Datensicherheit

Im Mai 2017 zahlte der Gebäudedienstleister Fazio Mechanical Services dem US-Lebensmittelhändler Target nach einem Datenangriff 18,5 Mio. US-$. Durch etwaige Fehler sollen beide Unternehmen den Diebstahl von 40 Mio. Kreditkartendaten erleichtert haben.

Artikel 82 der Datenschutzgrundverordnung (DSGVO) fordert: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“ Ein Hoffnungsschimmer: „Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung [...] befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den [...] Schaden [...] verantwortlich ist.“ Weiter geht’s mit „Geldbußen“ (Art. 83): „Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen [...] in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.“ Unter abschreckend versteht die Verordnung Geldbußen bis 10 Mio. € oder 2 % des „gesamten weltweit erzielten Jahresumsatzes“ [...] „je nachdem, welcher der Beträge höher ist“. Für Target (Umsatz: ca. 61 Mrd. €) wären das 1,22 Mrd. €, bei Fazio mindestens 10 Mio. €.

Die Hürden zur Vermeidung teurer Erfahrungen sind jedoch hoch. In Artikel 32 verlangt die DSGVO: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.

Was ist nun „Stand der Technik“? Mangels legislativer Definition haben sich ein Dutzend Anwälte und Informatiker vom TeleTrusT – Bundesverband IT-Sicherheit e.V. in einem 64-seitigen Dokument darum bemüht: „Stand der Technik ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen, der nach herrschender Auffassung führender Fachleute das Erreichen des gesetzlich vorgegebenen Zieles gesichert erscheinen lässt. Technik und Verfahren müssten sich ‚in der Praxis bewährt haben‘ oder – anderenfalls – „möglichst im Betrieb mit Erfolg erprobt worden sein“. Im Recht der Europäischen Union werde auch die Formulierung „die besten verfügbaren Techniken“ verwendet. Diese entsprächen nach Ansicht der Autoren weitgehend der Generalklausel „Stand der Technik“.

Martin Schallbruch, früher Abteilungsleiter des Innenministeriums und einer der Autoren des IT-Sicherheitsgesetzes, kommentiert das Dokument so: „Die von TeleTrusT veröffentlichte Handreichung zum ‚Stand der Technik‘ hat mir persönlich sehr gefallen. Warum? Weil ich mir bei der Verabschiedung des ITSiG (IT-Sicherheitsgesetz, Anm. d. Autors) gewünscht habe, dass ein renommierter Fachverband kommt und sagt: ‚Seht hier, das ist der geforderte Stand der Technik‘. TeleTrusT erklärt in der Handreichung den geforderten Sicherheitsstand und schafft somit Klarheit über die notwendigen Maßnahmen.“ Zu Art, Umfang, Umständen und Zwecken der Verarbeitung gibt es Hinweise in den Artikeln 5, 6 und 7 der Verordnung. So muss der Zweck der Datenverarbeitung definiert sein – und die folgenden Prozesse müssen tatsächlich auch der Definition entsprechen. Ein Ziel dabei ist die „Datenminimierung“. Weiter ist eine Datenschutz-Folgeabschätzung (Art. 35) notwendig, wenn „Rechte und Freiheiten des Betroffenen durch die Verarbeitung einem Risiko ausgesetzt sind“. Dies träfe „ganz besonders dann zu, wenn neue Technologien angewandt werden“ – womöglich sind damit „smart-“, „4.0-“ oder „Tele-“Angebote gemeint.

Eintrittswahrscheinlichkeit und Schwere der Risiken lassen sich per Risikomanagement beurteilen – dazu bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Internet­seite ein 47-seitiges Dokument „Risikoanalyse auf Basis von IT-Grundschutz“ an. Entwicklungen innerhalb und außerhalb einer Institution sind demnach „daraufhin zu untersuchen, ob hieraus Risiken entstehen können“; das Ziel ist, „Gefährdungen und Sicherheitsvorfälle realistisch zu bewerten und hieraus Rahmenbedingungen für angemessene Aktionen abzuleiten“.

Regelgerechtes Verhalten kann per Zertifikat nachgewiesen werden; nach Ansicht der Datenschutz Cert GmbH zählen der „IT-Grundschutz“ des BSI oder die ISO 27001 zu den „besten“ Verfahren.

Vor allem internationale Unternehmen könnten danach streben, den IT-Grundschutz zu implementieren und dafür ein ISO-27001-Zertifikat zu erhalten. Genau das Richtige für den eingangs erwähnten Einzelhändler Target und seinen Hausmeister.