Was bedeutet Stand der Technik

In Artikel 32 DSGVO steht, dass „geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“ zu treffen sind.

Und in Artikel 25 heißt es „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen.“

Was ist der Stand der Technik?

Ein großer Streitpunkt insbesondere beim Umsetzen von Maßnahmen ist immer die Frage, was denn eigentlich Stand der Technik ist. Denn jede Technik hat eine Innovationsphase in der die Idee und die Umsetzung „reifen“ und eine Phase in der durch eine Akzeptanz und Verwendung das Produkt oder der Service eine Verbreitung findet. Ist es damit dann automatisch Stand der Technik? Die Frage lässt sich leider nicht pauschal beantworten und es kann tatsächlich dazu kommen, dass hier im Schadenfall eine rechtliche Auseinandersetzung stattfinden könnte, wenn es dazu unterschiedliche Ansichten gibt. Ebenfalls spielt hier auch der Faktor eine Rolle, ob das Ganze denn wirtschaftlich für das Unternehmen gewesen wäre, auf einen gewünschten Technikstand zu wechseln. Und zuguter letzt hat das Ganze noch mit Maßnahmen und Verfahren zu tun, die der ganzen Sache zugrunde liegen. Wie kommt man hier also weiter?

Blick zur Cyberversicherung

Die massive Zunahme der Cyberattaken hat nicht nur die Unternehmen sondern auch die Versicherer in helle Aufruhr versetzt. Die Cyberversicherung ist nämlich eine noch sehr junge Versicherungsleistung und in den Jahren der Entstehung war das Ganze ein tolles Geschäft für die Versicherer. Bereits 2020 zeichnete sich ab, dass das System kippt und die Ausgaben die Einnahmen übersteigen. Die Folge ist, dass die Prämien drastisch steigen und nur noch Unternehmen versichert werden, wenn diese entsprechende Vorleistungen zur Sicherstellung der IT-Sicherheit ergriffen haben. Wer also einen Fragebogen hierzu erhält oder gar ein Audit vom Versicherer vorgeschlagen bekommt tut gut daran, die technischen und organisatorischen Maßnahmen genau zu erfassen und anzugeben. Und hier kommt wieder der Stand der Technik ins Spiel, denn der Versicherer muss den Technikstand unter Risikogesichtspunkten bewerten, damit er die Prämie berechnen kann.

Bundesverband IT-Sicherheit

Hierzu wird gerne auf die Publikationen des Bundesverbandes IT-Sicherheit e.V. zurückgegriffen. Denn dieser publiziert jährlich eine „Handreichung zum Stand der Technik“. In diesem Dokument werden dazu Maßnahmen erläutert, wie man einen Technologiestand beurteilen kann, ebenso welche Mindeststandards sowohl organisatorisch als auch technisch vorausgesetzt werden. Ich empfehle, sich diese Lektüre anzuschauen und Ekenntnisse hieraus auch für die Beurteilung der eigenen Maßnahmen heranzuziehen. Diejenigen, die bereits Sicherheitsnormen umgesetzt haben werden viel Bekanntes erkennen und hoffentlich weitere Inspirationen erhalten.

 

Hilfreiches Datenschutz-Audit

Viele Unternehmen haben in den letzten Monaten externe oder interne Datenschutzbeauftragte benannt, da sie nach der DSGVO hierzu verpflichtet sind. Dabei ist die Erwartungshaltung der Unternehmer gegenüber dem Datenschutzbeauftragten sehr unterschiedlich.

Große Unternehmen sehen die Rolle des Datenschutzbeauftragten wie in der DSGVO beschrieben primär beratend.

Kleine Unternehmen sehe den Datenschutzbeauftragten zusätzlich als Umsetzer von Maßnahmen.

Unvollständige Umsetzung

Gemeinsam haben allerdings alle, dass die zeitlichen und personellen Ressourcen für die tatsächlichen Anforderungen selten ausreichen.

