9 Technische und organisatorische Maßnahmen

Transkript

1 P009.xml ( fmt), Seite 2 von 8 9 Technische und organisatorische Maßnahmen 9 Technische und organisatorische Maßnahmen 1 Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. 2 Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Literatur Heckmann, Rechtspflichten zur Gewährleistung von IT-Sicherheit im Unternehmen, MMR 2006, 280; Hoeren/ Spittka, Aktuelle Entwicklungen des IT-Vertragsrechts ITIL, Third Party Maintainance, Cloud Computing and Open Source Hybrids, MMR 2009, 583; Klett/Lee, Vertraulichkeit des -Verkehrs, CR 2008, 644; Lensdorf/ Mayer-Wegelin, Die Bedeutung von Standards und Best Practices beim Schutz personenbezogener Daten Eine Anlayse der IT-Grundschutzkataloge des BSI-Standards, CR 2009, 545; Schultze-Melling, Effizientes Information Security Management im Rahmen von IT-Outsourcing-Verträgen, ITRB 2005, 42; Ulmer, Das Datenschutz-Management im Unternehmen und der Wertbeitrag der Datenschutzorganisation, RDV 2008, 15. Darum geht es Die zentrale Norm des BDSG hinsichtlich der von jeder verantwortlichen Stelle und deren Auftragsdatenverarbeitern zu treffenden erforderlichen technischen und organisatorischen Maßnahmen. Sie ist die Norm im BDSG, die den Aufwand einer Maßnahme in das angemessene Verhältnis zum angestrebten Schutzzweck setzt und die gesetzlich in den Regelungsinhalt der Anlage zu 9 verweist. Schlagworte Technisch und organisatorische Maßnahmen; TOM; Verhältnismäßigkeit; Schutzzweck; Schutzbedarf; Schutzbedürftigkeit; Angemessenheit; Aufwand; Anerkannte Standards; BSI-Grundschutzkatalog; ISO-Richtlinien A. Allgemeines I. Regelungszweck... 1 II. Persönlicher Anwendungsbereich III. Sachlicher Anwendungsbereich IV. Ausblick auf die Novellierung des Europäischen s B. Inhalt der Regelung I. Gewährleistung technischer und organisatorischer Maßnahmen, Satz II. Verhältnismäßigkeitsgrundsatz, Satz Erforderlichkeit Schutzzweck Aufwand Abwägung Schutzzweck vs. Aufwand III. Rechtsfolgen bei Verstoß A. Allgemeines 1 I. Regelungszweck 9 verpflichtet verantwortliche Stellen, soweit deren Erhebung, Verarbeitung oder Nutzung personenbezogener Daten in den Anwendungsbereich des 1 Abs. 2 fällt, Datenschutz und Datensicherheit in einem ausreichenden Maße sicherzustellen. Diese Stellen sind verpflichtet, all die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, die diese Datensicherheit gewährleisten, solange der damit verbundenen Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht. 9 statuiert daher die Verpflichtung, bestehenden und geplanten Abläufen sowie bereits existierenden und neu anzuschaffenden IT-Systemen nicht ungeprüft zu vertrauen, sondern diese im Sinne des Datenschutzes und der Datensicherheit sachgerecht auszugestalten. 1 1 Simitis/Ernestus, 9 Rn. 1, Bergmann/Möhrle/Herb, 9a Rn Saeugling

