Zuletzt hatte die bayerische Datenschutz-Aufsichtsbehörde stichprobenartig Mail-Server auf ihre technische Konfiguration hin überprüft, ohne vorab die betroffenen Unternehmen informiert zu haben. Welche rechtlichen Anforderungen im Bereich der IT-Sicherheit stellen aktuell die Datenschutz-Aufsichtsbehörden? Wie hat sich deren Prüfverhalten in Sachen IT-Sicherheit nun verändert?
Anstieg der Prüftätigkeit im Bereich IT-Sicherheit
Allgemein ist über den Verlauf der vergangen Jahre sowohl ein Anstieg der Prüftätigkeit der Datenschutz-Aufsichtsbehörden als auch ein Wechsel von eher rechtlich geprägten Datenschutz-Vorgaben hin zur Einhaltung technischer Mindeststandards zu verzeichnen.
Fokus auf IT-Sicherheit: rechtliche Anforderungen an die IT-Sicherheit
Unternehmen haben gemäß § 9 Bundesdatenschutzgesetz "die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften (…) [des Bundesdatenschutzgesetzes] zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht."
Foto: Marco2811 - Fotolia.com
Die Anlage zu § 9 Bundesdatenschutzgesetz konkretisiert diese Anforderungen weiter in die Bereiche Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle sowie das Trennungsgebot. Zudem findet insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren Erwähnung.
Beispiel: Prüfung der Mail-Server
Das Bayerische Landesamt für Datenschutzaufsicht (Datenschutz-Aufsichtsbehörde für Unternehmen in Bayern) hat Anfang September 2014 stichprobenartig ausgewählte Mail-Server bayerischer Unternehmen dahingehend untersucht, ob die Kommunikation zwischen den Mail-Servern verschlüsselt erfolgt. Die Unternehmen waren vorab nicht über die Überprüfung informiert worden. Vertiefende Informationen dazu finden Sier hier
Was entspricht dem "Stand der Technik"?
Bemerkenswert ist in dem Zusammenhang, dass sich die Datenschutz-Aufsichtsbehörde in Bayern in diesem Zusammenhang auch explizit dazu äußert, was als "Stand der Technik" anzusehen ist.
So führt die Aufsichtsbehörde folgendes auf: "Zur möglichen Verschlüsselung der Kommunikation zwischen Mail-Servern ist der Einsatz des Protokolls STARTTLS nach dem Stand der Technik als erforderlich zu erachten. Findet im Rahmen der Nachrichtenübermittlung das Verschlüsselungsprotokoll SSL/TLS Einsatz, so ist zudem das Verschlüsselungsverfahren Perfect Forward Secrecy zum erhöhten Schutz der übermittelten Daten notwendig. Darüber hinaus ist eine Verwundbarkeit durch die Heartbleed-Lücke auszuschließen."
- Gesetze verstehen
Die Auswirkungen der aktuellen und künftigen Gesetzeslage auf die Firma verstehen. Dies beinhaltet die Frage nach notwendigen Änderungen und deren Auswirkungen auf das IT-Budget. Zum Beispiel nutzen viele Unternehmen immer noch reale Daten ihrer Kunden und Nutzer für Entwicklungs- und Testzwecke. Mit der neuen Gesetzgebung sollten sie diese anonymisieren oder zumindest maskieren. - Analysieren
Analysieren, wo persönliche und sensible Daten aufbewahrt werden. Wer nutzt wie welche Daten und wo liegen die größten Gefahren einer Datenschutzverletzung? Die entsprechende Analyse der Bearbeitungsprozesse persönlicher und sensibler Daten und wie diese mit anderen Daten interagieren nimmt oft deutlich mehr Zeit in Anspruch als geplant. - Anonymisieren
Daten desensibilisieren, ohne sie unbrauchbar zu machen. Anonymisierte Daten lassen sich häufig relativ problemfrei in bestehende Workflows und Prozesse integrieren. Alternativ sind neue oder veränderte Arbeitsprozesse zu entwickeln, um die Gesetze einzuhalten. Die daraus resultierenden Kenntnisse fließen wiederum in Anforderungskataloge an Drittanbieter-Lösungen ein. - Datenschutzprozesse entwickeln
Datenschutzprozesse unter Verwendung der geeigneten Werkzeuge entwickeln. Zur Umsetzung der Datensicherheits-Strategie gibt es verschiedene Lösungen. Diese kann aus einem neuen Satz an Geschäftsprozessen bestehen, aus einer Revision der Datenzugriffsbestimmungen, einer (Test-)Datenmanagement-Technologie oder aus einer beliebigen Kombination davon. - Lösungen liefern
Die Lösung in das bestehende IT-Umfeld ausliefern. Vor der Einführung der entwickelten Prozesse sollten die Abläufe so weit wie möglich automatisiert und die manuellen Eingriffe reduziert sein. Teams, die diese Prozesse im Alltag betreuen, sind in die entsprechenden Regularien und Prozesse einzuweisen sowie in der Handhabung der verwendeten Werkzeuge zu trainieren.
