Informationssicherheit in den Behörden – was ändert sich durch die EU-Datenschutz-Grundverordnung?

Jetzt bewerten!

Newsletter Februar 2018:

Der folgende Beitrag befasst sich mit den Auswirkungen der EU-Datenschutz-Grundverordnung auf die Pflichten der bayerischen Behörden zur Gewährleistung von Informationssicherheit.  

I. Gewährleistung von Informationssicherheit als Behördenaufgabe

Die Gewährleistung von Informationssicherheit in den Behörden ist und bleibt eine Herausforderung. Dies belegt auch die aktuelle Cyber-Sicherheits-Umfrage 2017, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Rahmen der Allianz für Cyber-Sicherheit durchgeführt hat und an der ca. 900 Unternehmen und Institutionen (auch aus dem öffentlichen Dienst) teilnahmen. Knapp 70 Prozent der befragten Unternehmen und Institutionen in Deutschland sind in den Jahren 2016 und 2017 Opfer von Cyber-Angriffen geworden:

 

EGovernment-Abb-0218.jpg

Quelle: Allianz für Cyber-Sicherheit (Hrsg.), Ergebnisse der Cyber-Sicherheits-Umfrage 2017, S. 4.

 

In knapp der Hälfte der Fälle waren die Angreifer erfolgreich und konnten sich zum Beispiel Zugang zu IT-Systemen verschaffen, die Funktionsweise von IT-Systemen beeinflussen oder Internet-Auftritte von Firmen manipulieren. Jeder zweite erfolgreiche Angriff führte dabei zu Produktions- bzw. Betriebsausfällen. Hinzu kamen häufig noch Kosten für die Aufklärung der Vorfälle und die Wiederherstellung der IT-Systeme sowie Reputationsschäden.

 

II. Gesetzliche Anforderungen an die Gewährleistung von Informationssicherheit

Aufgrund dieser Gefährdungslage und weil die Sicherheit in der Informationstechnik eine unerlässliche Voraussetzung für gelingendes E-Government ist, enthält das Bayerische E-Government-Gesetz (BayEGovG) auch diesbezügliche Pflichten für die Behörden. Art. 11 Abs. 1 BayEGovG1 verpflichtet die Behörden (u.a. staatliche Behörden, Landratsämter und Kommunen) dazu, die Sicherheit ihrer informationstechnischen Systeme im Rahmen der Verhältnismäßigkeit sicherzustellen. Zur Umsetzung dieser Verpflichtung müssen die Behörden angemessene technische und organisatorische Maßnahmen treffen und die hierzu erforderlichen Informationssicherheitskonzepte erstellen; der Gesetzgeber sieht hierfür derzeit eine Umsetzungsfrist bis 01.01.2019 vor.

 

III. Technisch-organisatorische Maßnahmen gem. Art. 7 BayDSG

Bei den konkret zu treffenden Maßnahmen wird in Art 11 Abs. 1 BayEGovG auf Art. 7 Bayerisches Datenschutzgesetz (BayDSG) verwiesen. Die Maßnahmen müssen daher angemessen und je nach Art der zu schützenden Daten insbesondere geeignet sein, um

  • Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen Daten verarbeitet werden, zu verwehren (Zugangskontrolle),
  • zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle),
  • die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter Daten zu verhindern (Speicherkontrolle),
  • zu verhindern, dass Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können (Benutzerkontrolle),
  • zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle),
  • zu gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen Daten durch Einrichtungen zur Datenübertragung übermittelt werden können (Übermittlungskontrolle),
  • zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, welche Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),
  • zu gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  • zu verhindern, dass bei der Übertragung von Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle),
  • die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen der Informationssicherheit und des Datenschutzes gerecht wird (Organisationskontrolle); hierzu ausführlich: Denkhaus/Geiger, Praxishandbuch zum Bayerischen E-Government-Gesetz, 2017, S. 152 ff.

 

IV. Aktueller Anpassungsbedarf infolge der Datenschutz-Grundverordnung

Den vorstehend genannten Maßnahmenkatalog nach Art. 7 BayDSG, auf den Art. 11 Abs. 1 BayEGovG verweist, wird es ab 25.05.2018 in dieser Form nicht mehr geben. Vierzig Jahre nach dem Inkrafttreten des ersten Bayerischen Datenschutzgesetzes kommt es zu einer weitreichenden Datenschutzreform. Ab dem 25.05.2018 gilt in der gesamten Europäischen Union − und damit auch im Freistaat Bayern − unmittelbar die EU-Datenschutz-Grundverordnung (DSGVO). Art. 11 Abs. 1 BayEGovG soll daher entsprechend geändert werden (zur Änderung des BayDSG im Rahmen der Umsetzung der DSGVO vgl. LT-Drs. 17/19628 vom 12.12.2017; zu den aktuell ebenfalls geplanten gesetzlichen Änderungen des BayEGovG wird in einem späteren Newsletter eingehend berichtet).  

 

Was bedeutet das nun für die Praxis?

