UNSER BLOG

Was bedeutet „Stand der Technik“?

Aus der DSGVO resultiert die Verpflichtung der Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu treffen, um den Schutz personenbezogener Daten sicherzustellen. Dabei soll der Stand der Technik dieser Maßnahmen berücksichtigt werden. Der Artikel zeigt einen methodischen Ansatz, um den Technologiestand der im Unternehmen eingesetzten Maßnahmen zu bestimmen und somit der aus der DSGVO geforderten Dokumentationspflicht nachzugehen.

Man könnte annehmen, alle Unternehmen in ganz Europa befinden sich auf der Zielgeraden zum 25. Mai 2018. Als Vorbereitung wurden endlich die Verarbeitungsprozesse vollständig beschrieben, Risiken im Hinblick auf die personenbezogenen Daten bewertet und eingesetzten Maßnahmen dokumentiert. Auch die Dienstleister wurden nachdrücklich auf die Einhaltung der Datenschutz­richtlinie hingewiesen und entsprechend verpflichtet. Die Kunden wurden elektronisch oder postalisch über die kürzlich bevorstehende oder bereits erfolgte Anpassung der Datenschutzrichtlinie des Unternehmens benachrichtigt. Der Eindruck ist, die wichtigsten Schritte für die Einhaltung der europäischen Datenschutzgrundverordnung (DSGVO) sind getan. Man könnte sich daher entspannt zurücklehnen.

Regelmäßiges Benchmarking

Doch das ist erst der Anfang. Der Artikel 32 DSGVO (Abs. 1) schreibt vor „unter Berücksichtigung des Stands der Technik […] treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Sicherheitsmaßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; […]“.

Was der Gesetzgeber konkret unter „Stand der Technik“ der eingesetzten Maßnahmen versteht und wie die geeigneten Maßnahmen identifiziert werden können, ist in der DSGVO nicht definiert. In diesem Schritt werden die Unternehmen allein gelassen. Wie können also die Verantwortlichen nachweisen, dass sie die eingesetzten Maßnahmen am gesetzlich geforderten „Stand der Technik“ ausgerichtet haben und fortlaufend einhalten?

Bei einer Recherche nach dem Begriff „Stand der Technik“ stößt man schnell auf die „Drei-Stufen-Theorie“ der Kalkar-Entscheidung (vgl. BVerfG, Beschluss vom 8. August 1978 – 2 BvL 8/77) des Bundesverfassungsgerichts. In Anlehnung an die Kalkar-Entscheidung ist „Stand der Technik“ zwischen dem „Stand der Wissenschaft und Forschung“ und den „allgemein anerkannten Regeln der Technik“ anzusiedeln (vgl. Abbildung 1).

Abbildung 1: Drei-Stufen-Theorie in Anlehnung an die Kalkar-Entscheidung

Technische Maßnahmen im Stadium „Stand der Wissenschaft und Forschung“ sind sehr dynamisch in ihrer Entwicklung und gehen mit der Erreichung der Marktreife (oder zumindest mit ihrer Markteinführung) in das Stadium „Stand der Technik“ über. Dort nimmt die Dynamik z. B. durch die Standardisierung der Prozesse ab. Auch technische Maßnahmen im Stadium „allgemein anerkannte Regeln der Technik“ sind am Markt verfügbar. Ihr Innovationsgrad nimmt ab, sie haben sich jedoch in der Praxis bewährt und werden in den entsprechenden Standards beschrieben.

Zusammenfassend und einfach ausgedrückt: Der „Stand der Technik“ ist innovativer als die „allgemein anerkannten Regeln der Technik“ und veralteter gegenüber dem „Stand der Wissenschaft und Forschung“ (vgl. Lawicki, in <kes> Spezial, März 2017, S. 45-46).

Mit dem Artikel 32 DSGVO hat der Gesetzgeber also die Vorgabe geschaffen, nach der sich die im Unternehmen eingesetzten Maßnahmen an den am Markt verfügbaren innovativsten Maßnahmen orientieren sollen.

Für die Bewertung von technischen und organisatorischen Maßnahmen im Bereich der IT-Sicherheit sind in der DSGVO keine messbaren Kriterien definiert. Daher können also die eingesetzten Maßnahmen (oder am Markt verfügbaren Produkte) nicht anhand einer vom Gesetzgeber vorgegebenen Metrik bewertet werden.