  • So werden externe DSBs gerne nur mit den absoluten Pflichtaufgaben betraut, um die externen Kosten gering zu halten. Beispielsweise wird der Aufwand für externe Schulungen der Mitarbeiter häufig eingespart.
  • Interne DSBs üben ihre Tätigkeit oft neben ihren sonstigen Tätigkeiten aus, so dass Zeit fehlt, um notwendige Maßnahmen identifizieren oder angehen zu können
  • Interne DSBs verfügen i.d.R. über einen theoretischen Kenntnisstand aus z.B. Schulungen, die für eine praktische Umsetzung nur rudimentär ausreichen. Im schlechtesten Fall gibt es neben einer Basisschulungen keine kontinuierlichen Weiterbildungsmöglichkeiten mehr.

Das Ergebnis sind i.d.R. nur unvollständig identifizierte Schwachstellen und empfohlene Maßnahmen. Ursache hierfür sind  neben dem oben genannten Zeitthema auch unvollständigen Analysen der Ist-Situation sowie unvollständig umgesetzte Pflichtmaßnahmen. Im schlimmsten Fall ergibt sich eine Anfragen von Aufsichtsbehörden aufgrund einfachster Fehler.

Datenschutz-Audit für Transparenz

Um diesen Risiken entgegenzutreten empfiehlt sich daher kontinuierlich, den Datenschutzstatus festzustellen zu lassen, und zwar von einem Dritten mit umfangreichen Fachkenntnissen. Dies sollte in Form eines Audits erfolgen, in dem ein Dritter notwendige Ist-Informationen aufnimmt und mit den Anforderungen der DSGVO abgleicht.

Der resultierende Auditbericht enthält neben der Zustandserfassung insbesondere einen Maßnahmenplan, der dem Unternehmen die aktuellen Risiken vor Augen führt und Lösungen vorschlägt.

Mit einem solchen Auditbericht können Sie

  • als Geschäftsführer eine Einschätzung Ihres Risikos als Verantwortliche erhalten, auch wenn Sie keinen Datenschutzbeauftragten haben,
  • den internen oder externen DSB durch systematische Informationen unterstützen,
  • die Umsetzung von Maßnahmen besser einschätzen,
  • die Lücken und Maßnahmen identifizieren, die Ihnen bisher unbekannt waren.

Der Aufwand für solche Audits ist überschaubar, der Mehrwert groß, insbesondere auch unter dem Gesichtspunkt, dass Sie dieses zum Nachweis Ihrer ständigen Verbesserung nach Artikel 32 Abs. 1 lit d. DSGVO verwenden können.

Sprechen Sie uns an, wenn wir als unabhängiger Dritter ein Datenschutz-Audit für Ihr Unternehmen durchführen sollen.

Bußgelder nach der DSGVO

Die DSGVO bietet nach Artikel 83 die Möglichkeit, Bußgelder bis zu 20. 000. 000 Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs zu verhängen. Dieses publikumswirksame Schreckensszenario wurde in den letzten zwei Jahren pressewirksam vermarktet.

Insbesondere klein- und mittelständische Unternehmen sahen sich nach den vielen Veröffentlichungen einem existenzgefährdendem Risiko ausgesetzt.

Wie sieht es jetzt in der Praxis aus?

Der folgende Artikel des Heise Verlags, der im Mai veröffentlicht wurde weist auf ca. 75 Bußgeldverfahren in Deutschland hin.Dabei wurden die Aufsichtsbehörden aktiv befragt, zwei Bundesländer wollten hierzu keine Angaben machen. Das Handelsblatt weist auf ca. 70 Bußgelder bis Mai 2019 hin.

Während die Bußgelder in Deutschland vergleichsweise gering ausfallen, werden in anderen Ländern hingegen deutlich höhere Bußgelder verhängt. So wird im folgenden Artikel über das 50 Mio. Euro Bußgeld der französischen Aufsichtsbehörde gegenüber Google vom Januar 2019 berichtet. Und bereits im Oktober 2018 wurde z.B. durch die FAZ von dem gegen ein protugisisches Krankenhaus verhängte hohe Bußgeld berichtet.

