Weil Sicherheitsmaßnahmen jedoch einen erheblichen finanziellen und/oder zeitlichen Aufwand verursachen können, hat der Gesetzgeber, um den Aufwand im Rahmen des jeweils Zumutbaren zu halten, selbst eine Einschränkung gemacht. Diese findet sich in § 9 Satz 2. Erforderlich sind danach nur solche Maßnahmen, bei denen der Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht.
Nur angemessene Schutzmaßnahmen nötig
Jedes Unternehmen muss anhand der acht Vorgaben überlegen, welche Maßnahmen für die jeweilige Datenverarbeitung getroffen werden müssen. Es müssen nicht alle theoretisch möglichen, optimalen Maßnahmen realisiert werden, sondern nur die im Einzelfall angemessenen.
„Ob“ Schutzmaßnahmen durchzuführen sind, indes steht nicht zur Frage, sondern nur das „Wie“. So kann zum Beispiel auf einen generellen Zugangsschutz zum Personalverwaltungssystem nicht mit dem Argument verzichtet werden, der zeitliche und/oder finanzielle Aufwand sei zu hoch. Welche Art des Zugangsschutzes wiederum gewählt wird – Passwort, Chipkarte, Biometrie –, muss anhand des Verhältnismäßigkeitsprinzips beantwortet werden.
Entscheidend ist die Schutzbedürftigkeit
Wenn Sie nun prüfen, welche konkreten Maßnahmen zu treffen sind, gehen Sie zunächst von der Schutzbedürftigkeit der jeweiligen Daten aus. Die Schutzbedürftigkeit können Sie am einfachsten danach bewerten, wie hoch die Gefährdung des Persönlichkeitsrechts des Betroffenen bei einem eventuellen Missbrauch seiner personenbezogenen Daten ist.
Entscheidend im Rahmen der Gefährdungs- und Missbrauchsanalyse sind insbesondere folgende Aspekte:
Um das Potenzial der Gefährdung einschätzen zu können, hilft Ihnen folgende Frage weiter: Wie hoch ist der materielle und/oder immaterielle Schaden, der dem Betroffenen entsteht, wenn Unbefugte Zugriff auf personenbezogene Daten haben?
Schutzbedarfsfeststellung nach dem Modell des BSI bzw. der DSB
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht bei der Klassifizierung der Schutzbedürftigkeit von Daten von einem 3-Stufen-Modell aus (BSI-Standard 100-2 „IT-Grundschutz Vorgehensweise“, Kapitel 4.3 „Schutzbedarfsfeststellung“):
Die Landesdatenschutzbeauftragten (DSB) dagegen gehen von einem 4- bzw. 5-Stufen-Modell aus, das folgende Schutzbedürftigkeiten unterscheidet (Quelle: LDSB Niedersachsen):
Risikoanalyse in Abstimmung mit der IT
Wird beispielsweise eine neue EDV-Anwendung in Betrieb genommen, ist es Ihre Aufgabe als Datenschutzbeauftragter (DSB), in Abstimmung mit der EDV ein Datenschutz- und Datensicherungskonzept zu entwickeln. Hierzu ist es notwendig, die Schutzbedürftigkeit der in der Anwendung zu verarbeitenden Daten festzustellen.
In der Praxis ist die Situation häufig so, dass der DSB derjenige ist, der diese Schutzbedarfsanalyse vornimmt. Allerdings ist der Datenschutzbeauftragte oftmals gar nicht in der Lage, die Schutzbedürftigkeit korrekt festzustellen. Denn das obliegt dem Verantwortungsbereich desjenigen, der für die konkrete Anwendung die Fachverantwortung trägt.
Wenn Sie auch die Schutzbedürftigkeit nicht allein bestimmen können, so können Sie den Kolleginnen und Kollegen doch eine Hilfestellung in Form eines Konzepts an die Hand geben. Ein solches Schutzstufenkonzept definiert unterschiedliche Kategorien der Schutzbedürftigkeit anhand des jeweiligen Schadenspotenzials: Je höher der potenzielle Schaden, desto höher die Schutzbedürftigkeit und desto größer die Anforderungen an die jeweiligen Sicherheitsmaßnahmen.
Werden Daten unterschiedlicher Schutzstufen gemeinsam verarbeitet, müssen sich die Maßnahmen an den schutzbedürftigsten Daten orientieren. Ein Schutzstufenkonzept kann auch empfindliche Unternehmensdaten ohne Personenbezug beinhalten. Statt auf einen Schaden des Betroffenen ist dann auf den Schaden für das Unternehmen abzustellen. Das Konzept des BSI sieht eine solche Ausweitung vor.
Jedoch müssen Sie das Rad nicht neu erfinden: Sie können sich bei der Erstellung eines solchen Konzepts an bereits vorhandenen Empfehlungen orientieren. So haben sowohl die Landesdatenschutzbeauftragten als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) Vorschläge erarbeitet.
Fazit
Jedes Schutzbedarfskonzept kann nur eine allgemein gehaltene Empfehlung sein. Diese können Sie Ihren Kolleginnen und Kollegen für eine erste Einschätzung als Leitlinie geben. Bei unklaren und insbesondere kritischen Fällen müssen Sie als Datenschutzbeauftragter zusammen mit den Fachverantwortlichen eine detaillierte Einordnung und Abwägung vornehmen.