Jedes Unternehmen trifft technisch-organisatorische Maßnahmen, um personenbezogene Daten zu schützen. Das ist die gute Nachricht.
Die getroffenen Maßnahmen werden aber meist unsystematisch und rein zufällig ausgewählt. Das ist die schlechte Nachricht.
Wo liegt das Problem?
Solange Sie keine Berührung mit einer Datenschutz-Aufsichtsbehörde haben und nicht wegen Schadenersatz verklagt werden, ist das kein Problem. Doch sobald Ihre technisch-organisatorischen Maßnahmen unter die Lupe genommen werden, könnte es ganz schnell kritisch werden.
Was könnte passieren?
Die Rechte und Freiheiten der betroffenen Personen könnten beeinträchtigt werden. Die Kundschaft ist verärgert oder sogar wertvolle Beschäftigte gehen verloren. Das Unternehmen hat Ärger mit dem Betriebsrat oder bekommt als Auftragsverarbeiter keine Aufträge mehr. Ein Datenverlust stellt sich ein, der das ganze Unternehmen lahmlegt (z.B. durch Ransomware) ... und die Cyberversicherung zahlt nicht, weil man sich nicht genügend geschützt hat.
Insofern macht es Sinn, dass Sie sich rechtzeitig mit der systematischen Auswahl von technisch organisatorischen Maßnahmen beschäftigen.
Was sind technisch-organisatorische Maßnahmen?
Im Grunde genommen geht es hier um Maßnahmen jeglicher Art, die sich in zwei Kategorien einteilen lassen:
technische Maßnahmen, also die Konfiguration von Maschinen betreffend
organisatorische Maßnahmen, also die Menschen betreffend.
Mit anderen Worten: Es geht um Maßnahmen jeglicher Art, insbesondere:
- wie man Software konfiguriert,
- wie man die Beschäftigten konkret anweist
- wie Gebäude, Computer und USB-Datenträger schützt,
- wie man Zugriffsrechte auf Daten einschränkt.
Die DS-GVO erwähnt die technisch-organisatorischen Maßnahmen an ca. 25 Stellen derart inflationär, dass man sie begrifflich kaum zu fassen bekommt. Letzten Endes geht es um alle Maßnahmen, die den Datenschutz fördern.
Wovor sollen denn die technischen-organisatorischen Maßnahmen schützen?
Dies könnten sein:
- Höhere Gewalt (Feuer, Fluten, Blitzeinschlag...)
- Äußere Einflüsse (Löschwasser, Stromausfall ...)
- Kriminelle Taten (Diebstahl, Sabotage, Hacking, Ransomware...)
- Mangelnde Organisation (fehlende Schulung, fehlende Richtlinien...)
- Unzulängliche IT-Sicherheitsmaßnahmen (veraltete Verschlüsselung...)
- Fährlässigkeit (fehlerhafte E-Mail-Adressierung, Datenträgerverlust...)
Wie findet man technisch-organisatorische Maßnahmen?
Das ist schwieriger, als man spontan annehmen würde. Selbstverständlich kennen wir alle die Listen der typischen Maßnahmen hinsichtlich der Vertraulichkeit, Verfügbarkeit und Integrität. Aber so einfach ist das nicht. Der DS-GVO will nicht, dass wir einfach nur alle Maßnahmen auflisten, die uns „zufällig“ einfallen und die wir für machbar und bezahlbar halten.
Es gilt der risikobasierte Ansatz. Jede technisch-organisatorische Maßnahme soll einen bestimmten Zweck erreichen: Nämlich das Risiko im Umgang mit personenbezogenen Daten auf ein Minimum reduzieren.
Ein Denkansatz ist:
- Was sind die Schutzziele Ihrer Organisation?
- Welche allgemeinen Bedrohungen sind im Falle einer Verarbeitung denkbar?
- Welche konkreten Schadensszenarien drohen den Daten und den Rechten und Freiheiten der betroffenen Personen?
- Wie hoch ist der jeweilige Schaden?
- Wie wahrscheinlich ist ein solcher Schaden?
- Welches Risiko resultiert daraus?
- Mit welchen Maßnahmen können wir dieses Risiko minimieren?
- Sind unsere Maßnahmen angemessen und wirksam?
- Auf welche Weise und wie oft prüfen wir das Risiko und die Gegenmaßnahmen?
Die Ausarbeitung der Schadensszenarien ist vermutlich der schwierigste Teil, denn:
Wir sind es nicht gewohnt in Risiken zu denken. Wir sind trainiert in Optimismus und Lösungsdenken. Wir sind keine Angsthasen und Bedenkenträger. Wir denken: „Es sind doch nur (personenbezogene) Daten, und keine Plutonium-Sprengköpfe“.
Hinzu kommt: Es braucht schon eine gewisse Fachkunde, um überhaupt datenschutzrelevante Risiken zu erkennen. Wer die Rechte und Freiheiten der betroffenen Personen nicht in- und auswendig kennt, der wird auch nicht erkennen können, inwiefern er sie verletzten könnte.
Schlussendlich kommt noch eine ganz triviale mentale Sperre hinzu: Es ist einfach schwierig solche Schadensszenarien aufzuwerfen, weil man genau weiß, dass sie ein Problem (Aufwand und Kosten) erzeugen. Das hemmt die Fantasie enorm. Manchmal ist es unabdingbar, dass Sie unbeteiligte Personen befragen.
Fazit:
Das systematische Erarbeiten von technisch-organisatorischen Maßnahmen ist harte Arbeit. Möglicherweise werden Sie diesen Weg nicht durchweg konsequent gehen, aber beispielsweise bei der Datenschutz-Folgenabschätzung, kann der obige Denkansatz weiterhelfen. Die c’t 20/2021 liefert auf Seite 14-27 eine vielfältige Liste an technisch-organisatorischen Maßnahmen für alle heute üblichen technischen Systeme (MS-Windows, Smartphone, Server, E-Mail, Webbrowser, Onlinebanking, WLAN-Router, Mobiles Arbeiten...). Gerade Kleinunternehmen finden hier eine fachkundige Inspiration.
------------------------------------------------------------------------
„Copyright: Bitte beachten Sie das Urheberrecht dieses Blog-Beitrags. Sie sind nicht befugt den Wortlaut für eigene Publikationen zu nutzen. Das Urheberrecht der Original- Inhalte liegt bei DSB-MIT-SYSTEM®, im Rahmen des Datenschutz-Praxisleitfadens PrivazyPlan®.“