Datenschutz: Informationssicherheit in Deutschland – PDF
Document Details
Uploaded by AchievablePlateau
Deutsche Hochschule für angewandte Wissenschaften
Tags
Summary
Dieses Dokument befasst sich mit Informationssicherheit und Datenschutz in Deutschland. Es behandelt Themen wie die DSGVO, Informationssicherheits-Managementsysteme (ISMS) und die Rolle des IT-Grundschutzes. Außerdem werden die Risiken durch Cyberkriminalität beleuchtet und Maßnahmen zur Sicherstellung der Datensicherheit erläutert.
Full Transcript
Datenschutz 6 Gewährleistung der Informationssicherheit in Deutschland Die DSGVO fordert zur Gewährleistung der Informationssicherheit ein Bün- del von unterschiedlichen Maßnahmen. Dazu zählen unter anderem Maß- nahmen zur Gewährleistung eines angemessenen Schutzniveaus, unter der Berücksichti...
Datenschutz 6 Gewährleistung der Informationssicherheit in Deutschland Die DSGVO fordert zur Gewährleistung der Informationssicherheit ein Bün- del von unterschiedlichen Maßnahmen. Dazu zählen unter anderem Maß- nahmen zur Gewährleistung eines angemessenen Schutzniveaus, unter der Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, der Umstände und der Zwecke der Datenverarbeitung sowie der unter- schiedlichen Eintrittswahrscheinlichkeiten und der Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen.65 Auf den ersten Blick lässt sich der sehr beachtliche Umfang der geforderten Datensicherheitsmaßnahmen nicht sofort erkennen. Doch lässt sich daraus eine Forderung in Richtung eines Informationssicherheits-Managementsys- tems (ISMS) ableiten, insbesondere im Zusammenhang mit größeren Unter- nehmen.66 Die Herausforderung bei der Etablierung eines Informationssicherheitssys- tems liegt darin, aus der Vielzahl möglicher Bedrohungen und Gegenmaß- nahmen methodisch diejenigen zu identifizieren, die für ein spezifisches Sze- nario relevant sind. Dabei ist zu beachten, dass die Informationstechnologie sich rasant weiterentwickelt und ständig neue Anwendungsgebiete entste- hen. Die zunehmende Vernetzung führt dazu, dass Informationen ortsunge- bunden werden und es unerheblich ist, wo sich die Nutzer physisch befin- den.67 Gleichzeitig steigt das Risikopotential weiter an. Ein zunächst harmlos er- scheinendes Phänomen wie Spam-E-Mails kann schnell zu einem massiven Problem werden. Nicht zuletzt ist auch der Faktor Mensch zu berücksichti- gen, da typische Verhaltensmuster von Nutzern nach wie vor ausgenutzt werden und deshalb beispielsweise Phishing-Angriffe noch immer funktio- nieren.68 Drei wesentliche Kategorien von Mängeln in der Informationssicherheit 1. Verlust der Verfügbarkeit von Daten: Dies tritt auf, wenn grundle- gende Informationen nicht mehr vorhanden sind. Dies wird oft dann 65 Europäische Kommission, Datenschutz-Grundverordnung (DSGVO) – https://ec.eu- ropa.eu/info/law/law-topic/data-protection_en 66 ISO/IEC 27001:2013 – Internationale Norm für Informationssicherheits-Managementsys- teme. 67 BSI IT-Grundschutz-Kataloge – https://www.bsi.bund.de/DE/Themen/Cyber-Sicher- heit/IT-Grundschutz/itgrundschutz_node.html 68 Federal Trade Commission, Phishing and Social Engineering – https://www.con- sumer.ftc.gov/articles/how-recognize-and-avoid-phishing-scams 79 Datenschutz bemerkt, wenn Aufgaben ohne diese Informationen nicht weiterge- führt werden können. Beispielsweise können Geldtransaktionen nicht mehr durchgeführt werden, Online-Bestellungen sind nicht mehr möglich oder Produktionsprozesse stehen still.69 2. Verlust der Vertraulichkeit von Informationen: Kundinnen und Kun- den gehen davon aus, dass ihre personenbezogenen Daten vertrau- lich behandelt werden. Auch interne, vertrauliche Unternehmens- daten wie Umsatzdaten, Marketingstrategien, Forschungsergeb- nisse oder Entwicklungen sind für die Konkurrenz von Interesse. Eine ungewollte Offenlegung dieser Informationen kann schwere Schä- den nach sich ziehen.70 3. Verlust der Integrität von Daten: Die Korrektheit von Informationen ist entscheidend. Eine fehlende Integrität kann zu Fehlbuchungen, falschen Lieferungen oder fehlerhaften Produkten führen. Auch der Verlust der Authentizität ist hier von Bedeutung. Beispielsweise könnten Zahlungsanweisungen oder Bestellungen einer falschen Person zugeordnet werden, oder digitale Willenserklärungen wer- den fälschlicherweise einer falschen Person zugerechnet.71 Unterstützung bei der Implementierung eines Informationssicherheits-Ma- nagementsystems (ISMS) bietet beispielsweise das IT-Grundschutz-Hand- buch des Bundesamts für Sicherheit in der Informationstechnik (BSI). Das Handbuch orientiert sich an den normativen Vorgaben der ISO/IEC 27001 und ISO/IEC 27002 und enthält detaillierte Leitfäden und Standards zur In- formationssicherheit.72 Zusätzlich zu den ISO/IEC 27001 und ISO/IEC 27002 können in Deutschland auch die Critical Security Controls für Effective Cyber Defense des Centers for Internet Security oder die IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI) herangezogen werden. Diese bieten weitere Hilfestellungen und bewährte Verfahren zur Sicherstellung der IT- und Informationssicherheit und zur Erfüllung der DSGVO-Anforde- rungen.73 69 BSI IT-Grundschutz Handbuch, Verfügbarkeit von Daten – https://www.bsi.bund.de 70 ISO/IEC 27001 und 27002 Normen für Informationssicherheit – https://www.iso.org/isoiec-27001-information-security.html 71 BSI, Anforderungen an die Integrität von Daten – https://www.bsi.bund.de 72 BSI IT-Grundschutz Handbuch – https://www.bsi.bund.de/DE/Themen/Cyber-Sicher- heit/IT-Grundschutz/itgrundschutz_node.html 73 Centers for Internet Security, Critical Security Controls – https://www.cise- curity.org/controls/ 80 Datenschutz Informationssicherheit erfordert ein umfassendes Managementsystem (ISMS), das auf anerkannten internationalen Normen wie der ISO/IEC 27001 basiert. Die IT-Grundschutz-Kataloge des BSI bieten eine detaillierte Anlei- Merksatz tung, um die Anforderungen der DSGVO umzusetzen. 