Gegenüberstellung – Sicherheit der Datenverarbeitung nach BDSG zu JI-RL und DSGVO
Sowohl die Datenschutz-Grundverordnung (DSGVO – EU 2016/679) als auch Teil 3 des BDSG, der die JI-Richtlinie (JI-RL – EU 2016/680) in Bundesrecht umsetzt, enthalten Regelungen zur Sicherheit der Datenverarbeitung. Die Gegenüberstellung der europäischen Regelungstexte und der deutschen Umsetzung zeigt viele Gemeinsamkeiten, offenbart aber auch bedeutsame Unterschiede.
(Dieser Beitrag wurde veröffentlicht in Johannes ZD-Aktuell 2019, 06875.)
§ 64 BDS und Art. 29 JI-RL sowie Art. 32 DSGVO normieren und spezifizieren die Pflicht des Verantwortlichen, für die Sicherheit der Datenverarbeitung Sorge zu tragen. Die Vorschriften konkretisieren den noch allgemein gehaltenen Grundsatz auf Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f DSGVO sowie Art. 4 Abs. 1 lit f. JI-RL und § 47 Nr, 7 BDSG hin zu verbindlicheren rechtlichen Kriterien und Gestaltungszielen. (Johannes/Weinhold, Das neue Datenschutzrecht bei Polizei und Justiz, 2018, § 1 Rn. 138, 240). Gerade die Gewährleistung von IT-Sicherheit durch die zuständigen Behörden der Gefahrenabwehr und Strafverfolgung ist von herausragender Bedeutung zur Vertrauensbildung und Durchsetzung des Rechtsstaatsprinzips. Eingriffe in das Recht auf informationelle Selbstbestimmung und das Recht auf Datenschutz nach der Grundrechtecharta sind nur zu rechtfertigen, wenn die Verarbeitung der Daten gesichert und vertraulich geschieht.
Zusammenfassung der Gegenüberstellung
§ 64 BDSG setzt Art. 29 JI-RL. Dabei verändert der Gesetzgeber aber Wortlaut und Aufbau der Vorschrift und ergänzt sie um Regelungsinhalte aus Art. 32 Abs. 2 DSGVO und dem BDSG aF (Johannes/Weinhold, in: Sydow BDSG 2020, § 64 Rn. 5)
Aus der Wendung „unter Berücksichtigung […] der […] Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ wird in Abs. 1 S. 1 „unter Berücksichtigung […] der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen.“ Statt „geeignete“ Maßnahmen müssen nach Abs. S. 1 „erforderliche“ Maßnahmen getroffen werden. Für den Hinweis auf Richtlinien des Bundesamts für die Sicherheit in der Informationstechnik in Abs. 1 S. 2 findet sich in der JI-RL keine Entsprechung.
Auch für Abs. 2 findet sich keine Entsprechung in der JI-RL. Der Bundesgesetzgeber übernimmt hier Inhalte des Art. 32 Abs. 1 lit. a bis c DSGVO. Die in Abs. 3 aufgezählten Anforderungen decken sich weitestgehend mit Art. 29 Abs. 2 Satz 1 JI-RL. Die in Art. 29 Abs. 2 Satz 1 lit. j JI-RL werden aufgeteilt in § 64 Abs. 3 Nr. 10 und 11. Die Anforderungen in § 64 Abs. 3 Nr. 12 bis 14 BDSG wurden aus Nr. 6 bis 8 aus Satz 2 Anlage zu § 9 Satz 1 BDSG aF entnommen. Art. 29 Abs. 2 Satz 2 JI-RL hatte Satz 3 der Anlage zu § 9 Satz 1 BDSG aF zum Vorbild (Johannes/Weinhold, in: Sydow BDSG 2020, § 64 Rn. 5).
§ 64 BDSG und Art. 29 JI-RL finden ihre Entsprechung in Art. 32 DSGVO. Der Wortlaut der jeweiligen ersten Absätze ähnelt sich sehr. Die in Art. 29 Abs. 1 lit. a bis d DSGVO enthaltenen Vorgaben wurden in § 64 Abs. 2 als Regelbeispiele für verschiedene Maßnahmen in Satz 1 und Gewährleistungsziele in Satz 2 übernommen. Die DSGVO enthält in Art. 32 Abs. 2 bis 4 noch Bestimmungen zur Datensicherheit, die die JI-RL nicht kennt, wie zum Beispiel die Berücksichtigung von Zertifizierungen.