Um den geforderten Nachweis nach der Orientierung eigener Maßnahmen nach der bestmöglichen und fortschrittlichen Maßnahme zu erbringen, reicht es nicht aus, die eingesetzten Maßnahmen zu dokumentieren und diese durch die regelmäßige Installation von s.g. Patches zu aktualisieren. Ein solcher Nachweis kann nur gelingen, in dem die eingesetzte Maßnahme mit den am Markt verfügbaren Alternativen verglichen wird. Hierfür sollte eine transparente Benchmarking-Methode (vgl. Abbildung 2) eingesetzt werden, mit der die eingesetzte Maßnahme in regelmäßigen Abständen überprüft wird.

Abbildung 2: Beispiel eines Benchmark-Vergleichs

Erweiterte Leistungsmerkmale

Bei einem Vergleich von technischen Maßnahmen, sollten neben den üblicherweise verglichenen Leistungsmerkmalen auch die Dimensionen „Eignung“, „Fortschrittlichkeit“, „Anerkennung“ und „Praxisbewährung“ verwendet werden.

  • Eignung
    Klar ist, dass die eingesetzte Maßnahme für ihren Einsatzzweck geeignet und an die sich verändernde Bedrohungslage und neue Angriffsszenarien anpassbar sein soll. Die technische Eignungsprüfung (z.B. Penetrationstest) kann nur bei der eingesetzten, sich im Zugriff befindenden, Maßnahme erfolgen. Maßnahmen, die am Markt gehandelt werden, stehen für eine solche Untersuchung nicht zur Verfügung. Diese Dimension sollte also weiter gefasst sein. Ein Beispiel hierfür sind die Ergebnisse von Maßnahmen-Untersuchungen durch unabhängige Gremien.
  • Fortschrittlichkeit
    Aufgrund des technologischen Fortschritts sollte alle zwei bis drei Jahre mit einer signifikanten Verbesserung der am Markt verfügbaren technischen Maßnahmen gerechnet werden. Die Untersuchung der Fortschrittlichkeit sollte darüber hinaus auch den Innovationsgrad und die mögliche Weiterentwicklung der eigenen Maßnahme berücksichtigen.
  • Anerkennung
    Bei der Bewertung der Anerkennung sollte berücksichtigt werden, inwiefern eine technische Maßnahme sich bspw. an internationalen anerkannten Standards orientiert. Vielmals sprechen anerkannte Gremien oder Verbände Empfehlungen für den Einsatz bestimmter Maßnahmen (meist ohne Nennung von Produkten) aus.
  • Praxisbewährung
    Die Praxisbewährung könnte angenommen werden, wenn eine Maßnahme am Markt verfügbar ist. Jedoch sollten zudem noch weitere Fragen mit Fokus auf den vorgesehenen Einsatzbereich und die erreichte Robustheit der Maßnahme im Vergleich Berücksichtigung finden.

Basierend auf dem Benchmark-Vergleich sollte die Dokumentation eingesetzter Maßnahmen ergänzt werden. Erst danach sollte die wirtschaftliche Betrachtung mit anschließender Auswahl und Begründung der Auswahl dokumentiert werden (vgl. Abbildung 3).

Abbildung 3: Ergänzung der Dokumentation eingesetzter und ausgewählter Maßnahmen

Externe Unterstützung

Der Datenschutz genießt einen hohen Stellenwert. Durch die Vorgaben aus der DSGVO müssen die Verantwortlichen unternehmensweite Strategien am geforderten Sicherheitsniveau nachhaltig ausrichten. Das bedeutet die IT-Sicherheit als wichtige Säule in der Sicherung des Datenschutzes zu sehen, sie fortlaufend zu überprüfen und ggfs. nachzubessern.

Die Berücksichtigung und Einhaltung vom Stand der Technik bei eingesetzten Maßnahmen setzt einen Vergleich von Maßnahmen voraus. Ein solcher Vergleich ist oftmals schwierig eigenständig nachvollziehbar durchzuführen. Daher ist es allenfalls sinnvoll, eine zielgerichtete und produktunabhängige Bewertung durch einen neutralen Dritten (z. B. Sachverständigen) vorzunehmen.

Erstmalig erschienen im icherheit & Datenschutz (Sonderbeilage der Zeitschrift iX 06/2018)

Tomasz Lawicki_100x100

TOMASZ LAWICKI
Mehr über Tomasz Lawicki

Tomasz LawickiWas bedeutet „Stand der Technik“?

Related Posts

Take a look at these posts