Der zweite Teil des DSGVO-Interviews mit Dr. Sebastian Kraska setzt noch einmal beim Thema IT-Sicherheit an und klärt u.a. die Frage, was die Datenschutz-Grundverordnung mit „Stand der Technik“ meint.
Dr. Kraska ist kein IT-Sicherheitsfachmann, aber externer Datenschutzbeauftragter, DSGVO-Experte und Gründer der Münchner IITR Datenschutz GmbH, die sich seit Jahren damit beschäftigt, Datenschutz auch für kleine und mittlere Unternehmen umsetzbar und finanzierbar zu machen. IT-Sicherheit ist dort deshalb ein wunder Punkt, weil mittelständische Unternehmen Cybergangstern und Ransomware-Erpressern zum einen „viel Geld und schöne Beute“ bieten, zum anderen aber digitalen Sicherheitsfragen meist weniger Aufmerksamkeit schenken. Im Selbstverständnis eigentümergeführter Unternehmen gehört ein gewisses Risiko schlicht zum Geschäft. Ein berufenes Management wird dagegen eher hellhörig, wenn Dr. Kraska betont, dass IT-Sicherheit nicht nur im eigenen Interesse der Firma liegt, sondern auch ein heftiges Bußgeldrisiko birgt.
Dieses Risiko hat die DSGVO mit sich gebracht: „Die Schnittmenge zur Datenschutz-Grundverordnung“, sagt Dr. Kraska, ist die Art.-25-Forderung, dass sich die IT-Sicherheit eines Unternehmens am „Stand der Technik“ orientieren müsse. Was nach Gummiparagraf klingt, lässt sich dennoch dingfest machen. Zum einen verweist Dr. Kraska auf entsprechende Publikationen (TeleTrust etc.), zum anderen ist die Definition ex negativo recht eindeutig:
„Es gibt nach unten eine Grenze, wo sich die Experten wohl dann schnell einig sind, was auf jeden Fall nicht mehr als ‚Stand der Technik‘ und branchenüblich und bezahlbar anzusehen ist.“
Live-Systeme mit Windows 7 etwa, seien „nicht mehr vermittelbar“. Erschwerend kommt hinzu, dass sich dieses Haftungsrisiko auch nicht mehr delegieren lässt. Art. 32 DSGVO nimmt sowohl Verantwortliche als auch Auftragsverarbeiter in die Pflicht. So entsteht, was Dr. Kraska als „Haftungsdilemma“ beschreibt:
„Das heißt, da ist ein Haftungsrisiko, das beide betrifft: Unternehmer wie IT-Systemhaus, das die Systeme wartet. Und dieses Haftungsrisiko, das können Sie auch nicht vertraglich wegbekommen.“
Erforderlich sind darum Maßnahmen, die dieses besondere Vertrauensverhältnis zwischen dem beauftragenden Unternehmen und externen IT-Dienstleistern oder Systemhäusern so weit als möglich absichern, etwa durch eine unabhängige Datenschutz-Zertifizierung. Bisher sind zwar noch keine Fälle bekannt, in denen die Aufsichtsbehörden tatsächlich Art.-32-Bußgelder verhängt hätten, aber „das ist halt bei den Juristen so“, warnt Dr. Kraska. „Das wird dann zehn Jahre nicht exekutiert, und dann kommt einer um die Ecke und zieht doch diese Karte.“
Die häufigsten DSGVO-Schwachstellen gibt es laut Dr. Kraska derzeit „bei den formalen Themen, bei der Bindung von Drittdienstleistern und der ausreichenden Dokumentation der eigenen Verarbeitungstätigkeiten“. Dies sind zumindest die Befunde aus seiner Erfahrung und aus dem Fern-Audit-Tool namens PSE (Privacy Status Evaluation), das die IITR Cert GmbH für Unternehmen aufgesetzt hat, um ihnen die Möglichkeit zu geben, von außen ihren Datenschutz-Stauts überprüfen und zertifizieren zu lassen.
Konkrete DSGVO-Lösungen hat IITR mit zwei webbasierten, gut handhabbaren Datenschutz-Managementsystemen (DSMS) auf Lager. Das Datenschutz-Kit ist eine „kostengerechte Komplettlösung für kleinere Unternehmen“ inklusive E-Learning-Schulungsmaterial für die Mitarbeiter. Für Mittelstand und größere Unternehmen gibt es das gleichfalls webbasierte Compliance-Kit, das auf den ISO-Normstandars 27001 (IT-Sicherheit) und 27701 ( Datenschutz-Management) aufbaut.
Mehr Audio und Video zur DSGVO
- Warten und Nichtstun ist nicht mehr opportun (Podcast mit Dr. Kraska, Teil 1)
- Sir Datelot schlägt sich zur Zertifizierung durch (Video zu Schulungen, E-Learning und Konformitätsnachweisen)