Auswertung der Gegenüberstellung
§ 64 beschreibt Pflichten des Verantwortlichen und des Auftragsverarbeiters. Die Einhaltung der Pflichten ist konstitutiv für die Rechtmäßigkeit von Verarbeitungen. Auch zulässige Verarbeitungen sind unrechtmäßig, wenn die nach § 64 erforderlichen Maßnahmen nicht getroffen werden. Datenschutz und Datensicherheit gehen Hand in Hand (Hof DuD 2014, 601). Datensicherheit in diesem Sinne liegt insbesondere vor, wenn Vertraulichkeit, Integrität und Verfügbarkeit von personenbezogenen Daten sowie die Belastbarkeit der Systeme gewährleistet sind (DSK, Das Standard-Datenschutzmodell – Eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele, v.2.0, 2019).
§ 64 BDSG verankert die Datensicherheit als Pflicht. Die Vorschrift ist konkret genug ausgestaltet und ausdifferenzierter als Art. 32 DSGVO. Insbesondere die Gestaltungsziele in Abs. 3 geben dem Verantwortlichen Orientierung. Hinsichtlich der zu treffenden Risikoabschätzungen, der Festlegung des Schutzniveaus und auch der zu treffenden Maßnahmen ist es aufgrund des Hinweises in § 64 Abs. 1 Satz 2 BDSG verpflichtend, sich auf die Methodik des IT-Grundschutzes des BSI zu stützen. Zu Bestimmung der Risiken und Ausdifferenzierung müssen aber auch die Vorgaben weiterer Kriterienkataloge und Handlungsempfehlungen herangezogen werden, wie etwa das Standard-Datenschutzmodell der DSK. Über den Baustein „CON.2 Datenschutz“ der Grundschutzmethodik des BSI soll zukünftig das Standard-Datenschutzmodell in die Grundschutzmethodik berücksichtigt werden.
Gegenüberstellung der Vorschriften
BDSG n.F. | JI-Richtlinie | DSGVO |
§ 64 – Anforderungen an die Sicherheit der Datenverarbeitung | Art. 29 – Sicherheit der Verarbeitung | Art. 32 – Sicherheit der Verarbeitung |
(1) 1Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. 2Der Verantwortliche hat hierbei die einschlägigen Technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen. | (1) Die Mitgliedstaaten sehen vor, dass der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Artikel 10. | (1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein |
(2) 1Die in Absatz 1 genannten Maßnahmen können unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten umfassen, soweit solche Mittel in Anbetracht der Verarbeitungszwecke möglich sind. 2Die Maßnahmen nach Absatz 1 sollen dazu führen, dass 1. die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt werden und 2. die Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können. | a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. | |
(3) Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken: | (2) Die Mitgliedstaaten sehen im Hinblick auf die automatisierte Verarbeitung vor, dass der Verantwortliche oder der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen ergreift, die Folgendes bezwecken: | |
1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle), | a) Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle), | |
2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle), | b) Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Entfernens von Datenträgern (Datenträgerkontrolle), | |
3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle), | c) Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle), | |
4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle), | d) Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle), | |
5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle), | e) Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den ihrer Zugangsberechtigung unterliegenden personenbezogenen Daten Zugang haben (Zugangskontrolle), | |
6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle), | f) Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle), | |
7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle), | g) Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben worden sind (Eingabekontrolle), | |
8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle), | h) Verhinderung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle), | |
9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit), | i) Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellung), | |
10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),. | j) Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen, auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit) und | |
11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität), | gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität). | |
12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), | [Satz 2 Anlage zu § 9 Satz 1 BDSG aF] 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), | |
13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), | 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), | |
14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit). | 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. | |
2Ein Zweck nach Satz 1 Nummer 2 bis 5 kann insbesondere durch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren erreicht werden. | [Satz 3 Anlage zu § 9 Satz 1 BDSG aF] Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. | |
(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden. | ||
(3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen. | ||
(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet. |