IT-Sicherheit: verändertes Prüfverhalten der Datenschutz Aufsichtsbehörde

iitr-icon_65x65Die Datenschutz Aufsichtsbehörde legt bei der Prüfung von Unternehmen zunehmend ihren Focus auf den Bereich der IT-Sicherheit. Zuletzt hatte die bayerische Datenschutz Aufsichtsbehörde stichprobenartig Mail-Server auf ihre technische Konfiguration hin überprüft, ohne vorab die betroffenen Unternehmen informiert zu haben. Der Beitrag stellt die rechtlichen Anforderungen im Bereich der IT-Sicherheit sowie das veränderte Prüfverhalten der Datenschutz Aufsichtsbehörden dar.

Beitrag von Herrn Rechtsanwalt Dr. Sebastian Kraska (externer Datenschutzbeauftragter).

Anstieg der Prüftätigkeit im Bereich IT-Sicherheit

Allgemein ist über den Verlauf der vergangen Jahre sowohl ein Anstieg der Prüftätigkeit der Datenschutz Aufsichtsbehörden als auch ein Wechsel von eher rechtlich geprägten Datenschutz-Vorgaben hin zur Einhaltung technischer Mindeststandards zu verzeichnen.

Focus auf IT-Sicherheit: rechtliche Anforderungen an die IT-Sicherheit

Unternehmen haben gemäß § 9 Bundesdatenschutzgesetz "die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften (…) [des Bundesdatenschutzgesetzes] zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht."
Die Anlage zu § 9 Bundesdatenschutzgesetz konkretisiert diese Anforderungen weiter in die Bereiche Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle sowie das Trennungsgebot. Zudem findet insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren Erwähnung.

Beispiel: Prüfung der Mail-Server

Das Bayerische Landesamt für Datenschutzaufsicht (Datenschutz Aufsichtsbehörde für Unternehmen in Bayern) hat Anfang September 2014 stichprobenartig ausgewählte Mail-Server bayerischer Unternehmen dahingehend untersucht, ob die Kommunikation zwischen den Mail-Servern verschlüsselt erfolgt. Die Unternehmen waren vorab nicht über die Überprüfung informiert worden (vertiefende Informationen hierzu finden sich hier).

Was entspricht dem "Stand der Technik"?

Bemerkenswert ist in dem Zusammenhang, dass sich die Datenschutz Aufsichtsbehörde in Bayern auch explizit dazu äußert, was als "Stand der Technik" anzusehen ist.

So führt die Aufsichtsbehörde aus : "Zur möglichen Verschlüsselung der Kommunikation zwischen Mail-Servern ist der Einsatz des Protokolls STARTTLS nach dem Stand der Technik als erforderlich zu erachten. Findet im Rahmen der Nachrichtenübermittlung das Verschlüsselungsprotokoll SSL/TLS Einsatz, so ist zudem das Verschlüsselungsverfahren Perfect Forward Secrecy zum erhöhten Schutz der übermittelten Daten notwendig. Darüber hinaus ist eine Verwundbarkeit durch die Heartbleed-Lücke auszuschließen."

Strafrechtliche Rahmenbedingungen: "Pentests" durch die Aufsichtsbehörde?

Offen ist die Frage, wo künftig die Grenze bei der Prüfung von Unternehmens-IT durch die Datenschutz Aufsichtsbehörde ohne vorherige Information bzw. Einbindung der betroffenen Unternehmen verlaufen wird. Dies ist insbesondere im Licht von § 202a StGB relevant, der das "Ausspähen von Daten" unter anderem bei der "Überwindung einer Zugangssicherung" unter Strafe stellt. Unter IT-Experten wird diskutiert, ob die beim vorliegenden Mail-Server-Test ebenfalls erfolgte Überprüfung auf die Heartbleed-Lücke nicht eine solche Überwindung einer Zugangssicherung darstellt. Ferner stellt sich in dem Zusammenhang die Frage nach dem Umfang der Befugnisnorm von § 38 Bundesdatenschutzgesetz.

Strukturelle Abhängigkeit der Unternehmen von funktionierender IT

Unternehmensverantwortliche sind gut beraten, ausreichende Ressourcen für eine sichere IT-Umgebung zur Verfügung zu stellen. Häufig verkennen Unternehmen die eigene strukturelle Abhängigkeit von einer funktionierenden Unternehmens-IT. Unternehmen sollten prüfen, die eigene IT regelmäßig (zum Beispiel durch IT-Penetrationstests) auf mögliche Schwachstellen überprüfen zu lassen. Ferner sollte der Datenschutzbeauftragte in die Erstellung und Umsetzung eines IT-Sicherheitskonzepts eingebunden werden.

Globaler Trend der Datenschutz Aufsichtsbehörde

Der Fall der stichprobenartigen Überprüfung der Mail-Server ohne Vorankündigung in Bayern steht exemplarisch für die generelle Entwicklung der Datenschutz Aufsichtsbehörden, verstärkt über technische Vorgaben die Sicherheit der verarbeiteten Daten gewährleisten zu wollen. So sind derzeit vergleichbare Entwicklungen in Italien, Frankreich, England und Kanada zu beobachten.

Fazit

Der vorliegende Fall in Bayern zeigt, dass Unternehmen nicht nur aus Eigeninteresse sondern auch aufgrund der veränderten Prüftätigkeit der Datenschutz Aufsichtsbehörden ihren Focus auf das Thema IT-Sicherheit legen sollten. Unternehmen sollten sich zudem darauf einstellen, dass Aufsichtsbehörden im Rahmen der rechtlichen Möglichkeiten die Einhaltung technischer Vorgaben aktiv (das heißt ohne Vorankündigung/Abstimmung mit dem Unternehmen) überprüfen. Ferner deutet sich damit eine Entwicklung an, dass die Datenschutz Aufsichtsbehörden über die eigene Prüftätigkeit in der Praxis vorgeben, welche technische Ausgestaltung im Zweifel als "Stand der Technik" anzusehen ist.

Kontakt

Informieren Sie sich über den Einsatz eines externen Datenschutzbeauftragten

Bei Fragen zum Thema Datenschutz nehmen Sie einfach mit uns Kontakt auf.

Rufen Sie uns an unter 089-1891 7360 oder schreiben Sie eine E-Mail an email@iiTR.de.

„Zeigen Sie Ihren Kunden und Mitarbeitern, dass Sie Datenschutz betreiben.
Nutzen Sie den Datenschutz als Ihre positive Botschaft.“

IITR - qualifizierter Datenschutz

Kontakt

Sie erreichen uns unter folgender Adresse:

IITR GmbH - Institut für IT-Recht

Marienplatz 2
80331 München

Tel.: +49 (0)89 1891 7360

E-Mail: email@iitr.de

 

Kontakt zum Datenschutz:

Dr. Sebastian Kraska Rechtsanwalt, Diplom-Kaufmann Spezialisiert auf DatenschutzrechtDr. Sebastian Kraska
Rechtsanwalt, Diplom-Kaufmann
Spezialisiert auf das Datenschutzrecht

Tel.: +49 (0)89 1891 7360

E-Mail: email@iitr.de

IITR GmbH ist zertifiziert
DIN EN ISO 9001

Wir sind zertifiziert nach DIN EN ISO 9001-2015Mitglied DIN