EU-DSGVO: Was bedeutet eigentlich „Stand der Technik“?

Der Countdown läuft: Ab dem 25. Mai 2018 greift die EU-Datenschutzgrundverordnung (EU-DSGVO). Bis zu diesem Stichtag sind Unternehmen verpflichtet, ihre IT-Landschaft entsprechend dem "Stand der Technik" abzusichern. Aus dieser mehr als vagen Begrifflichkeit müssen sie konkrete Maßnahmen für ihre IT-Sicherheit ableiten – andernfalls drohen empfindliche Bußgelder. Von André Neumann

Drei kleine Worte mit großem Raum für Interpretation: Der „Stand der Technik“ ist ein wesentlicher Terminus der neuen EU-DSGVO, die in weniger als acht Monaten volle Gültigkeit erhält. Sie regelt europaweit Schutz und Verarbeitung personenbezogener Daten. Konkret heißt es in Art. 32 der EU-DSGVO: „Unter Berücksichtigung des Stands der Technik […] treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“ Diese sehr schwammigen Gesetzesformulierungen lassen Unternehmen, die nicht gerade aus der IT-Branche kommen, etwas hilflos zurück: Was hat es genau mit dem Stand der Technik auf sich? Welche IT-Sicherheitsmaßnahmen sind jetzt konkret zu ergreifen?

Bewusster Spielraum für Interpretationen

Die Begrifflichkeit „Stand der Technik“ ist vom Gesetzgeber bewusst maximal interpretierbar formuliert. Das hat verschiedene Gründe. Zum einen entzieht sich der Gesetzgeber selber einer potentiellen Haftung oder Anfechtbarkeit. Zum anderen ist die technologische Entwicklung heute so schnell, dass die im Gesetzestext aufgeführten Technologien und Verfahren unter Umständen schon wieder veraltet sein könnten, wenn das Gesetz in Kraft tritt. Dennoch sind Unternehmen gefordert, ihre Sicherheitskonzepte auf diesem schwammigen Podest aufzubauen.

Der Stand der Technik impliziert drei Stufen: Die erste umfasst einen Konsens zu Technologien und Konzepten, die bereits erprobt und eingeführt sind. Hier besteht der Nachteil darin, dass innovative Ansätze dabei keine Rolle spielen. Die zweite Ebene verzichtet auf den Konsens und setzt dafür schneller auf innovative Technologien. In der dritten geht es um Technologien, die es noch in Wissenschaft und Forschung zu erproben gilt. Am sinnigsten für die EU-Datenschutzgrundverordnung ist eine Einsortierung des Stands der Technik zwischen der ersten und zweiten Ebene – also der Kombination aus bewährten und innovativen Technologien, um maximale Sicherheit herzustellen.

Übersetzung notwendig?

Für Unternehmen bedeutet das konkret, sich selbst darüber auf dem Laufenden zu halten, was aktuell der Stand der Technik ist. Hier helfen Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) weiter. Insbesondere der Grundschutzkatalog und technische Richtlinien, die das BSI regelmäßig aktualisiert, beschreiben gewisse Mindeststandards, die Unternehmen einhalten sollten. So hat das BSI beispielsweise im Februar 2017 seine technische Richtlinie für kryptographische Verfahren aktualisiert. Darin sind konkrete Technologien und Verfahren empfohlen – unter anderem etwa AES-128 für Blockchiffren zur Verschlüsselung.

Neben dem BSI lohnt sich ebenso ein Blick auf das Informationsmaterial der Aufsichtsbehörde für Datenschutz sowie der Fachverbände. Unternehmen erhalten auf diese Weise zumindest eine Vorstellung, was an technologischen Maßnahmen nötig ist. Wie diese dann noch konkret umzusetzen sind oder welcher Hersteller dafür zu empfehlen ist, gilt es dann anschließend herauszufinden.

