Allianz für Cyber-Sicherheit Teilnehmer
BECKMANN Fachanwälte Menu ein-/ausblenden
Wir unterstützen KMUs mit unserem Know-how.

Technische Richtlinien für Datensicherheit und Datenschutz - Fallstricke für Verantwortliche und Auftragsverarbeiter

Stefan Runde
Stefan Runde
IT-Fachinformatiker
IT-Security Beauftragter
(TÜV-zertifiziert)
IT-Compliance Manager (TÜV-zertifiziert)


Die DS-GVO ist sehr allgemein gehalten und lässt Raum für die konkrete Ausgestaltung des Schutzes personenbezogener Daten durch nationale Gesetze. Davon hat der deutsche Gesetzgeber Gebrauch gemacht, indem er das Bundesdatenschutzgesetz (BDSG) neu gefasst hat. Dieses verlangt Verantwortlichen und Auftragsverarbeitern sehr viel ab. § 64 Abs. 1 BDSG (neu) lautet:

„Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. Der Verantwortliche hat hierbei die einschlägigen Technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen.“

Aus diesen beiden Sätzen lassen sich mehrere Erkenntnisse ziehen:

  • Der deutsche Gesetzgeber hat die Grundsätze einer einfachen und leicht verständlichen Sprache noch nicht verinnerlicht.
  • Verantwortliche und Auftragsverarbeiter werden mit erheblichen Pflichten belastet, die sie in ihrer konkreten Ausgestaltung nicht direkt aus der Vorschrift ableiten können.
  • Sie werden auf Technische Richtlinien und Empfehlungen verwiesen, die sie im Regelfall weder kennen, noch verstehen können. Die Kenntnis dieser Regelwerke wird aber vorausgesetzt.

Der Verweis im BDSG zielt insbesondere auf die Regelungen in der ISO (ISO 27001, 27002 und 27005) sowie den BSI-Standards (200-1, 200-2, 200-3 und 200-4) ab. Diese Werke führen technische und organisatorische Maßnahmen in einer derartigen Vielfalt, Detailtiefe und Komplexität auf, dass selbst ausgewiesene Fachleute Mühe haben, den Überblick nicht zu verlieren. Die Zahlen sprechen für sich: Der aktuelle BSI IT-Grundschutz Katalog umfasst ca. 4.400 Seiten, in denen ca. 1.500 Einzelmaßnahmen aufgeführt werden. Das Regelwerk umfasst u.a. Bausteine, Maßnahmen, Gefährdungen und Handlungsempfehlungen. Diese sind behandeln teils sehr spezielle Fragen, wie die folgenden Beispiele zeigen:

BSI Gegenstand der Maßnahme
M 1.58 Bildet der Serverraum einen eigenen Sicherheitsbereich?
M 2.35 Werden sicherheitsrelevante Updates zeitnah eingespielt?
M 4.29 Wird ein Verschlüsselungsalgorithmus eingesetzt, der ohne Kenntnis des verwendeten Schlüssels keine Möglichkeit zur Rekonstruktion des Klartextes zulässt?
M 4.40 Bei internem Mikrofon bzw. betrieblicher Notwendigkeit: Existieren eindeutige Regelungen zur Rechtevergabe für die Nutzung des Mikrofons?
M 4.91 Ist die Kommunikation zwischen den Managementkomponenten verschlüsselt oder durch andere Maßnahmen angemessen abgesichert?
M 4.93 Entsprechen die verwendeten kryptographischen Mechanismen der Integritätsprüfung dem Stand der Technik?
M 4.101 Bestehen auf Basis der Sicherheitsvorgaben der Organisation Anforderungen an das Sicherheitsgateway, wann die Kommunikation mit externen Partnern verschlüsselt erfolgen muss?
M 4.146 Werden vor der Einführung neuer Applikationen auf Windows Client-Betriebssystemen Funktions- und Sicherheitstests durchgeführt?
M 4.271 Wird bei Eigenentwicklungen oder Zusatzsoftware von Drittanbietern für SAP Systeme darauf geachtet, dass die Schnittstelle für Anti-Viren-Programme unterstützt wird?
M 5.8 Werden bei Sicherheitschecks alle wichtigen Punkte berücksichtigt?
M 5.9 Werden die Protokolldateien regelmäßig vom Netzadministrator ausgewertet?
M 5.9 Wurden die gesetzlichen oder vertraglichen Aufbewahrungsfristen für Protokolldateien beachtet?
M 5.68 Unterstützen / Nutzen die eingesetzten Verschlüsselungsmechanismen existierende oder geplante Standards (IPSec, IPv4, IPv6, IKE)?
M 5.70 Entsprechen die für das interne Netz vergebenen internen Adressen dem RFC 1918 Standard?
M 5.72 Sind nur die Netzdienste freigeschaltet, die auf dem System unabdingbar benötigt werden?
M 5.96 Ist die lokale Speicherung von E-Mails bei der Nutzung von Webmail-Diensten und das Bearbeiten des Postfaches geregelt?
M 6.33 Existiert ein aktuelles Datensicherungskonzept?
M 6.41 Wird die Wiederherstellung von Datensicherungsbeständen sporadisch getestet?
M 6.60 Sind die Ansprechpartner und die Meldewege für alle Arten von Sicherheitsvorfällen allen Mitarbeitern bekannt?

Jeder dieser Maßnahmen wird eingehend definiert und soweit vorhanden mit DIN-Normen oder anderen Vorgaben unterlegt. Der IT-Sicherheitsbeauftragte muss beurteilen, ob die jeweiligen Maßnahmen (teilweise) entbehrlich sind und wie weit sie ggf. bereits umgesetzt worden sind. Insgesamt setzt die Einhaltung des Bundesdatenschutzgesetzes daher eine außerordentlich hohe Fachkenntnis voraus. Wer diese nicht hat, muss viel Zeit investieren, um die Materie zu durchdringen, sie zu verstehen und richtig umzusetzen. Für alle Betriebe, die über keinen eigenen IT-Sicherheitsbeauftragten verfügen, empfiehlt es sich daher schon aus Zeit- und Kostengründen, externe Hilfe in Anspruch zu nehmen. Angesichts der hohen Bußgeldandrohungen bei Verstößen lohnt es sich nicht, am „falschen Ende“ (also an der Qualität) zu sparen.


Datensicherheit/ IT-Sicherheit = Informationssicherheit

Beckmann Fachanwälte   .   Heinrich-Hertz-Str. 11   .   D - 59423 Unna   .   Telefon: 02303 / 2555-0
Impressum   |   Datenschutz
Beckmann Fachanwälte . Heinrich-Hertz-Str. 11 . D - 59423 Unna . Telefon: 02303 / 2555-0
Home | Impressum | Datenschutz