Neues Prüfverhalten der Datenschutz-Aufsichtsbehörden

Datenschutzbehörden überprüfen immer genauer und immer häufiger die Einhaltung von Datenschutzbestimmungen in Unternehmen. Datenschutz-Experte Sebastian Kraska stellt in seinem neuen Beitrag die rechtlichen Anforderungen für Anwender vor.

Die Datenschutz-Aufsichtsbehörden legen bei der Prüfung von Unternehmen zunehmend ihren Focus auf den Bereich der IT-Sicherheit. Zuletzt hatte die bayerische Datenschutz-Aufsichtsbehörde stichprobenartig Mail-Server auf ihre technische Konfiguration hin überprüft, ohne vorab die betroffenen Unternehmen informiert zu haben. Der Beitrag stellt die rechtlichen Anforderungen im Bereich der IT-Sicherheit sowie das veränderte Prüfverhalten der Datenschutz-Aufsichtsbehörden dar. 

Anstieg der Prüftätigkeit im Bereich IT-Sicherheit

Allgemein ist über den Verlauf der vergangen Jahre sowohl ein Anstieg der Prüftätigkeit der Datenschutz-Aufsichtsbehörden als auch ein Wechsel von eher rechtlich geprägten Datenschutz-Vorgaben hin zur Einhaltung technischer Mindeststandards zu verzeichnen.

Focus auf IT-Sicherheit: rechtliche Anforderungen an die IT-Sicherheit

Unternehmen haben gemäß § 9 Bundesdatenschutzgesetz “die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften (…) [des Bundesdatenschutzgesetzes] zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.”

Die Anlage zu § 9 Bundesdatenschutzgesetz konkretisiert diese Anforderungen weiter in die Bereiche Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle sowie das Trennungsgebot. Zudem findet insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren Erwähnung.

Beispiel: Prüfung der Mail-Server

Das Bayerische Landesamt für Datenschutzaufsicht (Datenschutz-Aufsichtsbehörde für Unternehmen in Bayern) hat Anfang September 2014 stichprobenartig ausgewählte Mail-Server bayerischer Unternehmen dahingehend untersucht, ob die Kommunikation zwischen den Mail-Servern verschlüsselt erfolgt. Die Unternehmen waren vorab nicht über die Überprüfung informiert worden (weitere Informationen hier).

Was entspricht dem “Stand der Technik”?

Bemerkenswert ist in dem Zusammenhang, dass sich die Datenschutz-Aufsichtsbehörde in Bayern in diesem Zusammenhang auch explizit dazu äußert, was als “Stand der Technik” anzusehen ist.

So führt die Aufsichtsbehörde auf: “Zur möglichen Verschlüsselung der Kommunikation zwischen Mail-Servern ist der Einsatz des Protokolls STARTTLS nach dem Stand der Technik als erforderlich zu erachten. Findet im Rahmen der Nachrichtenübermittlung das Verschlüsselungsprotokoll SSL/TLS Einsatz, so ist zudem das Verschlüsselungsverfahren Perfect Forward Secrecy zum erhöhten Schutz der übermittelten Daten notwendig. Darüber hinaus ist eine Verwundbarkeit durch die Heartbleed-Lücke auszuschließen.”

Strafrechtliche Rahmenbedingungen: “Pentests” durch die Aufsichtsbehörde?

Offen ist die Frage, wo künftig die Grenze bei der Prüfung von Unternehmens-IT durch die Datenschutz-Aufsichtsbehörde ohne vorherige Information bzw. Einbindung der betroffenen Unternehmen verlaufen wird. Dies ist insbesondere im Licht von § 202a StGB relevant, der das “Ausspähen von Daten” unter anderem bei der “Überwindung einer Zugangssicherung” unter Strafe stellt. Unter IT-Experten wird diskutiert, ob die beim vorliegenden Mail-Server-Test ebenfalls erfolgte Überprüfung auf die Heartbleed-Lücke nicht eine solche Überwindung einer Zugangssicherung darstellt. Ferner stellt sich in dem Zusammenhang die Frage nach dem Umfang der Befugnisnorm von § 38 Bundesdatenschutzgesetz.

Strukturelle Abhängigkeit der Unternehmen von funktionierender IT

Unternehmensverantwortliche sind gut beraten, ausreichende Ressourcen für eine sichere IT-Umgebung zur Verfügung zu stellen. Häufig verkennen Unternehmen die eigene strukturelle Abhängigkeit von einer funktionierenden Unternehmens-IT. Unternehmen sollten prüfen, die eigene IT regelmäßig (zum Beispiel durch IT-Penetrationstests) auf mögliche Schwachstellen überprüfen zu lassen. Ferner sollte der Datenschutzbeauftragte in die Erstellung und Umsetzung eines IT-Sicherheitskonzepts eingebunden werden.

Globaler Trend der Datenschutz-Aufsichtsbehörden

Der Fall der stichprobenartigen Überprüfung der Mail-Server ohne Vorankündigung in Bayern steht exemplarisch für die generelle Entwicklung der Datenschutz-Aufsichtsbehörden, verstärkt über technische Vorgaben die Sicherheit der verarbeiteten Daten gewährleisten zu wollen. So sind derzeit vergleichbare Entwicklungen in Italien, Frankreich, England und Kanada zu beobachten.

Fazit

Der vorliegende Fall in Bayern zeigt, dass Unternehmen nicht nur aus Eigeninteresse sondern auch aufgrund der veränderten Prüftätigkeit der Datenschutz-Aufsichtsbehörden ihren Focus auf das Thema IT-Sicherheit legen sollten. Unternehmen sollten sich zudem darauf einstellen, dass Aufsichtsbehörden im Rahmen der rechtlichen Möglichkeiten die Einhaltung technischer Vorgaben aktiv (das heißt ohne Vorankündigung/Abstimmung mit dem Unternehmen) überprüfen. Ferner deutet sich damit eine Entwicklung an, dass die Datenschutz-Aufsichtsbehörden über die eigene Prüftätigkeit in der Praxis vorgeben, welche technische Ausgestaltung im Zweifel als “Stand der Technik” anzusehen ist.

 

Das Institut für IT-Recht (IITR) berät Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen. Zur Förderung wissenschaftlicher Angelegenheiten wird das Institut von einem wissenschaftlichen Beirat unterstützt. Auf IITR finden Sie regelmäßig neue Beiträge zu Fragen des Datenschutzrechts.