Eine weitere gute Orientierungshilfe zum Datenschutz sind Zertifikate etwa zur Informationssicherheit nach ISO 27001. Für die EU-DSGVO gibt es derzeit keinen einheitlichen zertifizierbaren Standard. Es existieren allerdings verschiedene Modelle, die Teilbereiche abdecken. Hier wäre beispielsweise der Anforderungskatalog des BSI „Cloud Computing Compliance Controls Catalogue“ (C5) sowie das Datenschutz-Gütesiegel des Unabhängigen Landeszentrums für Datenschutz (ULD) von Schleswig-Holstein, das ebenfalls praktische Guidelines zum Datenschutz veröffentlicht, zu nennen. Allerdings ist ein Zertifikat in der Regel lediglich eine Momentaufnahme des Sicherheitsstatus, während sich der Stand der Technik dynamisch weiterentwickelt. Daher ist in diesem Kontext für die Zukunft noch ein valides Vorgehen zu finden.

Verantwortung nicht übertragbar

Einer repräsentativen Umfrage des Branchenverbandes Bitkom zufolge, fühlte sich im September 2017 noch immer ein Großteil der befragten deutschen Unternehmen nicht vorbereitet auf die EU-DSGVO. Lediglich 13 Prozent gaben an, konkrete Maßnahmen in Angriff genommen zu haben. Gleichzeitig beschäftigen sich immerhin 49 Prozent mit dem Thema. Viele Unternehmen haben in der Praxis Schwierigkeiten, sich mit den umfangreichen Anforderungen der EU-DSGVO auseinanderzusetzen und diese noch in konkrete Maßnahmen zu übertragen. So bemängelten 34 Prozent das Fehlen von praktischen Umsetzungshilfen. Zahlreiche Unternehmen sind daher auf die Zusammenarbeit mit erfahrenen Dienstleistern angewiesen, die sich tagtäglich mit Risikoszenarien, Abwehrmechanismen und ganzheitlicher Sicherheit auseinandersetzen. Dabei bleibt das Unternehmen als Kunde trotzdem weiterhin die verantwortliche Stelle. Dies wiederum stellt nicht automatisch einen Freibrief für IT-Dienstleister dar, ihre Hände im Fall einer Datenpanne in Unschuld zu waschen.

Hohe Bußgelder drohen

Mit der EU-DSGVO kommt auf sie eine höhere Beratungs- und Informationspflicht zu – speziell, was den „Privacy-by-Design“-Ansatz anbelangt, der auf eine grundlegende, ganzheitliche Sicherheit personenbezogener Daten abzielt. Mit der EU-DSGVO ist die Auswahl eines passenden Providers mehr denn je auch eine Frage der vertrauensvollen Zusammenarbeit.

So muss etwa der Provider melden, wenn es zu einer Datenpanne kommen könnte – selbst, wenn beispielsweise noch kein Datendiebstahl stattgefunden hat. Hintergrund ist die dafür vorgesehene Meldepflicht, die Unternehmen erfüllen müssen. Sie müssen sicher sein, dass der IT-Dienstleister hierbei ihnen gegenüber maximal transparent ist. Werden Versäumnisse und Datenpannen öffentlich, drohen empfindliche Bußgelder bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Konzern-Vorjahresumsatzes, je nachdem, welche Summe höher ist.

Fazit

Die Anforderungen der EU-Datenschutzgrundverordnung umzusetzen, fällt Unternehmen nicht leicht. Im Blick auf den Stand der Technik gilt es, den individuellen Schutzbedarf genau abzuwägen und darauf basierend zu entscheiden, welche Technologie am besten passt. Doch zu viele zu berücksichtigende Aspekte oder Komponenten sowie unkonkrete Vorgaben verunsichern die Unternehmen, die verstärkt auf externe Experten angewiesen sind, um bis Mai 2018 gewappnet zu sein.

André Neumann

Über den Autor: André Neumann ist Director Supplier Management & Data Privacy bei Nexinto.

0
RSS Feed

Hat Ihnen der Artikel gefallen?
Abonnieren Sie doch unseren Newsletter und verpassen Sie keinen Artikel mehr.

Mit einem * gekennzeichnete Felder sind Pflichtfelder!

Neuen Kommentar schreiben

Entdecken Sie die Printmagazine des WIN-Verlags