6.1 Grundlagen der Informationssicherheit Die Zahl der Angriffe auf Unternehmen hat sich aufgrund der fortschreiten- den Digitalisierung massiv erhöht, und es vergeht kaum ein Tag, an dem in- ternationale Medien nicht über Cybercrime und die damit verbundenen De- likte berichten. Dies liegt nicht zuletzt an der steigenden Komplexität der zum Einsatz kommenden IT-Systeme. Cyberattacken richten sich auch zunehmend gegen staatliche IT-Infrastruk- turen. Zuletzt kam es zum Beispiel zu gezielten Cyberangriffen gegen Alba- nien und Montenegro. Die IT-Infrastruktur südosteuropäischer Länder gilt als besonders anfällig für Angriffe, weil dort die Systeme teilweise veraltet sind.74 Da die automationsunterstützte Verarbeitung von Daten massiv gestiegen ist, haben sich unter anderem Cloud-Lösungen etabliert. Der Vorteil dabei ist, dass Unternehmen und Behörden als datenschutzrechtliche Verant- wortliche keine IT-Architektur mehr selbstständig betreiben müssen. Die Server und alle damit verbundenen Hardware-Komponenten befinden sich in der Cloud, also in den Rechenzentren von IT-Dienstleistern. Wenn perso- nenbezogene Daten verarbeitet werden, übernimmt der Cloud-Service-Pro- vider die Rolle des Auftragsverarbeiters. Der Kunde kann sich daher auf den Betrieb seiner Software in der Cloud konzentrieren, während der Dienstleis- ter die Verantwortung für die sichere Datenverarbeitung trägt. Der Verantwortliche darf dabei nur Auftragsverarbeiter beauftragen, die eine datenschutzkonforme Verarbeitung gewährleisten können. Auf- tragsverarbeiter aus dem EU-Raum sind vorzuziehen, da sie durch die DSGVO verpflichtet sind, strenge Datenschutzanforderungen zu erfüllen. Ein Beispiel für einen entsprechenden Zertifizierungsstandard ist das EU-U.S. Privacy Shield (aktuell ersetzt durch die EU-U.S. Data Privacy Framework), das Datenschutzvorgaben für Unternehmen im internationalen Datentrans- fer regelt. In Deutschland sind auch Anbieter zertifiziert, die das ISO/IEC 27001-Zertifikat für Informationssicherheit besitzen. 74 Vgl. Wölfl, Adelheid (2022). 81 Datenschutz Insbesondere bei der Wahl einer außereuropäischen Cloud-Lösung sollte man darauf achten, ob das Unternehmen beispielsweise über ein Zertifikat der Cloud Security Alliance (CSA) verfügt. Dies ist eine international aner- kannte Non-Profit-Organisation, die einen hohen Anspruch an Informati- onssicherheit stellt. Die Zertifikate der CSA bieten eine gute Risikobewer- tung mit klar definiertem Umfang und sind besonders IT-lastig. Aufgrund der hohen Anzahl an Kundendaten und des Anstiegs der verar- beiteten Datenmengen steigt die Attraktivität von Cloud-Service-Providern als Ziel für Cyberkriminelle. Neben Unternehmen und Behörden sind daher auch Cloud-Service-Provider ein lukratives Ziel für Cyberangreifer. Die Si- cherstellung der Informationssicherheit und der Datensicherheit in der Cloud ist daher von zentraler Bedeutung, um Angreifern keine Möglichkeit zu geben, Daten zu stehlen oder Systeme zu manipulieren. Die Anforderungen an die Datenverarbeitung im Zusammenhang mit Ver- traulichkeit, Integrität, Verfügbarkeit und Belastbarkeit erfordern entspre- chende Maßnahmen, Prozesse und organisatorische Vorkehrungen. Das Zusammenspiel dieser Aufgaben führt dazu, dass aus mehreren Blickwinkeln sichergestellt werden muss, dass die automationsunterstützte Verarbei- tung von personenbezogenen Daten und die dafür eingesetzten Systeme si- cher betrieben werden können. Laut einer aktuellen Studie des Digitalverbands Bitkom waren in Deutsch- land im Jahr 2021 84 Prozent der Unternehmen Opfer von Datendiebstahl, Spionage und Sabotage. Weitere neun Prozent der Unternehmen gehen da- von aus, dass sie ebenfalls Opfer eines dieser Delikte wurden. Zugleich ge- hen die Angreifer immer professioneller vor: Bereits bei 51 Prozent der be- troffenen Unternehmen kamen Attacken aus dem Umfeld der organisierten Kriminalität.75 75 Vgl. bitkom (2022). 82 Datenschutz Abbildung 11: Attacken auf die Wirtschaft werden professioneller76 Dass Cyberangriffe zunehmen zu einem Wirtschaftsfaktor werden, lässt sich auch an den immer größer werdenden angebotenen Leistungen von „Crime as a Service“-Diensten ablesen. Dabei handelt es sich vorwiegend um Ha- cking-Tools, Schadsoftware, wie Verschlüsselungstrojaner oder spezielle Dienstleistungen zur Geldwäsche, für Übersetzungen oder für den „Opfer- Support“. Auch die kommerzielle Nutzung von Bot-Netzwerken, DDOS-An- griffen oder Diensten zum Versand von Spam-E-Mails gehört dazu. Ebenso kann ein deutlicher Anstieg beim in Verkehr bringen von Falschgeld, von Kin- derpornografie, Kreditkarten und gefälschten Urkunden beobachtet wer- den. Eine umfangreiche Behandlung von Datensicherheitsmaßnahmen kann keine hundertprozentige Datensicherheit garantieren. Sie trägt aber dazu bei, dass Cyberkriminelle viele schwer überwindbare Hürden für einen er- folgreichen Angriff nehmen müssen. Ein offensives und transparentes Si- cherheitsmanagement, beispielsweise in Form von Zertifizierungen, hat für Unternehmen deshalb nicht nur einen entsprechenden Mehrwert, sondern erzielt auch eine präventive und abschreckende Wirkung auf Angreifer. 76 Abbildung entnommen aus: https://www.bitkom.org/sites/main/files/2022-08/220831- PK-Attacken-auf-die-Wirtschaft-Print.jpg 83 Datenschutz Durch die starke Zunahme durch externe Angriffe auf die IT-Infrastruktur von Unternehmen spielt die Informationssicherheit eine immer größere Rolle. Die Attacken werden inzwischen überwiegend von professionellen Be- Merksatz trügern durchgeführt. 