Datenschutz und elementare Gefahren

Datenschutz und elementare Katastrophen

An den Datenschutz und elementare Gefahren wie Stromausfälle, Überflutungen, Brände, Erdbeben etc. denken viele wahrscheinlich nicht in einem Satz. Es besteht auch kein direkter, aber ein indirekter Zusammenhang mit elementaren Ereignissen und dem Datenschutz und der Datensicherheit. In diesem Beitrag erklären wir, warum ein Verantwortlicher solche Gefahren dennoch nicht außer Acht lassen sollte.

Elementare Gefahren

Wenn Interessenten sich die eigentliche Definition von elementaren Gefahren ansehen, erfahren sie, dass es sich dabei um Schäden, die von der Natur verursacht werden, handelt. Dies können beispielsweise folgende sein:

1)    Hagel,

2)    Erdrutsche,

3)    Blitzeinschläge,

4)    Überschwemmungen oder auch

6)    Lawinen etc.

Diese können zu

1)    Stromausfällen,

2)    Feuer und u. a.

3)    Leitungsbrüchen usw.

führen.

Wenn wir allerdings einen Blick in das BSI IT-Grundschutz-Kompendium werfen, wird ersichtlich, dass das BSI den Begriff weiter zu fassen scheint. In dem Dokument listet es beispielsweise auch folgende Schäden als Elementarschäden:

1)    Diebstahl von Geräten,

2)    Missbrauch von Berechtigungen,

3)    Ausfall von Personal,

4)    Manipulation von Hard- und Software,

5)    Sabotage,

6)    Social Engineering oder auch

7)    Schadprogramme u. v. m.

Demnach entsteht der Eindruck, dass das BSI jegliche Gefährdungen von außen bzw. solche, die er nicht als Verantwortlicher an sich verursacht, als elementare Gefährdungen einstuft.

Ein Datenschutzvorfall im Zusammenhang mit einem Schaden aufgrund einer elementaren Gefährdung

Wie so oft ist auch hier die Antwort, dass man den Fall näher betrachten muss, um dies entscheiden zu können. Bei nicht jeder Überschwemmung oder bei nicht jedem Feuer handelt es sich um einen Datenschutzvorfall – umgangssprachlich: Datenpanne. Ein Datenschutzvorfall bzw. eine Datenschutzverletzung liegt vor, wenn es gemäß Art. 4 Nr. 12 DSGVO zu einer unbefugten Verarbeitung personenbezogener Daten kommt. Dabei sollten wir auch erneut den Begriff der Verarbeitung gemäß der DSGVO heranziehen; die Verarbeitung beginnt grob zusammengefasst mit der möglichen Erfassung von personenbezogenen Daten und liegt bis zum Löschen oder Vernichten dieser vor. Wenn also beispielswiese bei einer Überschwemmung Dokumente mit personenbezogener Daten vernichtet werden, also die Informationen oder selbst Abschnitte davon nicht mehr lesbar und somit unbrauchbar sind, handelt es sich um einen Datenschutzvorfall. Genauso handelt es sich um einen Datenschutzvorfall, wenn durch ein Feuer in einem Gebäude die Server, die personenbezogene Daten enthalten, zerstört werden.

Meldepflicht bei einem Datenschutzvorfall

Nicht jeder Datenschutzvorfall ist meldepflichtig – mehr dazu hier. Wenn ein USB-Stick gestohlen wird und die Daten darauf effektiv verschlüsselt sind, ist es nicht zwangsläufig ein meldepflichtiger Vorfall. Durch die Verschlüsselung ist davon auszugehen, dass die Vertraulichkeit gemäß Art. 5 Abs. 1 lit. f) DSGVO i. V. m. Art. 32 Abs. 1 lit. b) DSGVO gewahrt wird. Bei einem Schaden an einem Server handelt es sich nicht unbedingt um einen meldepflichtigen Vorfall, wenn es redundante Backupserver gibt, auch da der Verantwortliche die Verfügbarkeit der personenbezogenen Daten (siehe Art. 5 Abs. 1 lit. f DSGVO i. V. m. Art. 32 Abs. 1 lit. c) DSGVO) gewährleistet. Ein Verantwortlicher muss den Vorfall also untersuchen und eine entsprechende Einschätzung treffen.

