Informationssicherheit in den Behörden – was sich durch die EU-Datenschutz-Grundverordnung ändert

Jetzt bewerten!

Newsletter Juli 2018:

Der folgende Beitrag befasst sich mit den Auswirkungen der EU-Datenschutz-Grundverordnung (DSGVO) und des Gesetzes zum weiteren Nachvollzug der Datenschutz-Grundverordnung im Landesrecht vom 18.05.2018 (GVBl. S. 341) auf die Pflichten der bayerischen Behörden zur Gewährleistung von Informationssicherheit.


I. Veränderte gesetzliche Anforderungen an die behördliche Informationssicherheit


Die Gewährleistung von Informationssicherheit in den Behörden ist und bleibt eine Herausforderung. Aufgrund der unverändert bestehenden Gefährdungslage und weil die Sicherheit in der Informationstechnik eine unerlässliche Voraussetzung für gelingendes E-Government ist, enthält das Bayerische E-Government-Gesetz (BayEGovG) auch diesbezügliche Pflichten für die Behörden. Art. 11 Abs. 1 BayEGovG1 verpflichtet die Behörden (u.a. staatliche Behörden, Landratsämter und Kommunen) dazu, die Sicherheit ihrer informationstechnischen im Rahmen der Verhältnismäßigkeit sicherzustellen.

 

Das Gesetz zum weiteren Nachvollzug der Datenschutz-Grundverordnung im Landesrecht vom 18.5.2018 (GVBl. S. 341) nimmt in diesem Zusammenhang zwei praxisbedeutsame Änderungen vor:

  • Änderung von Art. 11 Abs. 1 Satz 2 BayEGovG:
    Die von den Behörden für die Sicherheit ihrer informationstechnischen Systeme zu treffendenden technischen und organisatorischen Maßnahmen richten sich seit 25.5.2018 nach Art. 32 DSGVO und Art. 32 BayDSG.

  • Fristverlängerung:
    Die Frist zum Erstellen der erforderlichen Informationssicherheitskonzepte wurde von 1.1.2019 auf 1.1.2020 verlängert (Art. 19 Abs. 2 Satz 2 Nr. 3 BayEGovG).


 

II. Maßnahmen nach Art. 32 DSGVO und Art. 32 BayDSG (seit 25.5.2018)


Die für die Sicherheit der behördlichen informationstechnischen Systeme zu treffenden Maßnahmen richten sich seit 25.05.2018 insbesondere nach Art. 32 DSGVO.


Hiernach sind

  • unter Berücksichtigung des Stands der Technik,

  • der Implementierungskosten und

  • der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie

  • der unterschiedlichen Eintrittswahrscheinlichkeit und

  • Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen


technische und organisatorische Maßnahmen
zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

 

Diese Maßnahmen schließen unter anderem Folgendes ein:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (Art. 32 Abs. 1 DSGVO).

 

Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind (Art. 32 Abs. 2 DSGVO).

 

Die weitgehend abstrakten Vorgaben aus Art. 32 DSGVO werden durch Art. 32 BayDSG konkretisiert, auf den Art. 11 Abs. 1 Satz 2 BayEGovG Bezug nimmt.

 

Hiernach sind im Fall einer automatisierten Verarbeitung auf Grundlage einer Risikobewertung Maßnahmen zu ergreifen, die geeignet sind, um

1. Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zugangskontrolle),

2. die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).

3. zu verhindern, dass

a) Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle),


b) personenbezogene Daten unbefugt eingegeben werden sowie gespeicherte personenbezogene Daten unbefugt gelesen, verändert oder gelöscht werden (Speicherkontrolle),


c) automatisierte Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können (Benutzerkontrolle),

d) bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle),

4. zu gewährleisten, dass

a) die zur Benutzung eines automatisierten Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle),


b) überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),


c) nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in automatisierte Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),


d) eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellung),


e) alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),


f) gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können
(Datenintegrität),


g) personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Verantwortlichen verarbeitet werden können (Auftragskontrolle).