6.1.1 Social Engineering Die Art der Angriffe auf Unternehmen und Computersysteme, auch als „ha- cking“ bekannt, hat sich grundsätzlich geändert. Angriffe werden nicht mehr nur auf Unternehmen, sondern gezielt auf Personen und somit auf die Mit- arbeiter ausgerichtet. Dabei ist nicht mehr das Computersystem, sondern der Mensch und seine Psyche das Ziel der Attacken. Als Social Engineering wird dabei die Methode bezeichnet, menschliche Schwächen unter der An- wendung von psychologischen Tricks auszunutzen. Teilweise wird dabei auch versucht, eine Beziehung zum Opfer herzustellen, um die eigentlichen Absichten des Angreifers besser zu verschleiern. Bei den Angreifern kann es sich um privat motivierte Hacker, Script Kiddies, Hacker Communities, Unternehmensspione oder staatliche Nachrichtendienste handeln. Die Angriffsmethoden von Social Engineering sind so einfach wie effektiv. Die Angreifer versuchen unter anderem, sich in das Umfeld ihrer Zielperson einzuschleusen, ohne erkannt zu werden. Gleichzeitig steht die Informati- onsbeschaffung im Fokus. Immer öfter erfolgen die Angriffe auf dem digita- len Weg. Es kann zwischen folgenden Arten von Social Engineering unterschieden werden: Spam: Immer dann, wenn ein Empfänger durch Täuschung zu einer Aktion bewegt werden soll, wird eine Spam-Mail zu einer Form des Social Engineerings. Das kann zum Beispiel in Form von Links zu Web- sites oder von Malware in Dokumenten-Anhängen der Fall sein. Phishing: Phishing ist eine Form der Täuschung, um Anmeldeinfor- mationen zu erhalten. Phishing-Tools sind so konzipiert, dass sie dem Benutzer die Notwendigkeit der Eingabe von Anmeldedaten inklu- sive Passwörtern vortäuschen. In Wahrheit werden diese Informati- onen jedoch auf einer gefälschten Website eingegeben. Vishing: Beim sogenannten Vishing sollen entweder sensible Daten am Telefon weitergegeben werden oder es wird versucht, die Opfer auf eine gefälschte Website zu locken. Speer-Phishing: Diese Methode ähnelt dem herkömmlichen Phishing, es findet aber gezielter statt. Hacker nehmen dabei 84 Datenschutz bestimmte Ziele ins Visier, indem sie Informationen von einer Web- site, einem Verzeichnis oder einem Social Network eines Unterneh- mens abgreifen. Durch eine Personalisierung sollen die Erfolgschan- cen des Angriffs erhöht werden. Piggybacking: Diese Form des Social Engineerings findet in persönli- cher Form statt. Entweder verfolgt der Täter das Opfer zum Beispiel in einen sicheren Raum oder er verleitet ihn dazu, ihm den Zutritt zu einem sicheren Raum zu verschaffen. Diese Methode stellt beson- ders für Unternehmen mit wertvollen bzw. sensiblen Daten eine große Gefahr dar. Quid pro Quo: Bei dieser Methode wird das Opfer mit einem kosten- losen Service, wie zum Beispiel einer Sicherheitsprüfung, in die Falle gelockt. Im Zuge dessen werden Zugangsdaten eingefordert, die spä- ter für Cyber-Angriffe ausgenutzt werden. Baiting: Beim Baiting wird die Zielperson mit einem kostenlosen Ar- tikel oder Dienst geködert. Das kann zum Beispiel im Zuge einer An- meldung bei einem Online-Dienst der Fall sein, bei dem ein zusätzli- ches kostenloses Geschenk in Form eines Downloads angeboten wird. Das Gratisgeschenk kann wiederum Malware enthalten, wodurch die Voraussetzungen für einen Cyberangriff geschaffen werden. Dumpster Diving: Ähnlich wie ein Obdachloser den Müll nach Le- bensmitteln oder Gebrauchsgegenständen durchsucht, sucht der An- greifer nach interessanten Informationen, die von einem Unterneh- men zum Beispiel in einem Papiercontainer entsorgt wurden. Diese Art der Informationsbeschaffung ist dann erfolgreich, wenn Doku- mente nicht sorgfältig vernichtet oder geschreddert wurden. Ein proaktiver Umgang mit dem Risiko von Social Engineering kann die Wahr- scheinlichkeit eines erfolgreichen Angriffs erheblich verringern. Durch fortlaufende Mitarbeiter-Schulungen kann sichergestellt werden, dass Social Engineering-Bedrohungen erkannt werden und eine Täuschung erfolgreich abgewehrt wird. 6.1.2 Ransomware Als Ransomware bezeichnet man Schadsoftware, die entweder die Benut- zung des Computers oder den Zugriff auf wichtige Daten verhindert und erst nach Zahlung an den Angreifer wieder freigibt. Typische Vertreter dieser Ka- tegorie sind Verschlüsselungstrojaner, die wichtige Daten verschlüsseln und 85 Datenschutz damit unbrauchbar machen. Eine Entschlüsselung ist erst nach Durchfüh- rung einer anonymen Geldanweisung an den Angreifer, zum Beispiel via Bit- coin, möglich. Es ist aber keineswegs sicher, dass sie wirklich funktioniert. Ransomware wurde in den letzten Jahren zu einer großen Bedrohung, indem Unternehmen und Privatpersonen mit hohen Geldforderungen durch Krimi- nelle konfrontiert wurden. Es existieren mittlerweile zahlreiche Varianten mit unterschiedlichen Verbreitungswegen und Verschlüsselungsalgorith- men. Die Gefahr, eigene Daten durch eine Schadsoftware zu verlieren, in- dem diese verschlüsselt und unbrauchbar gemacht werden, ist weiterhin sehr hoch. Oft werden dabei einzelne Sicherheitslücken gezielt gesucht und ausgenutzt. Der erpresste Betrag richtet sich nach der Finanzkraft des Un- ternehmens. Um der Zahlung Nachdruck zu verleihen, wird sehr oft mit der Veröffentlichung von Daten aus dem Unternehmen gedroht. Die Angriffe richten sich vorwiegend gegen kleine und mittlere Unterneh- men, aber auch internationale Großunternehmen und Betreiber kritischer Infrastrukturen sind betroffen. Einfallstore für die Angreifer sind dabei etwa Zugriffe für die Fernwartung, E-Mails mit schädlichem Dateianhang oder mit Links, über die Schadsoftware nachgeladen wird. Üblicherweise wird auch Schadsoftware eingesetzt, über die eine Verschlüsselungssoftware nachge- laden wird. Die Auswirkungen eines Ransomware-Angriffs können sehr massiv ausfallen und oft dauert es mehrere Wochen, bis ein System wieder zum