Bundesamt für Sicherheit in der Informationstechnik

CON.2 Datenschutz

Schnell zum Abschnitt

1 Beschreibung

1.1 Einleitung

Aufgabe des Datenschutzes ist es, Personen davor zu schützen, dass diese durch den Umgang mit personenbezogenen Daten auf der Seite von Institutionen an der Ausübung von Grundrechten beeinträchtigt werden. Die Verfassung der Bundesrepublik Deutschland gewährleistet das Recht der Bürgerinnen und Bürger, grundsätzlich selbst über die Verwendung ihrer personenbezogenen Daten zu bestimmen. Die Datenschutzgesetze des Bundes und der Bundesländer nehmen darauf Bezug , wenn sie den Schutz des Rechts auf informationelle Selbstbestimmung hervorheben. Die EU-Grundrechte-Charta formuliert in Artikel 8 unmittelbar das Recht auf den Schutz personenbezogener Daten (Absatz 1), hebt die Notwendigkeit einer Rechtsgrundlage zur Datenverarbeitung hervor (Absatz 2) und schreibt die Überwachung der Einhaltung von Datenschutzvorschriften durch eine unabhängige Stelle vor (Absatz 3). Die Datenschutz-Grundverordnung [DSGVO] führt diese Anforderungen der Grundrechte-Charta näher aus. Von herausragender Bedeutung ist dabei der Artikel 5 DSGVO, der die Grundsätze versammelt, die teilweise als Schutzziele ausgewiesen sind. Das Standard-Datenschutz-Modell (SDM) bietet eine Methode, um diese geforderte Umsetzung von Datenschutzvorschriften, auf der Grundlage von sieben Schutzzielen bzw. Gewährleistungszielen, systematisch überwachen zu können.

1.2 Zielsetzung

Ziel des Bausteins ist es, die Verbindung der Anforderungen des Standard-Datenschutzmodells zum IT-Grundschutz darzustellen.

1.3 Abgrenzung

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat mit dem Standard-Datenschutzmodell ein Konzept entwickelt, dass die in den deutschen und europäischen Rechtsvorschriften genannten technischen und organisatorischen Maßnahmen auf der Basis von Gewährleistungszielen systematisiert. Damit dient das Modell einerseits den für die Verarbeitung verantwortlichen Stellen, erforderliche Maßnahmen systematisch zu planen und umzusetzen und fördert somit die datenschutzgerechte Ausgestaltung und Organisation von informationstechnischen Verfahren und Applikationen. Andererseits bietet das Modell den Datenschutzbehörden eine Möglichkeit, mit einer einheitlichen Systematik zu einem transparenten, nachvollziehbaren, belastbaren Gesamturteil über ein Verfahren und dessen Komponenten zu gelangen. Das SDM ist als Methode geeignet, die Wirksamkeit der technischen und organisatorischen Maßnahmen einer Verarbeitung auf der Grundlage und nach den Kriterien der DSGVO regelmäßig zu überprüfen, zu bewerten und zu evaluieren.

Das SDM nimmt bei der Auswahl geeigneter technischer und organisatorischer Maßnahmen die Perspektive des Betroffenen und dessen Grundrechtsausübung ein und unterscheidet sich daher grundlegend von der Sicht des IT-Grundschutzes. IT-Grundschutz hat vorrangig die Informationssicherheit im Blickfeld und soll die Daten verarbeitende Institution schützen. Für die Auswahl von Maßnahmen nach dem SDM ist hingegen die Beeinträchtigung maßgeblich, die ein Betroffener durch die Datenverarbeitung der Institution hinnehmen muss.

Vor diesem Hintergrund ist zwischen der Auswahl von Maßnahmen zur Gewährleistung der Informationssicherheit für Institutionen durch verantwortliche Stellen und der von Maßnahmen zur Gewährleistung der Betroffenenrechte zu unterscheiden. Die IT-Grundschutz-Methodik dient vorrangig der Informationssicherheit, das Standard-Datenschutzmodell dient der Umsetzung von Betroffenenrechten.