Strafrechtliche Rahmenbedingungen: "Pentests" durch die Aufsichtsbehörde?
Offen ist die Frage, wo künftig die Grenze bei der Prüfung von Unternehmens-IT durch die Datenschutz-Aufsichtsbehörde ohne vorherige Information bzw. Einbindung der betroffenen Unternehmen verlaufen wird. Dies ist insbesondere im Licht von § 202a StGB relevant, der das "Ausspähen von Daten" unter anderem bei der "Überwindung einer Zugangssicherung" unter Strafe stellt. Unter IT-Experten wird diskutiert, ob die beim vorliegenden Mail-Server-Test ebenfalls erfolgte Überprüfung auf die Heartbleed-Lücke nicht eine solche Überwindung einer Zugangssicherung darstellt. Ferner stellt sich in dem Zusammenhang die Frage nach dem Umfang der Befugnisnorm von § 38 Bundesdatenschutzgesetz.
Strukturelle Abhängigkeit der Unternehmen von funktionierender IT
Unternehmensverantwortliche sind gut beraten, ausreichende Ressourcen für eine sichere IT-Umgebung zur Verfügung zu stellen. Häufig verkennen Unternehmen die eigene strukturelle Abhängigkeit von einer funktionierenden Unternehmens-IT. Unternehmen sollten prüfen, die eigene IT regelmäßig (zum Beispiel durch IT-Penetrationstests) auf mögliche Schwachstellen überprüfen zu lassen. Ferner sollte der Datenschutzbeauftragte in die Erstellung und Umsetzung eines IT-Sicherheitskonzepts eingebunden werden.
Globaler Trend der Datenschutz-Aufsichtsbehörden
Der Fall der stichprobenartigen Überprüfung der Mail-Server ohne Vorankündigung in Bayern steht exemplarisch für die generelle Entwicklung der Datenschutz-Aufsichtsbehörden, verstärkt über technische Vorgaben die Sicherheit der verarbeiteten Daten gewährleisten zu wollen. So sind derzeit vergleichbare Entwicklungen in Italien, Frankreich, England und Kanada zu beobachten.
Fazit
Der vorliegende Fall in Bayern zeigt, dass Unternehmen nicht nur aus Eigeninteresse sondern auch aufgrund der veränderten Prüftätigkeit der Datenschutz-Aufsichtsbehörden ihren Focus auf das Thema IT-Sicherheit legen sollten. Unternehmen sollten sich zudem darauf einstellen, dass Aufsichtsbehörden im Rahmen der rechtlichen Möglichkeiten die Einhaltung technischer Vorgaben aktiv (das heißt ohne Vorankündigung/Abstimmung mit dem Unternehmen) überprüfen. Ferner deutet sich damit eine Entwicklung an, dass die Datenschutz-Aufsichtsbehörden über die eigene Prüftätigkeit in der Praxis vorgeben, welche technische Ausgestaltung im Zweifel als "Stand der Technik" anzusehen ist. (rw)