2 P009.xml ( fmt), Seite 3 von 8 Technische und organisatorische Maßnahmen 9 II. Persönlicher Anwendungsbereich Der Regelungsgehalt des 9 BDSG erfasst sowohl öffentliche Stellen wie auch nicht-öffentliche Stellen. Neben der verantwortlichen Stelle selbst unterfallen aber auch bereits ausweislich des Gesetzeswortlautes die Stellen dem Regelungsinhalt, die personenbezogene Daten nur im Auftrag erheben, verarbeiten oder nutzen. Neben diese eigene Pflicht tritt ergänzend, dass die verantwortliche Stelle gemäß 11 Abs. 2 Nr. 3 heute im Rahmen des abzuschließenden schriftlichen Auftrages die nach 9 zu treffenden technischen und organisatorischen Maßnahmen selbst festlegen muss. Sie bleibt daher auch im Falle der Auftragsdatenverarbeitung durch einen Auftragnehmer für die Umsetzung der erforderlichen Maßnahmen originär verantwortlich. 2 Auf verantwortliche Stellen und Auftragsdatenverarbeiter außerhalb des Geltungsbereiches des BDSG findet 9 grundsätzlich keine Anwendung. Für einen im Ausland ansässigen Auftragsdatenverarbeiter ergibt sich jedoch die Auferlegung entsprechender Pflichten gegebenenfalls aus dem Regelungsinhalt der nach 11 schriftlich abzuschließenden Auftragsdatenvereinbarung. III. Sachlicher Anwendungsbereich Der Anwendungsbereich dieser Gesetzesnorm ist wesentlich weiter, als es auf den ersten Blick scheint. Nun sind selbstverständlich zunächst die in 9 in Verbindung mit der Anlage zu 9 explizit genannten Maßnahmen zum Datenschutz und zur Datensicherheit umzusetzen. Daneben sind aber ergänzend auch all diejenigen Maßnahmen zu treffen, die erforderlich sind, um auch die anderweitigen gesetzlichen Regelungen des BDSG zu gewährleisten. 3 So gilt 9 Satz 1 für alle anderweitigen Vorschriften des BDSG, insbesondere auch für die Umsetzung der Betroffenenrechte wie beispielsweise Auskunft, Benachrichtigung, Berichtigung, Löschung und Sperrung. 4 9 gilt ferner unabhängig davon, ob personenbezogene Daten automatisiert oder nicht automatisiert verarbeitet oder genutzt werden. 5 Nur die in der Anlage zu 9 explizit genannten acht Maßnahmen gelten ausdrücklich für automatisierte Verarbeitungsverfahren. Für nicht automatisierte Verarbeitungsverfahren gelten die acht Maßnahmen nur, wenn die Daten für das nicht automatisierte Verarbeitungsverfahren aus einem automatisierten Verarbeitungsverfahren stammen. 6 IV. Ausblick auf die Novellierung des Europäischen s In Erwägungsgrund 77 der EU-VO fordert der europäische Gesetzgeber, dass zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten der betroffenen Personen geeignete technische und organisatorische Maßnahmen bereits bei der Konzipierung der Verarbeitungsvorgänge als auch für den Zeitpunkt der Verarbeitung selbst getroffen werden. Zur Sicherstellung sollte der für die Verarbeitung Verantwortliche interne Strategien festlegen und geeignete Maßnahmen ergreifen, die insbesondere dem Grundsatz des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun. Nach Art. 23 der EU-VO ist die Entscheidung hinsichtlich der Geeignetheit einer Maßnahmen immer unter Berücksichtigung des jeweiligen Standes der Technik und der Implementierungskosten zu treffen Des Weiteren gelten Maßnahmen nach Art. 30 der EU-VO immer dann als geeignet, wenn hierdurch ein Schutzniveau gewährleistet wird, das im Kontext der von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen erscheint. Die Kommission soll gemäß Taeger/Gabel/Schultze-Melling, 9 Rn. 13 f., Gola/Schomerus, 9 Rn. 3, Däubler/Klebe/Wedde/Weichert/Wedde, 9 Rn. 10, Simitis/Ernestus, 9 Rn. 4 f. 3 Taeger/Gabel/Schultze-Melling, 9 Rn. 16, Däubler/Klebe/Wedde/Weichert/Wedde, 9 Rn. 3, Simitis/Ernestus, 9 Rn So auch Taeger/Gabel/Schultze-Melling, 9 Rn. 16, Gola/Schomerus, 9 Rn Däubler/Klebe/Wedde/Weichert/Wedde, 9 Rn Taeger/Gabel/Schultze-Melling, 9 Rn. 17 f., Däubler/Klebe/Wedde/Weichert/Wedde, 9 Rn. 3, Gola/Schomerus, 9 Rn. 6. Saeugling 283