Laufen ge- bracht werden kann. In Deutschland gab es ebenfalls mehrere Vorfälle, bei denen Unternehmen Opfer von Ransomware wurden. Ein bekanntes Bei- spiel ist der Angriff auf den Klinikverbund Universitätsmedizin im Jahr 2020, bei dem sämtliche Systeme verschlüsselt wurden und das Krankenhaus für mehrere Wochen nicht in vollem Umfang arbeiten konnte. Das Unterneh- men war mit einer Geldforderung konfrontiert und musste eine umfassende Wiederherstellung der IT-Infrastruktur durchführen. Mit Hilfe einer IT- Firma wurde schließlich ein neues IT-System inklusive einer verbesserten IT- Security implementiert.77 6.1.3 DDOS-Attacken Mit einer DDOS-Attacke wird ein massiver Angriff auf einen Internetdienst bezeichnet, bei dem von einer großen Anzahl von Rechnern gleichzeitig An- fragen durchgeführt werden, die schließlich zu einer Überlastung des Daten- netzes führen. Wörtlich übersetzt handelt es sich bei einer „Distributed De- nial of Service“-Attacke um einen „verteilten Dienstverweigerungsangriff“. 77 Universitätsmedizin Rostock, Ransomware-Angriff 2020 – https://www.unimedizin- rostock.de 86 Datenschutz Diese mutwillig herbei geführte Überlastung geht oft mit erpresserischen Geldforderungen einher. Abbildung 12: DDOS-Attacke78 Wenn eine Lösegeldforderung vor einem Angriff erfolgt, kann es sich auch um eine leere Drohung handeln. Es kann also der Fall sein, dass der Angreifer technisch gar nicht in der Lage ist, einen Angriff durchzuführen. Dabei be- steht aber immer ein entsprechendes Restrisiko. Aufgrund der verwendeten Technik, der Angriffsmuster und der Methodik kann mitunter auf bereits be- kannte Akteure geschlossen werden. 6.1.4 Trojaner, Viren und Würmer Obwohl die Begriffe Trojaner, Viren und Würmer häufig synonym verwendet werden, sind sie nicht identisch. Bei allen dreien handelt es sich bösartige Programme, die auf einem Computer Schaden anrichten können. Es ist je- denfalls hilfreich, den Unterschied zu kennen, um auf die jeweiligen Gefah- ren besser reagieren zu können. Ein Computervirus hängt sich an ein Programm oder eine Datei an, sodass er sich von einem Computer auf den nächsten verbreiten und diese Geräte da- bei infizieren kann. Ähnlich wie bei menschlichen Viren können Computervi- ren nach der Schwere der Infektion unterschieden werden. Einige Viren ver- ursachen nur geringfügige störende Effekte, während andere Hardware, Software oder Dateien nachhaltig beschädigen können. 78 Abbildung i.A.a.: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbrau- cher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/DoS-Denial-of-Ser- vice/dos-denial-of-service_node.html 87 Datenschutz Fast alle Viren sind an eine ausführbare Datei angehängt. Das bedeutet, dass ein Virus möglicherweise über einen längeren Zeitraum hinweg auf einem Computer vorhanden ist. Er kann ihn jedoch erst infizieren, wenn ein bösar- tiges Programm ausgeführt oder geöffnet wird. Ein wichtiger Punkt ist dabei, dass sich ein Virus nicht ohne menschliches Zutun verbreiten kann. Nutzer verbreiten – in den meisten Fällen unwissentlich – Computerviren weiter, indem sie infizierte Dateien teilen oder E-Mails mit Viren als E-Mail-Anhang versenden. Ein Wurm ähnelt in seinem Aufbau einem Virus und wird als Unterklasse ei- nes Virus angesehen. Würmer verbreiten sich von einem Computer auf ei- nen anderen, doch anders als Viren können sie ohne Zutun einer Person übertragen werden. Ein Wurm nutzt auf einem System vorhandene Datei- oder Datenübertragungsfunktionen, was es ihm ermöglicht, sich ohne Hilfe fortzubewegen. Die größte Gefahr bei einem Wurm ist seine Fähigkeit, sich auf einem System zu replizieren. Das bedeutet, dass von einem Computer anstatt nur eines Wurms Hunderte oder Tausende Kopien desselben Wurms versendet werden können. Beispielsweise kann ein Wurm eine Kopie von sich an alle Personen in einem E-Mail-Adressbuch senden. Anschließend repliziert sich der Wurm und über- trägt sich an alle Personen im Adressbuch jedes Empfängers. Dieser Vorgang wird anschließend immer weiter fortgesetzt. Die Kopierfähigkeit eines Wurms und seine Fähigkeit, sich über Netzwerke zu übertragen, führt letzt- endlich in den meisten Fällen dazu, dass der Wurm zu viel Systemspeicher oder Netzwerkbandbreite verbraucht. Die Folge ist, dass Webserver, Netzwerkserver und einzelne Computer nicht mehr reagieren. Bei einigen Wurmangriffen, wie etwa dem Blaster-Wurm, wurde der Wurm so programmiert, dass Lücken auf dem betroffenen System ausgenutzt werden, um per Fernsteuerung die Kontrolle über einen Compu- ter übernehmen zu können. Ein Trojaner ist kein Virus, sondern ein Schadprogramm, das wie eine echte Anwendung aussieht. Im Gegensatz zu Viren replizieren sich Trojaner nicht selbst, sie können jedoch ebenfalls einen großen Schaden anrichten. Troja- ner öffnen zudem eine Hintertür auf einem Computer, über die bösartige Benutzer oder Programme Zugang zum System erhalten und vertrauliche oder persönliche Informationen gestohlen werden können. 