Das Standard-Datenschutz-Modell hat daher die folgenden Ansprüche:

  • Es überführt datenschutzrechtliche Anforderungen in einen Katalog von Gewährleistungszielen.
  • Es gliedert die betrachteten Verfahren in die Komponenten Daten, IT-Systeme und Prozesse.
  • Es berücksichtigt die Einordnung von Daten in die drei Schutzbedarfsabstufungen normal, hoch und sehr hoch und ergänzt diese um entsprechende Betrachtungen auf der Ebene auch von Prozessen und IT-Systemen.
  • Es bietet einen hieraus systematisch abgeleiteten Katalog mit standardisierten Schutzmaßnahmen.

2 Gefährdungslage

Folgende spezifische Bedrohungen und Schwachstellen sind im Bereich Datenschutz von besonderer Bedeutung:

2 1 Missachtung von Datenschutz-Gesetzen oder Nutzung eines unvollständigen Risikomodells

Nach der EU-Datenschutz-Grundverordnung ist die Verarbeitung personenbezogener Daten grundsätzlich verboten und bedarf einer Rechtsgrundlage. Die Erhebung, Nutzung und Übermittlung personenbezogener Daten ist nur zulässig, wenn eine Rechtsvorschrift dies erlaubt oder anordnet oder wenn ein Betroffener eingewilligt hat (vergleiche. Artikel 6 [DSGVO]).

Aus der Sicht des Datenschutzes ist die Institution, die personenbezogene Daten erhebt, nutzt, übermittelt oder empfängt (zusammengefasst: „verarbeitet“) grundsätzlich ein Risiko für Personen. An diesem Risiko ändert sich nichts, wenn die Datenverarbeitung einer Institution rechtskonform ausgestaltet ist.

Ein demgegenüber noch einmal erhöhtes Risiko besteht für Personen dann, wenn eine Institution eine Datenverarbeitung nicht hinreichend zweckbestimmt oder Zweck überdehnend oder gänzlich zweckungebunden oder intransparent oder ohne integritätssichernde Maßnahmen und ohne hinreichende Optionen für Eingriffsmöglichkeiten durch Betroffene durchführt.

Ein in der Praxis besonders häufiges Risiko für Betroffene stellen Zugriffe durch möglicherweise befugte Dritte dar. Dabei kann es sich typischerweise um ausländische Konzernmütter, Sicherheitsbehörden, Banken und Versicherungen, öffentliche Leistungsverwaltungen, IT-Hersteller und IT-Dienstleister (beispielsweise durch übernommene Patienten- und Klienten-Verzeichnisse) oder Forschungsinstitutionen handeln. Oftmals wird in diesen Kontexten die Ordnungsmäßigkeit eines Zugriffs nicht geprüft, beispielsweise weil eine langjährig eingefahrene Praxis fortgesetzt wird oder weil nachrangige Mitarbeiter das für sie persönliche Risiko scheuen, das in einem Thematisieren des Vorliegens einer hinreichenden Rechtsgrundlage liegen kann. Ferner werden aus (teilweise) negativen Prüfergebnissen durch eine Rechtsabteilung oder einen Datenschutzbeauftragten dann oftmals seitens der Verantwortlichen keine Konsequenzen gezogen.

Ein weiteres Risiko sowohl für Personen als auch für verantwortliche Institutionen besteht dadurch, wenn für rechtmäßig erfolgende Zugriffe durch Dritte keine Standard-Prozesse für einen (zumeist nur bedingten) Zugriff auf IT-Dienste oder die Übermittlung von Datenbeständen vorgesehen sind oder wenn keine Nachweise über die Ordnungsmäßigkeit der Durchführung, in Form von Protokollen und Dokumentationen, erbracht werden können.