3 P009.xml ( fmt), Seite 4 von 8 9 Technische und organisatorische Maßnahmen Art. 30 Nr. 3 EU-VO mittels delegierten Rechtsakten die Kriterien und Bedingungen für die genannten technischen und organisatorischen Maßnahmen festlegen und ferner den aktuellen Stand der Technik für bestimmte Sektoren und Datenverarbeitungssituationen bestimmen Damit sind in diesem Kontext durch die EU-VO keine wesentlichen Änderungen hinsichtlich der bereits in der Bundesrepublik Deutschland heute existierenden Gesetzeslage zu erwarten. Insbesondere wird es sicherlich zu keinen systematischen und inhaltlichen Änderungen bei der Bestimmung der Angemessenheit einer Maßnahme kommen, nur weil der europäische Gesetzgeber von geeigneten und nicht wie der deutsche Gesetzgeber von erforderlichen Maßnahmen spricht. Die Verwendung des Wortes geeignet findet sich bereits im deutschen Gesetzestext der Anlage zu 9 Satz 2. 7 Änderungen können sich allenfalls dadurch ergeben, weil beispielsweise eine geforderte Datenportabilität oder datenschutzrechtliche Voreinstellungen neue, ergänzende Anforderungen an die jeweilige Umsetzung von technischen und auch organisatorischen Maßnahmen stellen könnten. B. Inhalt der Regelung I. Gewährleistung technischer und organisatorischer Maßnahmen, Satz 1 11 Die Bezeichnung der technischen und organisatorischen Maßnahmen ist als Oberbegriff für eine Vielzahl von Maßnahmenforderungen zu verstehen und daher inhaltlich weit auszulegen. 8 Der Wortlaut der Norm verlangt zunächst einmal die Gewährleistung von sämtlichen erforderlichen technischen und organisatorischen Maßnahmen, um allen Anforderungen des BDSG und insbesondere den in der Anlage zu 9 genannten Maßnahmen zu entsprechen und damit das größtmögliche Maß an Datenschutz und Datensicherheit zu verwirklichen. 9 Erfasst werden gemäß 9 Satz 1 alle Maßnahmen, die aus Gesichtspunkten des Datenschutzes und der Datensicherheit erforderlich sind. Daher werden die organisatorischen und technischen Maßnahmen gerne auch um personelle, infrastrukturelle (insbesondere bauliche) oder vertragsrechtliche Maßnahmen ergänzt Eine Zuordnung, ob eine Maßnahme als organisatorisch oder technisch einzustufen ist, ist nicht zu treffen, da das Gesetz keine unterschiedlichen Anforderungen oder Rechtsfolgen hieran knüpft. Dies erscheint nicht zuletzt deshalb konsequent, da zahlreiche Maßnahmen sowohl organisatorische wie auch technische Komponenten aufweisen und nur in der Kombination das Maßnahmenziel angemessen umsetzen.! Um die Gebote der Anlage zu 9 mit Leben zu füllen, eignen sich die heute bestehenden, anerkannten Standards besonders gut. Zu denken ist hierbei vor allem an das Grundschutzhandbuch des Bundesamtes für die Sicherheit in der Informationstechnik (BSI), insbesondere an den Grundschutz-Baustein Datenschutz sowie die benannten Empfehlungen der ISO- Norm für unterschiedlichste Kontrollmechanismen für die Informationssicherheit. 