6.2 Informationssicherheits-Managementsysteme Ein Informationssicherheits-Managementsystem ist ein Steuerungsrahmen für Verfahren und Regeln, die innerhalb von Unternehmen und Behörden 88 Datenschutz festgelegt werden und dazu dienen, Informationssicherheit dauerhaft fest- zulegen, zu steuern, zu kontrollieren bzw. laufend zu verbessern. Dazu zählen in erster Linie organisatorische, technische, prozessuale und personelle Maßnahmen. Innerhalb der Organisation sollen sich dabei defi- nierte Verantwortliche um die ihnen zugeordneten Informationswerte wie Dokumente, Daten oder Systeme kümmern. Sie legen deren jeweiligen Schutzbedarf fest und gestalten gemeinsam mit dem Sicherheitsverantwort- lichen Regeln für den sicheren Umgang mit personenbezogenen Daten und deren Behandlung in Form von Richtlinien. Außerdem nehmen sie eine ent- sprechende Rolle in internen Organisationsprozessen wahr und garantieren, dass Mitarbeiter sensibilisiert und geschult werden. Durch eine umfassende Integration in die betriebliche und behördliche Or- ganisation kann sichergestellt werden, dass Daten- und Informationssicher- heit gelebt und laufend verbessert wird. Dazu bedient sich das Informations- sicherheits-Managementsystem in der Praxis der drei Sichtweisen Gover- nance, Risiko und Compliance. Abbildung 13: GRC-Modell79 Die Governance-Sicht umfasst unter anderem die IT- und Informationssi- cherheitsziele, die aus Unternehmens- und Behördenzielen abgeleitet sind, 79 Abbildung i.A.a.: https://www.krepki.com/index.php/10-kategorie-de-de/45-it-security- de 89 Datenschutz die Integration der bereits vorhandenen Managementsysteme wie zum Bei- spiel ein Datenschutzmanagementsystem oder ein Qualitätsmanagement- system oder die Ausrichtung an der Unternehmensstrategie, um diese auch im Rahmen der Informationssicherheit zu unterstützen. Ergänzt wird die Governance-Sicht um eine Leistungsmessung, damit die Zielerreichung bzw. der Fortschritt bei der Umsetzung der Informationssicherheit durch eine re- gelmäßige und kontinuierliche Überwachung und Dokumentation sicherge- stellt werden kann. Die Risikosicht enthält die Etablierung eines Risikomanagements, um die Ri- siken so weit zu reduzieren, dass die Auswirkungen für das Unternehmen tragbar sind. Zusätzlich sollen Risiken und Chancen im Risikomanagement identifiziert werden. Die Compliance-Sicht umfasst schließlich die Berücksichtigung von externen Vorgaben durch Gesetze, Regulatoren und Normen. Weiters sind damit auch die Etablierung und Verbreitung von internen Vorgaben und Richtlinien so- wie die Erfüllung von behördlichen und vertraglichen Verpflichtungen ge- meint. Nicht zuletzt geht es dabei um den Umgang mit Verstößen gegen Richtlinien und Vorgaben. 6.2.1 IT-Notfall und Krisenmanagement Bei der automationsunterstützten Verarbeitung von personenbezogenen Daten muss sich der Verantwortliche zwangsläufig mit dem Thema IT-Not- fallmanagement befassen. Laut der DSGVO besteht konkret die Anforde- rung, bei der Verarbeitung von personenbezogenen Daten die Verfügbarkeit und Belastbarkeit der Systeme sicherzustellen bzw. die Daten rasch wieder herstellen zu können.80 Dabei sind auch externe Risiken, wie zum Beispiel Umweltkatastrophen, Brand oder der Ausfall der Stromversorgung, zu berücksichtigen. Außerdem gilt es zu beachten, dass diese Risiken nur bedingt gemindert werden kön- nen. Deshalb ist einer raschen Wiederherstellung der betrieblichen Leis- tungsfähigkeit und der Reduktion der Geschäftsunterbrechung im Zusam- menhang mit einem externen Schadensereignis auf ein Minimum absolute Priorität einzuräumen. Diese Thematik greift das Business Continuity Management auf und setzt auf vorbeugende Maßnahmen, um die kritischen Geschäfts-, aber auch Behör- denprozesse aufrechtzuerhalten und dadurch den Schaden für die Organisa- tion so gering wie möglich zu halten. 80 Vgl. Art. 32 DSGVO. 90 Datenschutz Die IT orientiert sich in erster Linie an den technischen Möglichkeiten und nicht am Budget, das zur Verfügung steht. Aus organisatorischer Sicht wird oft eine höhere Erwartung an die Verfügbarkeit gestellt, als die IT es leisten kann. Hier muss also ein Kompromiss gefunden werden, damit sich Zeit, Kos- ten und Qualität die Waage halten. Abbildung 14: Das magische Dreieck in der IT-Notfallplanung81 Die unterschiedlichen Schadensausmaße können nach dem Ausmaß Art der Störung eingeschätzt werden. Unter einer Störung werden ungeplante Er- eignisse verstanden, die meistens im Rahmen des regulären Tagesgeschäfts behandelt werden können. Die nächste Eskalationsstufe ist der Notfall, der sich auch aus einer länger andauernden Störung ableiten kann. Ein Notfall ist eine massive und um- fangreiche Störung, die auch Auswirkungen auf Kerngeschäftsprozesse hat. Ein Notfall muss immer unmittelbar behandelt werden. Ein Notfall kann auch dann eintreten, wenn die zuvor definierte maximale Ausfallzeit über- schritten wird. Unter einer Krise wird schließlich ein im Wesentlichen auf die Organisation begrenzter verschärfter Notfall verstanden, der die Existenz der Organisa- tion bedroht bzw. die Gesundheit oder das Leben von Personen beeinträch- tigt.82 81 Abbildung i.A.a.: https://projektmanagement-definitionen.de/projektmanagement- grundlagen-anordnungsbeziehungen-randbedingungen-und-annahmen-teil-2/ 82 Vgl. Bundesamt für Sicherheit in der Informationstechnik (2022). 91 Datenschutz Das Notfallmanagement versucht, durch Notfallvorsorge und Notfallbewäl- tigung proaktiv Notfallpläne zu entwickeln, um Krisen, Notfällen oder Stö- rungen bei deren Auftreten mit den entsprechenden Maßnahmen entge- genzuwirken. Die Notfallvorsorge setzt sich aus organisatorischen und tech- nischen Maßnahmen zusammen, die der Geschäftsunterbrechung entge- genwirken sollen. Unter der Notfallbewältigung wird eine zeitnahe und ko- ordinierte Wiederherstellung des Normalbetriebs verstanden. Jede Organisation kann sich auf einen Notfall vorbereiten und entspre- chende Schritte für den Fall des Falles vornehmen. Im Wesentlichen beinhaltet die Notfallplanung folgende Einzelschritte:83 Notfallorganisation: Ernennung von Notfallbeauftragten und Notfall- koordinatoren sowie Einbezug von Blaulichtorganisationen Risikoanalyse: Identifikation sowie Bewertung der Eintrittswahr- scheinlichkeit und der Auswirkung Business Impact Analyse Kontinuitätsstrategie: Wiederanlaufplanung, Kosten-Nutzen-Analyse Notfallvorsorgekonzept Notfallablauforganisation während des Notfalls: Alarmierung, So- fortmaßnahmen, Handlungsanweisungen, Wiederanlaufpläne Notfallhandbücher Planung des Notfalltests