 

Die zu treffenden Maßnahmen richten sich ab 25.05.2018 insbesondere nach Art. 32 DSGVO. Hiernach sind

 

  • unter Berücksichtigung des Standes der Technik,
  • der Implementierungskosten und
  • der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie
  • der unterschiedlichen Eintrittswahrscheinlichkeit und
  • Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen

 

technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

 

Diese Maßnahmen schließen unter anderem Folgendes ein:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (Art. 32 Abs. 1 DSGVO).

 

Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind (Art. 32 Abs. 2 DSGVO).

 

Eine Auflistung von technischen und organisatorischen Maßnahmen, wie sie bisher in Art. 7 BayDSG enthalten war („Zehn Gebot"), sieht die Datenschutz-Grundverordnung nicht mehr vor. In Art. 32 DSGVO werden jedoch einige Maßnahmen und Schutzziele in Bezug auf die Technik und Sicherheit der Datenverarbeitung aufgeführt. Auch wenn hier teilweise neue Begrifflichkeiten und Systematiken verwendet werden, finden sich doch letztlich wesentliche, bisher schon aus dem Bayerischen Datenschutzgesetz abgeleiteten Sicherheitsanforderungen auch in der Datenschutz-Grundverordnung wieder, insbesondere:

 

  • Vertraulichkeit: Schutz vor unbefugter Kenntnisnahme der Daten;
  • Integrität: Gewährleistung der Echtheit, Vollständigkeit, Zurechenbarkeit, Urheberschaft und (Rechts-)Gültigkeit der Daten.
  • Belastbarkeit: Dies ist ein neuer Begriff, der bisher im Datenschutzbereich nicht verwendet wurde. Im IT-Bereich ist mit „Resilienc" üblicherweise eine gewisse Stabilität gegenüber Ausfällen oder Angriffen − wie etwa „Denial of Service“-Angriffen − gemeint.
  • Wiederherstellbarkeit: Dieser Begriff wurde bisher ebenfalls nicht als eigenständiges Schutzziel verwendet. Hierunter fallen z.B. Notfallkonzepte, um nach einem Ausfall oder Angriff schnell wieder betriebsbereit zu sein.
  • Pseudonymisierung, Verschlüsselung: Diese beiden Maßnahmen dienen den Zielen der Vertraulichkeit und Integrität.

 

V. Konsequenzen für die Verwaltungspraxis und Ausblick

Die von den Behörden für die Sicherheit ihrer informationstechnischen Systeme im Sinne von Art. 11 Abs. 1 BayEGovG zu treffenden technischen und organisatorischen Maßnahmen ändern sich daher durch die DSGVO nicht zwangsläufig, auch wenn hier teilweise andere Begrifflichkeiten und Schutzziele verwendet werden. Neben den „neuen“ Schutzzielen (s.o. IV.) fordert die DSGVO allerdings insbesondere „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“. Ein bloßes Konzept, das die ergriffenen technischen und organisatorischen Maßnahmen lediglich checklistenartig auflistet und nicht „gelebt“ wird, reicht nicht aus.

 

Insgesamt dürfte die DSGVO im Bereich der IT-Sicherheit zwar nicht mit einer Revolution, wohl aber mit einer Evolution der rechtlichen Anforderungen an die behördliche Informationssicherheit verbunden sein. Die genauen Implikationen des neuen EU-Rechtsrahmen lassen sich allerdings erst beurteilen, wenn der Landesgesetzgeber die erforderlichen Anpassungen auch im Rahmen der Art. 9 ff. BayEGovG vorgenommen hat. 

 

Dr. Wolfgang Denkhaus und Klaus Geiger

 



1 Bis 30.11.2017 waren diese Pflichten in Art. 8 Abs. 1 BayEGovG geregelt.

Mein Kommentar
Sie sind nicht eingeloggt
Bitte benachrichtigen Sie mich bei neuen Kommentaren.
Ihr Kommentar erscheint unter Verwendung Ihres Namens. Weitere Einzelheiten zur Speicherung und Nutzung Ihrer Daten finden Sie in unserer Datenschutzerklärung.
0 Kommentare zu diesem Beitrag
banner-e-government.png
rehm_e-line_banner_355x355_L1_Var1.jpg
Login
 
Wie können wir Ihnen weiterhelfen?
Kostenlose Hotline: 0800-2183-333
Kontaktformular

Gerne können Sie auch unser Kontaktformular benutzen und wir melden uns bei Ihnen.

Kontaktformular
Beste Antworten. Mit den kostenlosen rehm Newslettern.
Jetzt aus zahlreichen Themen wählen und gratis abonnieren  

Kundenservice

  • Montag – Donnerstag 8-17 Uhr
  • Freitag 8-15 Uhr
  • Sie können uns auch über unser Kontaktformular Ihre Fragen und Anregungen mitteilen.

Verlag und Marken

Unsere Themen und Produkte

 

Service

Rechtliches

Partner der



Zahlungsarten 

Rechnung Bankeinzug   MastercardVisa

PayPal Giropay Sofortüberweisung