11. September 2017, von Prof. Dr. Rainer W. Gerling
Die Europäische Datenschutz-Grundverordnung (EU-DSGVO) stellt auch neue Anforderungen an die organisatorische und technische IT-Sicherheit. Die Pseudonymisierung und die Verschlüsslung von personenbezogenen Daten werden herausgehoben (Art. 32 Abs. 1 Lit. a). Darüber hinaus wird auf die drei klassischen Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit abgestellt. Ihnen wird noch die Belastbarkeit zur Seite gestellt (Art. 32. Abs. 1 Lit. b). Hier ist das englische Wort „resilience“ verwirrend übersetzt. Besser wären Begriffe wie „Fehlertoleranz“ oder „Widerstandskraft“ gewesen.
Art. 32 Abs. 1 Lit. c konkretisiert die Verfügbarkeit für die Situation der Wiederherstellbarkeit nach einem Ausfall und ist eigentlich überflüssig.
Der letzte Buchstabe „d“ verlangt dann ein „Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“.
Dies muss vor dem Hintergrund gesehen werden, dass bei der Abwägung der Angemessenheit der technisch-organisatorischen Maßnahmen der „Stand der Technik“ zu berücksichtigen ist. Da der „Stand der Technik“ ein „moving target“ ist, müssen die technisch-organisatorischen Maßnahmen regelmäßig überprüft werden.
Die Kalkar-Entscheidung des Bundesverfassungsgerichts (1978) kennt die drei Stufen „anerkannte Regeln der Technik“, „Stand der Technik" und „Stand von Wissenschaft und Technik“. Am Beispiel der Verschlüsslung von Anmeldevorgängen auf einer Webseite (z.B. dem Web-Mail-Portal eines Unternehmens), lässt sich dies deutlich machen. Alle Fachleute sind sich einig, dass die Übertragung verschlüsselt werden muss. Der Einsatz von https ist eine „anerkannte Regel der Technik“.
Welche Mindestanforderungen an die Implementierung der Verschlüsselung gestellt werden müssen, wird heftig diskutiert. Der „Stand der Technik“ ist wohl unter Bezugnahme auf die technische Richtlinie des BSI (Technische Richtlinie TR-02102-2; Kryptographische Verfahren: Empfehlungen und Schlüssellängen) und auf die Webseite bettercrypto.org (Verzicht auf SSL 2.0, SSL 3.0, TLS 1.0 und evtl. TLS 1.1 sowie auf die konkreten Algorithmen DES, RC4, MD5, SHA, SHA1 und die sog. Export-Verschlüsselungen) zu sehen. Hier muss berücksichtigt werden, welche alten Browser nicht mehr genutzt werden dürfen, da sie moderne Kryptoverfahren nicht unterstützen.
Das nahezu fertige TLS 1.3 ist noch nicht offiziell genormt, wird aber schon von Chrome (ab Version 56) und der Entwicklerversion von Firefox unterstützt. Erste Krypto-Bibliotheken haben dieses Verfahren auch schon implementiert. Der Einsatz von TLS 1.3 ist damit der „Stand von Wissenschaft und Technik“ und wird von der DSGVO nicht verlangt. In ca. zwei Jahren dürfet TLS 1.3 dann „Stand der Technik“ sein.
Für einen Datenschutzbeauftragten ist es eine echte Herausforderung, bei den schnellen technischen Entwicklungen auf dem Laufenden zu bleiben. Hier helfen Empfehlungen von Institutionen wie dem BSI und von Branchenverbänden. Auch Verhaltensregeln (Code of Conduct) zur IT-Sicherheit nach Artikel 40 Abs. 2 Lit. h helfen hier, die Übersicht zu behalten.
Auf der IDACON 2017 werden auch die IT-Sicherheitsfragen, die sich aus der DSGVO ergeben, diskutiert.