und Durchführung von Notfallübungen Laufende Verbesserung des IT-Notfallmanagements Der Entwurf eines Planes zur Wiederherstellung kann nur dann gelingen, wenn die wiederherzustellende Struktur bekannt ist bzw. welche Prozesse im Unternehmen kritisch sind und welche gegebenenfalls auch länger aus- fallen können. Die Notfallvorsorge aus Sicht der IT ist ein gänzlich anderer Zugang als die der Organisation oder Fachabteilung. Ein Unternehmen oder eine Behörde versucht durch Wiederholung von Prozessen, wiederkehrende Ereignisse zu erzielen. IT-Systeme und Dienstleistungen sind dabei Zulieferer, um dieses Ziel zu erreichen. Aus diesem Grund muss die IT-Struktur gesondert betrach- tet werden, da IT-Systeme praktisch in jedem Geschäftsprozess kritische Komponenten darstellen. Je nach Schadensausmaß kann zwischen Störungen, Notfällen und Krisen un- terschieden werden. Im Rahmen der IT-Notfallplanung müssen die Faktoren Merksatz 83 Vgl. Pachinger, Michael (2019), S. 454. 92 Datenschutz Zeit, Kosten und der Umfang der geplanten Maßnahmen gegeneinander ab- gewogen werden. 6.3 Datenschutz durch Technikgestaltung bzw. daten- schutzfreundliche Grundeinstellungen Zum Schutz der personenbezogenen Daten haben die Verantwortlichen und Auftragsverarbeiter unter anderem auch die Grundsätze des Datenschutzes durch Technik („privacy by design“) sowie des Datenschutzes durch daten- schutzfreundliche Voreinstellungen („privacy by default“) zu berücksichti- gen und geeignete interne Strategien festzulegen sowie entsprechende Maßnahmen zu setzen. Im Unterschied zu den allgemeinen Maßnahmen zur Datensicherheit verfol- gen diese Maßnahmen insbesondere das Ziel, die Rechtmäßigkeit der Daten- verarbeitung zu gewährleisten und datenschutzrechtliche Risiken im enge- ren Sinn zu vermindern. Sowohl bei der Planung als auch bei der Datenverarbeitung selbst müssen geeignete technische und organisatorische Maßnahmen berücksichtigt wer- den, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei sind der jeweilige Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und die Verarbeitungszwecke sowie die unter- schiedlichen Eintrittswahrscheinlichkeiten und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Durch datenschutzfreundliche Grundeinstellungen im Sinne von geeigneten technischen und organisatorischen Maßnahmen wird sichergestellt, dass durch entsprechende Voreinstellungen nur solche personenbezogenen Da- ten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist. Als Beispiel für datenschutzfreundliche Voreinstellungen kann zum Beispiel ein abgegrenzter Nutzerkreis auf Social Media Plattformen genannt werden, indem der potenzielle Zugriff durch Dritte von Beginn an eingeschränkt ist.84 Ähnliches gilt auch für sogenannte Wunschzettel in Webshops, die nicht ohne Einwilligung öffentlich im Internet über Suchmaschinen verfügbar sein dürfen. Als Beispiel für Datenschutz durch Technikgestaltung kann dafür der Einsatz einer Pseudonymisierung von personenbezogenen Daten genannt werden. Eine Pseudonymisierung im Sinne der DSGVO erfolgt dann, wenn 84 Vgl. Europäische Kommission (2022). 93 Datenschutz pseudonymisierte Daten ohne Hinzufügung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Dabei müssen diese Informationen gesondert aufbewahrt werden und mit- tels technisch-organisatorischer Maßnahmen vor unbefugtem Zugriff bzw. vor Heranziehung von Mitteln zur Aufhebung der Pseudonymisierung ge- schützt werden.85 Praktische Anwendungsfälle für „privacy by design“ sind beispielsweise die technische Umsetzung eines Löschkonzepts im Sinne des Grundsatzes der Speicherbegrenzung, die Implementierung eines Benutzerberechtigungs- konzeptes im Sinne des Grundsatzes der Datenminimierung oder die auto- matische Validierung und Plausibilisierung bei der Dateneingabe im Sinne des Grundsatzes der Richtigkeit.86 Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) listet folgende Stadien der Datenverarbeitung auf und schlägt den jeweiligen Sta- dien zugeordneten Strategien zur Umsetzung des Prinzips „privacy by de- sign“ vor: 1. Erwerb und Sammlung von Daten Festlegung vor Beginn der Erhebung, welche Daten benötigt Minimize werden, Durchführung von Folgenabschätzungen einzelner Da- tenverarbeitungen Aggregate Anonymisierung Hide Bereitstellung von Mechanismen für den End-Nutzer, die dem Datenschutz dienen Inform Bereitstellung hinreichender Informationen für Betroffene; Schaffung von Transparenzmechanismen Bereitstellung geeigneter Mechanismen zur Einholung von Ein- Control willigungen und Opting-Out-Mechanismen; Mechanismen zur Einstellung des gewünschten Grades an Privatsphäre; Schaf- fung personalisierter Datenspeichermöglichkeiten 2. Datenanalyse und -management Aggregate Anwendung von Anonymisierungstechniken Anwendung von Suchmechanismen in verschlüsselten Daten- Hide mengen („searchable encryption“); Anwendung von Methoden, die die Privatsphäre schützen 3. Datenaufbewahrung 85 Vgl. Art. 4, Abs. 5 DSGVO. 