Technische und organisatorische Maßnahmen zum Schutz vor einem Datenschutzvorfall

Datenschutzvorfälle, die als Folge einer elementaren Gefahr wie beispielsweise Großveranstaltungen in der Umgebung, wodurch es zu Stromausfällen kommen kann, entstehen, kann ein Verantwortlicher vermeiden. Empfehlenswert hierzu ist es, technische und organisatorische Maßnahmen zu implementieren. Mögliche Maßnahmen sind vielfältig. Selbst einfach erscheinende Maßnahmen können effektiv sein. Allgemeine Beispiele für sowohl technische als auch organisatorische Maßnahmen sind folgende:

1)    Regelmäßige, angemessen häufige Backups von personenbezogenen Daten,

2)    Zutrittsbegrenzung bzw. -kontrolle zu Rechenzentren durch Einsatz von Chips, PIN, Passwörter o. Ä.,

3)    Verwendung möglichst feuerresistenter Materialien beim Gebäudebau (z. B. beim Bau eines Rechenzentrums, sofern ein Verantwortlicher bei der Wahl der Materialien Einfluss üben kann),

4)    ständiges Verschlossenhalten bzw. Zutrittssicherung von Eintrittsmöglichkeiten (Fenster, Türen, Tore etc.),

5)    Aufbewahrung der Backups an einem anderen Ort als an dem, wo sich die Ursprungsdaten befinden (physische Trennung),

6)    in Gebieten mit möglicher Überschwemmungsgefahr höher gelegene Aufbewahrung personenbezogener Daten und auch

7)    Einsatz von Verschlüsselungsverfahren u. v. m.

Wie immer gilt, dass die Liste möglicher Maßnahmen hierbei nicht ausgeschöpft ist. Ein Verantwortlicher sollte auch entscheiden, welche Maßnahme tatsächlich angebracht ist. Je nach Natur der jeweiligen Umstände kann eine Maßnahme in einem Gebiet angemessener sein als dieselbe Maßnahme in einem anderen. So würde beispielsweise eine bestimmte Bauweise zum Gebäudeeinbruchschutz bei einem Erdbeben in einem Gebiet, in dem es häufiger zu Erderschütterungen kommt, sinnvoller sein als in einer Region, die seit Jahrhunderten kein solches Ereignis erlebt hat.

Dokumentation

Die Dokumentation ist keinesfalls zu vergessen, dies weder vor Eintritt eines elementaren Ereignisses noch danach. Bevor eine elementare Gefahr zu einem Schaden führt, muss ein Verantwortlicher, um seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachzukommen, dokumentieren, welche Maßnahmen er zum Schutz und zur Sicherheit personenbezogener Daten ergriffen hat.

Kommt es zu einem Datenschutzvorfall, hat ein Verantwortlicher dies auch zu dokumentieren. Dabei ist es egal, ob es sich um einen meldepflichtigen Datenschutzvorfall handelt oder nicht.

Weitere datenschutzrechtliche Dokumente als Bestandteil eines Datenschutz-Management-Systems

Je nach Art und Natur des Verarbeitungsprozesses kann es möglich sein, dass ein Verantwortlicher eine Datenschutz-Folgenabschätzung durchführen muss. Auch dabei sollte er elementare Gefahren in Betracht ziehen. Dass dabei die Nennung von entsprechenden technischen und organisatorischen Maßnahmen mit inbegriffen ist, ergibt sich von selbst. Auch in den Richtlinien sollten Verantwortliche auf elementare Gefahren eingehen. Ein Auftragsverarbeiter sollte dem Auftraggeber die technischen und organisatorischen Maßnahmen, die er zum Schutz und zur Sicherheit von dessen Daten ergriffen hat, nachweisen können.

Letztendlich sind einem Verantwortlichen keine Grenzen gesetzt, in welchen Dokumenten er wie auf elementare Gefahren und die gegen diese eingesetzten technischen und organisatorischen Maßnahmen eingeht. Ein Verantwortlicher muss die Umsetzung nachweisen können.

Fazit

All diese Maßnahmen helfen einer Einrichtung, Datenschutzvorfälle, Bußgelder, Schadenersatzansprüche oder Abmahnungen zu vermeiden. Wir können Sie beraten und bei Bedarf gern mit Ihnen an einem kompletten Datenschutz-Management-System arbeiten. Zögern Sie nicht, uns zu kontaktieren.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.