11 II. Verhältnismäßigkeitsgrundsatz, Satz 2 1. Erforderlichkeit 13 9 Satz 2 relativiert die allumfassende Gewährleistungspflicht des 9 Satz 1, der keine verantwortliche Stelle in solch einem Umfang jemals hätte nachkommen können. 7 Siehe Kommentierung zu 9a, insbesondere 9a Rn Däubler/Klebe/Wedde/Weichert/Wedde, 9 Rn. 17, Taeger/Gabel/Schultze-Melling, 9 Rn. 17 f., Simitis/Ernestus, 9 Rn Simitis/Ernestus, 9 Rn Däubler/Klebe/Wedde/Weichert/Wedde, 9 Rn. 17, Taeger/Gabel/Schultze-Melling, 9 Rn Siehe insbesondere die Kommentierung zu 9a. 284 Saeugling

4 Datenschutz im Unternehmen verantwortungsvoll ausführen! NEU! ISBN , 1084 Seiten, 16,5 x 24,4 cm, Buch (Hardcover) SUBSKRIPTIONSPREIS 98,00 bis 4 Wochen nach Erscheinen, danach 118,00 Auch als E-Book (PDF), ISBN PDF E-Book Jetzt versandkostenfrei (deutschlandweit) bestellen: Bestellung und Beratung: Tel / Fax: 02 21/ wirtschaft@bundesanzeiger.de

5 BESTELLSCHEIN shop.bundesanzeiger-verlag.de/ per Fax an 02 21/ wirtschaft@bundesanzeiger.de im Fensterkuvert einsenden an: Telefonische Bestellung: 02 21/ Datenschutz im Unternehmen verantwortungsvoll ausführen Bundesanzeiger Verlag Postfach Köln Ja, hiermit bestelle ich... Expl. Subskriptionspreis bis 4 Wochen nach Erscheinen... 98,00, danach ,00 Preise inkl. MwSt. und Versandkosten (deutschlandweit) PDF E-Book Als E-Book (PDF) bitte online unter shop.bundesanzeiger-verlag.de/ bestellen und downloaden Einzelplatzlizenz, Mehrplatzlizenzen auf Anfrage Deutschlandweit Versandkostenfrei! Versandkostenpauschale europaweit 4,00, weltweit 8,00 ABSENDER: Firma Name, Vorname Straße, Nr. PLZ, Ort Telefon wichtig bei der Bestellung von Online-Produkten Fax Ja, ich möchte kostenlos über Neuerscheinungen, Angebote und Aktionen per auf dem Laufenden gehalten werden. Diese Zustimmung ist freiwillig und kann jederzeit unter vertrieb@bundesanzeiger.de widerrufen werden. Jetzt 4 Wochen unverbindlich und kostenlos testen! IHRE ZUFRIEDENHEIT UNSERE GARANTIE Sie bestellen bei uns zur Ansicht und können unsere Produkte, ausgenommen CD-ROMs, DVDs, Online-Datenbanken und E-Books, zunächst kostenlos testen. Sollten Sie nach Prüfung wider Erwarten nicht zufrieden sein, senden Sie das Produkt einfach zurück weiter brauchen Sie nichts zu unternehmen. VERBRAUCHERSCHUTZHINWEIS: Diese Bestellung kann innerhalb von 4 Wochen nach Absendung ohne Begründung schriftlich oder in anderer Textform bei der Bundesanzeiger Verlagsges. mbh., Amsterdamer Str. 192, Köln, widerrufen werden. Zur Fristwahrung genügt die rechtzeitige Absendung des Widerrufs innerhalb dieses Zeitraumes. Der Widerruf verpflichtet zur Rücksendung der Ware, Beschädigung der Ware verpflichtet zum Kauf. DATENSCHUTZHINWEIS: Ihre Daten sind bei uns in sicheren Händen! Informationen zu unseren AGB und Datenschutzbestimmungen finden Sie unter Ihre Bundesanzeiger Verlag GmbH Datum, Unterschrift VIELEN DANK FÜR IHRE BESTELLUNG!