86 Vgl. Goger, Harald und Stefan Schoeller (2018), S. 60f. 94 Datenschutz Verschlüsselung nicht aktiv verwendeter Daten; Mechanismen Hide zur Authentifizierung und Zugangskontrolle; sonstige Maßnah- men zur Sicherstellung von sicherer Datenspeicherung Separate Getrennte (dezentralisierte) Speicherung und Verarbeitung von Daten 4. Datenverwendung Aggregate Techniken zur Anonymisierung, Sicherherstellung hoher Daten- qualität und zuverlässiger Herkunft bzw. Datenquellen 5. Für alle Phasen der Datenverarbeitung gilt Enforce/ Einsatz von automatisierter Festlegung und Durchsetzung von Demonstrate Datensicherheitsregeln Tabelle 3: Stadien der Datenverarbeitung laut ENISA:87 Die genannten Verpflichtungen gelten für die Menge der erhobenen perso- nenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Die Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten nicht ohne eine entsprechende Einwilligung einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. Datenschutz bzw. Datensicherheit durch Technik zwingen definitionsgemäß zu einer interdisziplinären Arbeit, indem unterschiedliche Anforderungen in Einklang gebracht werden müssen. Die Einhaltung eines genehmigten Zertifizierungsverfahrens kann als Faktor herangezogen werden, um die Erfüllung der oben genannten Maßnahmen nachzuweisen. Unter „privacy by design“ versteht man die Pflicht des Verantwortlichen, da- tenschutzrechtliche Anforderungen bereits bei der Gestaltung einer Verar- beitungstätigkeit frühzeitig zu berücksichtigen und die Einhaltung der Merksatz DSGVO durch entsprechende technische und organisatorische Maßnahmen sicherzustellen. Unter „privacy by default“ wird die Pflicht des Verantwortli- chen verstanden, datenschutzfreundliche Grundeinstellungen vorzusehen. 87 Schoeller, Stefan und Daniel Heitzmann, Sebastian Pilz (2019), S. 69. 95 Datenschutz 6.4 Datenschutz-Folgenabschätzung aus Sicht der In- formationssicherheit Die Datenschutz-Folgenabschätzung ist in den meisten EU-Staaten ein rela- tiv neues Instrument zur Identifikation von Risiken, die durch den Einsatz von neuen datenverarbeitenden Technologien und Systemen für die Grund- rechte der Menschen auf Achtung des Privatlebens und den Schutz von per- sonenbezogenen Daten entstehen. Sie kann als Frühwarnsystem dienen, um den beteiligten Akteuren über die Folgen technischer Entwicklungen und de- ren Nutzung systematisch nachzudenken und mögliche Mängel rechtzeitig zu erkennen und zu beseitigen. Idealerweise wird dabei eine Balance zwi- schen dem Anspruch auf gesetzliche Regelungen auf der einen Seite und auf Messbarmachung (Operationalisierung) auf der anderen Seite hergestellt. Aus praktischer Sicht gibt es einen Interessenskonflikt, da die Risikoabschät- zung durch den möglichen Verursacher des Risikos selbst erfolgt. Die Ver- pflichtung zur Durchführung einer Datenschutz-Folgenabschätzung bietet jedoch auch die Chance, den Fokus auf rechtliche Technikfolgen im Sinne von Responsible Research und Innovation zu lenken.88 Im Zuge der Einführung von neuen Technologien führt der Verantwortliche eine Abschätzung durch, ob dabei in die Grundrechte der Betroffenen ein- gegriffen wird. Dies geht oft mit einer Datenschutz-Folgenabschätzung ein- her. Die Datenschutz-Folgenabschätzung stellt dabei immer den Betroffenen in den Fokus. Bei einer gesamtheitlichen Betrachtung lässt sich für Unternehmen ableiten, bei welchen Verarbeitungstätigkeiten ein Risiko für den Betroffenen existiert und bei welchen Verarbeitungstätigkeiten Sicherheitsprobleme im IT-Be- trieb bestehen. Letztendlich erhält der Verantwortliche dadurch eine quali- tativ hochwertige Aussage darüber, bei welchen Verarbeitungstätigkeiten im Unternehmen aus Datensicherheitssicht hoher Handlungsbedarf besteht. Über den Kernzweck hinaus können im Zuge einer Datenschutz-Folgenab- schätzung auch Entwickler dabei unterstützt werden, Datenschutzrisiken frühzeitig zu erkennen und zu vermeiden. Gegenüber der Öffentlichkeit ist die Datenschutz-Folgenabschätzung ein Mittel zur Herstellung von Transpa- renz und ermöglicht somit Debatten über Risiken und Verantwortlichkeit von Informationstechnologie. 88 Vgl. Friedewald, Michael (2017). 96 Datenschutz 6.5 Zertifizierung und Verhaltensregeln Unter Datenschutz-Zertifizierungen werden unabhängige Evaluierungen durch Dritte verstanden, die nach außen hin die Selbstverpflichtung von Un- ternehmen zum Datenschutz und zur Informationssicherheit verdeutlichen. Datenschutz-Zertifizierungen können für ein IT-Produkt, eine Dienstleistung oder ein Unternehmen durchgeführt werden. Nach einem erfolgreichen Au- dit wird ein entsprechendes Datenschutz-Zertifikat mit einer vorab festge- legten Gültigkeitsdauer ausgestellt. Datenschutz-Zertifikate können dabei helfen, Unternehmen für Kundinnen und Mitarbeiterinnen attraktiver zu machen. Dazu können zum Beispiel Mail-Zertifizierungen zählen, die Unternehmen mit einem Service für eine sichere und vertrauliche Kommunikation beglaubigen. Die Zertifizierungen orientieren sich oft an anwendbaren Normen und Best Practices. Unter Best Practices werden Sicherheitsmaßnahmen verstanden, die sich in verschiedensten Unternehmen etabliert bzw. als sinnvoll und ef- fektiv herausgestellt haben. Der Vorteil bei der Anwendung von Normen ist eine Möglichkeit, ein einheitliches Rahmenwerk, eine Dokumentation, Orga- nisation und entsprechende Maßnahmen zu etablieren. Folgende Normen für Informationssicherheit haben sich in Deutschland etabliert: ISO/IEC 27001: Dies ist der bekannteste und anerkannteste interna- tionale Standard für Informationssicherheit. Er enthält einerseits klare Vorgaben für die Gestaltung eines Managementsystems und andererseits ein Set an Sicherheitsmaßnahmen, die umgesetzt wer- den müssen, um die Informationssicherheit zu gewährleisten.89 ISO/IEC 27002: Diese Norm stellt eine Ergänzung zu ISO/IEC 27001 dar und bietet Anleitungen sowie Best Practices für die praktische Umsetzung der verpflichtenden Sicherheitsmaßnahmen. Sie hilft Or- ganisationen, die erforderlichen Sicherheitsmaßnahmen effektiv umzusetzen.90 ISO/IEC 27018: Diese Norm enthält spezifische Sicherheitsmaßnah- men zum Schutz von personenbezogenen Daten, insbesondere im Kontext des Datenschutzes in der Cloud. Sie richtet sich an Cloud- 89 ISO/IEC 27001:2013 - Informationssicherheits-Managementsysteme (ISMS) – https://www.iso.org/isoiec-27001-information-security.html 90 ISO/IEC 27002:2013 - Code of Practice for Information Security Controls – https://www.iso.org/standard/54533.html 97 Datenschutz Service-Anbieter und hilft dabei, datenschutzkonforme Praktiken zu