Eine weitere Quelle für verhängte Bußgelder, die recht aktuell ist, findet man auf der Seite von Data Agenda. Und der „GDPR Enforcement Tracker“ von CMS versucht, eine Liste aller bekanntgewordenen Bußgelder aktuell zu halten.

Erstaunlicherweise gibt es hierzu kaum konsolidierte Veröffentlichungen von den deutschen Aufsichtsbehörden. Es ist nicht ganz klar, warum die deutschen Aufsichtsbehörden nur so spärlich Informationen zu verhängten Bußgeldern publizieren, denn Abschreckung wäre doch die beste Motivation zur Umsetzung.

Mehr Transparenz ist erforderlich

Stattdessen schwanken Betroffene und Unternehmen weiter zwischen „das muss man doch alles nicht so ernst nehmen“ und wirtschaftlicher Panik. Die deutschen Aufsichtsbehörden würden das Ziel der EU-Richtlinie und insbesondere deren Akzeptanz deutlich erhöhen, wenn sie hier mehr veröffentlichen würden. Dabei geht es nicht um den Namen des Unternehmens, sondern um den Anwendungsfall und die verhängte Bußgeldhöhe durch die jeweilige Aufsichtsbehörde.

Ebenso unbekannt ist, wieviele der Verfahren tatsächlich nach rechtlicher Klärung zum Erfolg geführt haben.

Interessant wäre auch, wieviele Meldungen von Unternehmen durch die verschärften Meldepflichten an die Aufsichtsbehörden eingegangen sind oder in welcher Anzahl Betroffene Meldung bei der Aufsichtsbehörde der Länder zu vermeintlichen Datenschutzverstößen machen.

Die überschaubaren Information suggerieren teilweise den Eindruck, als wäre die lasche Anwendung der DSGVO mit minimalem Aufwand für den Verantwortlichen die günstigere Variante, unter Berücksichtigung des unternehmerischen Risikos.

Wir sind allerdings der Überzeugung, dass mehr passiert als tatsächlich kundgetan wird, so dass wir davon abraten, dass Thema auf die leichte Schulter zu nehmen.

Rechenschaftspflicht auch für Datenschutzbeauftragten

Bei der ganzen Dokumentation aufgrund der Rechenschaftspflicht nach Artikel 5 Abs. 2 DSGVO wird häufig vergessen, dass auch der Datenschutzbeauftragte der Rechenschaftspflicht unterliegt.

Inhalt der Rechenschaftspflicht

Als Referenz für die Rechenschaftspflicht kann mindestens der in Artikel 39 DSGVO aufgeführte Aufgabenbereich des Datenschutzbeauftragten herangezogen werden.  Dazu gehören (in Kurzform)

  • Die Unterrichtung und Beratung des Verantwortlichen
  • Überwachung der Einhaltung inkl. Sensibilisierung
  • Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung (auf Anfrage)
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde

Tätigkeitsbericht des DSB

Es empfiehlt sich also bei all diesen Punkten zu hinterlegen, wann welcher Fall aufgetreten ist und wie er seitens des DSB behandelt wurde. Dies bekommt insbesondere dann eine Bedeutung, wenn aufgrund von juristischen Unklarheiten Anwälte und Gerichte eingeschaltet werden müssen.

Dazu bietet sich die Archivierung der Email-Kommunikation ebenso an, wie Notizen oder Gesprächsprotokolle z.B. in einem DMS-System mandantenbezogen zu hinterlegen.

Als Einstieg empfiehlt sich, einen Tätigkeitsbericht als DSB jährlich (im ersten Quartal des Folgejahres) zu erstellen, in dem die o.a. Pflichten durch erfolgte Aktivitäten zusammengefasst dokumentiert werden. In diesem kann man dann auch nochmal konkrete Hinweise über besondere Risiken, etc. dem Verantwortlichen gegenüber artikulieren.