 

 

III. Wesentliche Änderungen für die Praxis


Die die Schutzziele aus Art. 32 DSGVO konkretisierenden Maßnahmen nach Art. 32 BayDSG entsprechen weitgehend den bis 24.5.2018 geltenden technischen und organisatorischen Maßnahmen nach Art. 7 Abs. 2 BayDSG a.F..

 

Bereits nach bisheriger Rechtslage mussten die zu treffenden technischen und organisatorischen Maßnahmen angemessen und je nach Art der zu schützenden Daten insbesondere geeignet sein, um

  • Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen Daten verarbeitet werden, zu verwehren (Zugangskontrolle),

  • zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle),

  • die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter Daten zu verhindern (Speicherkontrolle),

  • zu verhindern, dass Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können (Benutzerkontrolle),

  • zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle),

  • zu gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen Daten durch Einrichtungen zur Datenübertragung übermittelt werden können (Übermittlungskontrolle),

  • zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, welche Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),

  • zu gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

  • zu verhindern, dass bei der Übertragung von Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle),

  • die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen der Informationssicherheit und des Datenschutzes gerecht wird (Organisationskontrolle); hierzu ausführlich: Denkhaus/Geiger, Praxishandbuch zum Bayerischen E-Government-Gesetz, 2017, S. 152 ff.

 

Ergänzend zu diesen bereits bekannten Maßnahmen („Zehn Gebote der Informations-sicherheit“) müssen nach Art. 32 DSGVO und Art. 32 BayDSG seit 25.5.2018 Maßnahmen ergriffen werden, die geeignet sind, dass

  • eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellung),

  • alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),

  • gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität).

 

IV. Fazit


Die von den Behörden für die Sicherheit ihrer informationstechnischen Systeme im Sinne von Art. 11 Abs. 1 BayEGovG zu treffenden technischen und organisatorischen Maßnahmen ändern sich durch die DSGVO nicht grundlegend, auch wenn hier teilweise andere Begrifflichkeiten und Schutzziele verwendet werden. Die konkretisierenden Maßnahmen nach Art. 32 BayDSG entsprechenden weitgehend den bereits bekannten technischen und organisatorischen Maßnahmen nach Art. 7 BayDSG a.F. (s.o. Abschnitt III.).

 

Die DSGVO fordert insbesondere ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (Art. 32 Abs. 1 Buchst. d DSGVO). Ein bloßes Konzept, das die ergriffenen technischen und organisatorischen Maßnahmen lediglich checklistenartig auflistet und nicht „gelebt“ wird, reicht daher nicht aus.

 

Im Ergebnis führt die DSGVO damit im Bereich der Informationssicherheit nicht zu einer Revolution, sondern zu einer Evolution der bisherigen rechtlichen Anforderungen an die behördliche Informationssicherheit.


 

Klaus Geiger, Bayerischer Landkreistag
Dr. Wolfgang Denkhaus, Bayerische Staatskanzlei

´


1 Bis 30.11.2017 waren diese Pflichten in Art. 8 Abs. 1 BayEGovG geregelt.

Mein Kommentar
Sie sind nicht eingeloggt
Bitte benachrichtigen Sie mich bei neuen Kommentaren.

Sicherheitskontrolle: Bitte rechnen Sie die Werte aus und tragen Sie das Ergebnis in das dafür vorgesehene Feld ein. *

0 Kommentare zu diesem Beitrag
Anmelden
 
Wie können wir Ihnen weiterhelfen?
Kostenlose Hotline: 0800-2183-333
Kontaktformular

Gerne können Sie auch unser Kontaktformular benutzen und wir melden uns bei Ihnen.

Kontaktformular
Beste Antworten. Mit den kostenlosen rehm Newslettern.
Jetzt aus zahlreichen Themen wählen und gratis abonnieren  

Kundenservice

  • +49 0800-2183-333
  • Montag - Donnerstag:    8-17 Uhr
  • Freitag:                           8-15 Uhr
  • Sie können uns auch über unser Kontaktformular Ihre Fragen und Anregungen mitteilen.

Verlag und Marken

Unsere Themen und Produkte

 

Service

 

Rechtliches

Zahlungsarten 

Rechnung Bankeinzug   MastercardVisa

PayPal Giropay Sofortüberweisung