gewährleisten.91 IT-Grundschutz des BSI: Das IT-Grundschutz-Kompendium des Bun- desamts für Sicherheit in der Informationstechnik (BSI) ist ein umfas- sendes Framework für Informationssicherheit, das mit ISO/IEC 27001 kompatibel ist. Es enthält umfangreiche Sicherheitsmaßnahmen, die für die Implementierung eines robusten Informationssicherheitsma- nagementsystems erforderlich sind.92 Es gibt eine Vielzahl von verschiedenen Anbietern von Zertifizierungen mit jeweils eigenen Gütesiegeln. Die Prüfung wird in der Regel durch einen un- abhängigen Gutachter im Rahmen eines Audits durchgeführt, der im Ideal- fall selbst als qualifiziert zertifiziert wurde. Der Gutachter legt die Ergebnisse einer Zertifizierungsstelle vor, die dann wiederum das Datenschutz-Zertifi- kat verleiht. Die Bestimmungen für die Zertifizierung werden in der der DSGVO festge- legt.93 Datenschutz-Zertifikate haben eine maximale Gültigkeit von drei Jah- ren, danach muss der Prüfprozess wiederholt werden. Das Zertifizierungsverfahren wird nach einem einheitlichen Anforderungska- talog durchgeführt. In der Regel wird der Datenschutzbeauftragte des Un- ternehmens in den Prozess eingebunden. Neben den Grundanforderungen an den Datenschutz werden unter anderem die Sicherheit der Computersys- teme, die Abläufe innerhalb des Unternehmens und die physische Sicherheit der Daten auditiert. Nach der Überprüfung aller Datenschutz-Anforderungen wird ein Gutachten erstellt, das die Grundlage für die Ausstellung des Zertifikats durch die Zerti- fizierungsstelle darstellt. Das Verfahren der Datenschutz-Zertifizierung sollte immer verhältnismäßig sein. Gerade kleine und mittlere Unternehmen sind nicht in der Lage, hohe Kosten für Zertifizierungen aufzuwenden. Verhaltensregeln („codes of conduct“) sind die entsprechenden Leitlinien ei- ner guten Datenschutzpraxis und können dazu beitragen, die datenschutz- rechtliche Verhaltensweise von Verantwortlichen und Auftragsverarbeitern einer bestimmten Branche zu standardisieren. Die Ausarbeitung von 91 ISO/IEC 27018:2019 - Code of practice for the protection of personal data in the cloud – https://www.iso.org/standard/61498.html 92 IT-Grundschutz-Kompendium des BSI – https://www.bsi.bund.de/DE/Themen/Cyber-Si- cherheit/IT-Grundschutz/itgrundschutz_node.html 93 Vgl. Art. 42 DSGVO. 98 Datenschutz Verhaltensregeln soll vor allem den besonderen Bedürfnissen von Kleinstun- ternehmen sowie kleinen und mittleren Unternehmen Rechnung tragen. Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeiter vertreten, können einen Antrag auf Genehmigung von branchenspezifischen Verhaltensregeln bei der Datenschutzbehörde stellen. Als Antragsteller sind dabei insbesondere gesetzliche Interessens- vertretungen oder private Verbände und Vereinigungen dazu legitimiert. Verhaltensregeln können für folgende Bereiche festgelegt werden94: faire und transparente Verarbeitung berechtigte Interessen des Verantwortlichen in bestimmten Zusam- menhängen Erhebung personenbezogener Daten Pseudonymisierung personenbezogener Daten Unterrichtung der Öffentlichkeit und der betroffenen Personen Ausübung der Rechte betroffener Personen Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist die Maßnahmen und Verfahren und Maßnahmen für die Sicherheit der Verarbeitung gemäß DSGVO die Meldung von Verletzungen des Schutzes von personenbezoge- nen Daten an Aufsichtsbehörden und die Benachrichtigung der be- troffenen Person von solchen Verletzungen des Schutzes personen- bezogener Daten die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen außergerichtliche Verfahren und sonstige Streitbeteiligungsverfah- ren zur Beilegung von Streitigkeiten zwischen Verantwortlichen und betroffenen Personen im Zusammenhang mit der Verarbeitung Verhaltensregeln können und sollen dabei durchaus strengere Regelungen als die DSGVO selbst vorsehen, ein Unterschreiten des Datenschutzniveaus sowie die Einschränkungen von Betroffenenrechten ist jedoch unzulässig. Dabei ist insbesondere zu berücksichtigen, dass Verhaltensregeln keine Ein- zelfallüberprüfung zum Gegenstand haben, sondern generell eine abstrakte Wirkung besitzen. Darüber hinaus sollen Verhaltensregeln einen gewissen branchenspezifischen Mehrwert schaffen. Die Datenschutzbehörde genehmigt Verhaltensregeln und veröffentlicht diese auf ihrer Website. Anträge auf Genehmigung von Verhaltensregeln 94 Vgl. DSB, Verhaltensregeln (2020). 99 Datenschutz sind gebührenpflichtig. Zusätzlich zu den Verhaltensregeln müssen auch ent- sprechende Überwachungsstellen eingerichtet werden. Die Einhaltung von Verhaltensregeln erfolgt auf freiwilliger Basis und nicht alle Angehörige einer Branche unterwerfen sich deren Regeln automatisch. In Deutschland gibt es bislang unter anderem Verhaltensregeln für be- stimmte Branchen, wie zum Beispiel für die Telekommunikationsanbieter und für die Ausübung von Direktmarketing. Branchen wie die Internet Ser- vice Provider oder Adressenverlage haben ebenfalls branchenbezogene Verhaltensregeln entwickelt, um datenschutzkonforme Praktiken zu fördern und zu standardisieren.95 Datenschutz-Zertifizierungen dienen dem Nachweis von einzuhaltenden An- forderungen und können für ein IT-Produkt, eine Dienstleistung oder ein Un- ternehmen durchgeführt werden. Unter Verhaltensregeln werden standar- Merksatz disierte branchenspezifische Vorgaben auf einer freiwilligen Basis verstan- den. Reflexionsfragen: Welche drei Kategorien von Mängeln sind aus der Sicht der Informa- Reflexionsfragen tionssicherheit am schwerwiegendsten? Welche Aspekte sind im Rahmen der Notfallplanung zu beachten? Was ist unter „privacy by design“ bzw. unter „privacy by default“ zu verstehen? 95 BfDI - Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Verhal- tensregeln – https://www.bfdi.bund.de/ 100