Eine große Gefahr für Personen ist ferner eine mangelhafte Datensicherheit. Erwägungsgrund 75 der DS-GVO beschreibt die mit der Verarbeitung personenbezogener Daten einhergehenden Risiken und damit die Gefährdungslage durch unbefugten Zugriff wie folgt:

„Die Risiken für die Rechte und Freiheiten natürlicher Personen - mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere - können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden, wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft.“

2 2 Festlegung eines zu niedrigen Schutzbedarfs

Eine weitere Gefahr für Personen ist die Festsetzung eines unzutreffenden Schutzbedarfs. Ein falsch angesetzter Schutzbedarf würde dazu führen, dass wesentliche Anforderungen an eine datenschutzrechtliche Gestaltung der Funktionen eines Verfahrens und des Betriebs spezifischer Datenschutz-Schutzmaßnahmen nicht beachtet werden. Der Schutzbedarf, der typischerweise durch die Institution selber festgelegt wird, die verantwortlich personenbezogene Daten verarbeitet, kann aus Sicht von Personen aus verschiedenen Gründen falsch oder zu niedrig angesetzt sein:

  • Die Institution hat den gegenüber der Informationssicherheit erweiterten Schutzzielekatalog des Datenschutzes nicht berücksichtigt.
  • Die Institution hat bei der Schutzbedarfsermittlung nicht zwischen den Risiken für die Umsetzung der Grundrechte der Betroffenen und den Risiken für die Institution unterschieden.
  • Die Institution hat zwar die beiden Schutzinteressen unterschieden, aber die Funktionen des Verfahrens und der Schutzmaßnahmen zu Gunsten der Institution bzw. zu Ungunsten betroffener Personen gestaltet.

3 Anforderungen

Im Folgenden sind spezifische Anforderungen für den Bereich Datenschutz aufgeführt. Grundsätzlich ist der Datenschutzbeauftragte zuständig dafür, die Einhaltung der Anforderungen der DSGVO zu überwachen (zu Details und Einschränkungen siehe Art. 39 DSGVO). Abweichungen hiervon werden in den entsprechenden Anforderungen gesondert erwähnt. Der Informationssicherheitsbeauftragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen. Außerdem ist der ISB dafür verantwortlich, dass alle Anforderungen gemäß dem festlegten Sicherheitskonzept erfüllt und überprüft werden.

BausteinverantwortlicherDatenschutzbeauftragter

3.1 Basis-Anforderungen

Die folgenden Anforderungen MÜSSEN vorrangig umgesetzt werden:

CON.2.A1 Umsetzung Standard-Datenschutzmodell

Das Standard-Datenschutzmodell ist das Werkzeug, um personenbezogene Verfahren nicht nur sicher, sondern auch datenschutzgerecht einzurichten und zu betreiben. Es MUSS deshalb geprüft werden, ob das SDM angewendet wird. Eine etwaige Nichtberücksichtigung des vollständigen Schutzziele-Katalogs und eine Nichtanwendung der SDM-Methodik sowie der Referenzmaßnahmen MÜSSEN begründet werden.

3.2 Standard-Anforderungen

Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik im Bereich Datenschutz. Sie SOLLTEN grundsätzlich umgesetzt werden.

3.3 Anforderungen bei erhöhtem Schutzbedarf

Im Folgenden sind exemplarische Vorschläge für Anforderungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse. Die jeweils in Klammern angegebenen Buchstaben zeigen an, welche Grundwerte durch die Anforderung vorrangig geschützt werden (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit).

4 Weiterführende Informationen

4.1 Literatur

Weiterführende Informationen zu Gefährdungen und Sicherheitsmaßnahmen im Bereich "Datenschutz" finden sich unter anderem in folgenden Veröffentlichungen:

5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen

Die folgenden elementaren Gefährdungen sind für den Baustein "Datenschutz" von Bedeutung.

  • G 0.18 Fehlplanung oder fehlende Anpassung

Die Kreuzreferenztabellen finden Sie aufgrund ihres Umfangs im Downloadbereich.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK