezogenen Daten anstellen, desto mehr müssen Sie für Datenschutz und Datensicherheit tun. Daher ist es empfehlenswert, so viele Maßnahmen der DSGVO wie möglich abzudecken.

Maßnahmen bleiben diskutabel

Bei der Auswahl der technisch-organisatorischen Maßnahmen schreibt der Gesetzgeber lediglich vor, dass Unternehmen den Stand der Technik sowie anfallende Implementierungskosten berücksichtigen sollen. Insbesondere diese beiden etwas vagen Umschreibungen sorgen unter Juristen fortlaufend für Gesprächsstoff. Es bleibt absolut diskutabel, was als angemessen zu verstehen ist, wenn von Stand der Technik sowie Verhältnismäßigkeit von Implementierungskosten die Rede ist. Rechtsexperten versuchen im Prinzip schon seit Inkrafttreten, die Bedeutung dieser unbestimmten Rechtsbegriffe zu erläutern.

Stand der Technik

Mit Stand der Technik meint der Gesetzgeber, dass Sie Technologien einsetzen, die bekannt sind, auf dem Markt verfügbar, etabliert und wirksam , sich in der Praxis bereits als geeignet und effektiv bewiesen haben und damit einen ausreichenden Sicherheitsstandard bieten.

Beispielsweise bietet sich der Einsatz von SSL-Zertifikaten im Onlinehandel an, der bereits allgemein üblich ist. Hierbei werden personenbezogene Daten, die Benutzer über Bestellformulare oder Loginseiten versenden, verschlüsselt übertragen. Aber: Unter Stand der Technik fallen keine Technologien, die gerade neu entwickelt und in der Praxis (noch) nicht ausreichend getestet worden sind.

Hinzu kommt, dass der Stand der Technik kein statischer Zustand ist. Sie wissen selbst, dass er im Vergleich zu vorangegangenen Jahrzehnten mittlerweile eine ziemlich kurze Lebensdauer hat: Neue Technologien werden entwickelt, etablierte offenbare von Zeit zu Zeit große Schwächen. Das zeigten beispielsweise die WPA2-Sicherheitslücke in der einst als so sicher geltenden WLAN-Verschlüsselung oder Meltdown und Spectre als namentliche Sicherheitslücken in Computer-Prozessoren.

Um also auf dem Stand der Technik zu bleiben, müssen Sie Ihre veralteten technologischen Sicherheitsmaßnahmen durch neue ersetzen und diese regelmäßig überprüfen und gegebenenfalls anpassen. Um den Ist-Stand Ihrer Firmen-EDV zu erfassen, können ein IT-Sicherheitscheck oder eine IT-Infrastrukturanalyse nützlich sein.

Kostenloses Whitepaper: Aufbau einer Datensicherheitsstrategie

Um ein effektives Sicherheitsniveau für alle Geschäftsprozesse, IT-Systeme und Daten zu gewährleisten, ist der Aufbau einer ganzheitlichen IT- und Datensicherheitsstrategie notwendig. Hier kostenlos herunterladen.

Implementierungskosten

Laut EU-Datenschutzrecht soll der finanzielle Aufwand für die Umsetzung und Integration der Maßnahmen die dadurch erreichbare Verbesserung des Datenschutzniveaus nicht übersteigen. Das heißt im Klartext: Je höher das Risiko Ihrer Datenverarbeitung ist, desto höher können die Implementierungskosten für Ihr Unternehmen sein. Wenn das Risiko für Datensicherheit besonders groß ist, zieht das Argument nicht, dass eine Maßnahme zu teuer gewesen wäre.

Sensible Daten verlangen unter Umständen relativ teure Maßnahmen. Jedoch gilt hierbei ebenso: Wenn eine Maßnahme teuer ist, sie Datenschutz und Datensicherheit aber nur geringfügig verbessert, muss sie nicht unbedingt eingeführt werden. Demnach müssen Sie Kosten und Nutzen gegenüberstellen.

Nutzen Sie Standards für Datenschutz und Datensicherheit

Technische und rechtliche Unsicherheiten, die durch die Datenschutzgrundverordnung entstehen, kann Ihr Unternehmen grundlegend entgegenwirken. Greifen Sie auf international anerkannte Normen und Standards in der Informationssicherheit zurück, wie beispielsweise die ISO 27002.

Diese Sicherheitsstandards können Ihnen helfen, selbst geeignete technische und organisatorische Maßnahmen zu entwickeln. Nichtsdestotrotz muss dieser standardisierte Kriterienkatalog auf den Einzelfall angepasst werden. Aber zumindest sorgt er als Leitfaden dafür, dass Sie Sicherheitsmaßnahmen nicht doppelt und dreifach für ein und dasselbe Schutzziel ergreifen.

Lesen Sie im zweiten Teil, was für konkrete Schritte Sie unternehmen müssen.