Beschreibung
Home » DSGVO » Grundsätze » Integrität und Vertraulichkeit » Beschreibung

In „Datenschutz verstehen: Die EU-Verordnung in Kurzform“ wurde die Integrität (zusammen mit der Richtigkeit) mit der Tatsache begründet, dass die Richtigkeit der Daten notwendig ist, um für die erklärten Zwecke geeignet zu sein.Eine nicht zweckdienliche Verarbeitung kann keinen Machtzuwachs gegenüber einer betroffenen Person rechtfertigen.Siehe Verbot einer nicht zweckdienlihen Verarbeitung, für weitere Einzelheiten.Die Vertraulichkeit hingegen wurde durch die Begrenzung des Zugangs zur Macht begründet.Siehe 1.6.5.3 Begrenzung des Zugangs zur Macht im Detail.Die Verfügbarkeit wurde durch den Schutz des Vermögens der betroffenen Person begründet. Siehe 1.6.6 Schutz des Vermögens der betroffenen Person für weitere Einzelheiten.

In der Datenschutz-Grundverordnung wird dieser Grundsatz wie folgt definiert:

Definition laut Art. 5 Absatz 1 Buchstabe fDSGVO:

Personenbezogene Daten müssen in einer Weise vearbeitet werden, dieeine angemessene Sicherheit der personenbezogenen Datengewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische oder organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Struktur von Art. 5 Absatz 1 Buchstabe f und Sicherheitsrisiken

Wie aus dem Wortlaut von Art. 5 Absatz 1 Buchstabe fhervorgeht, spricht die DSGVO von unerwünschten Ereignissen, nämlich:

  • unbefugte oder unrechtmäßige Verarbeitung und
  • unbeabsichtigter Verlust, unbeabsichtiguge Zerstörung oder unbeabsichtigte Schädigung.

Es ist klar, dass diese Ereignisse nicht Teil der geplanten Verarbeitung sind; idealerweise sollten sie gänzlich verhindert werden.Da dies im Sicherheitsbereich nie mit 100-prozentiger Sicherheit möglich ist, besteht eine Restwahrscheinlichkeit, dass solche Ereignisse eintreten.

Es ist auch klar, dass das Eintreten solcher Ereignisse unerwünschte Folgen hat.

Leser, die mit der IT-Sicherheit vertraut sind, werden erkannt haben, dass in dieser Diskussion die Elemente der Risikodefinition eingeführt wurden.Dies wird im Folgenden deutlich gemacht:

Sicherheitsrisiko = Wahrscheinlichkeit eines unerwünschten Ereignisses * Schwere der unerwünschten Folgen

Dies ist ein „individuelles“ Risiko, und das Gesamtrisiko ist dann die Summe aller anwendbaren individuellen Risiken.

Aufmerksame Leser werden bemerkt haben, dass die hier verwendete Terminologie etwas von der in der IT-Sicherheit[1] üblichen abweicht.Insbesondere wurde der Begriff „Sicherheitsrisiko“ und nicht nur „Risiko“ verwendet, und in ähnlicher Weise wurde „Schwere der unerwünschten Folgen“ anstelle von „Schädigung“ verwendet.Die Motivation für diese Begriffswahl wird im Folgenden erläutert:

Hauptunterschied zu anderen Risiken in der DSGVO und zu Risiken in der IT-Sicherheit

Die Datenschutz-Grundverordnung bezieht sich auf mindestens zwei grundlegend verschiedene Arten von Risiken (ohne diese Unterscheidung jedoch explizit zu machen).Im Folgenden werden daher zwei verschiedene Begriffe eingeführt, um diese Unterscheidung deutlich zu machen.Es handelt sich dabei um das Sicherheitsrisiko und das Datenschutzrisiko.

In der Datenschutz-Grundverordnung ist das Sicherheitsrisiko sowohl in Artikel 5 Absatz 1 Buchstabe f als auch in Artikel 32 implizit enthalten. Wie aus dem vorangegangenen Unterabschnitt hervorgeht, ergibt sich seine Definition aus dem Vorhandensein unerwünschter Ereignisse, die nicht Teil der geplanten Verarbeitungsvorgänge sind.

Im Gegensatz dazu berücksichtigt die Datenschutz-Grundverordnung eindeutig auch Risiken, die sich aus der Datenverarbeitung selbst ergeben – wenn keine unerwünschten Ereignisse eintreten – d. h. bei einer ungestörten Verarbeitung wie geplant.Wir bezeichnen diese Art von Risiko als Datenschutzrisiko.Es ist vorhanden, selbst wenn die Sicherheit perfekt wäre und alle möglichen unerwünschten Ereignisse mit 100%iger Sicherheit verhindert werden könnten.

Daher ist es wichtig zu verstehen, dass Sicherheitsrisiken nur eine Teilmenge der Risiken sind, die die Verantwortlichen durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen eindämmen müssen.

Nachdem wir die Sicherheitsrisiken von den Datenschutzrisiken unterschieden haben, wollen wir die Sicherheitsrisiken der DSGVO mit denen der IT-Sicherheit vergleichen.Die im Kasten im vorherigen Unterabschnitt bereitgestellte Definition weist dieselbe Struktur auf. Kann man daher daraus schließen, dass die Sicherheitsrisiken in der DSGVO dieselben sind wie die Risiken in der IT-Sicherheit?

Dies spricht für die Wahl des zweiten Begriffs, nämlich Schwere der unerwünschten Folgen anstelle von Schaden oder Schädigung.

In der IT-Sicherheit ist der Schaden eine Quantifizierung der unerwünschten Folgen im Vergleich zum Auftrag und den Werten der Organisation, die die Verarbeitungstätigkeit durchführt.Die Quantifizierung erfolgt häufig in Form eines Geldwerts, wie es sich für eine Organisation gehört, deren Aufgabe es ist, Gewinne zu erzielen.

In krassem Gegensatz dazu steht die Schwere der unerwünschten Folgen, die mit dem Grundsatz der Integrität und Vertraulichkeit in der DSGVO verbunden sind.Diese Maßnahme bezieht sich auf die Rechte und Freiheiten natürlicher Personen, wie sie in der Europäischen Charta der Grundrechte niedergelegt sind.Die unerwünschte Wirkung kann also darin bestehen, dass die freie Ausübung der Rechte und Freiheiten behindert oder vereitelt wird[2].Solche Auswirkungen können in der Regel nicht in Geldwerten gemessen werden.Sie sind in der Regel auch nicht quantifizierbar und können nur auf einer Ordinalskala (z. B. niedrig, mittel und hoch) ausgedrückt werden.

Der Unterschied zwischen IT-Sicherheit und Sicherheit nach Art. 5 Absatz 1 Buchstabe fDSGVO ist die Bewertung der unerwünschten Folgen, auch wenn die unerwünschten Ereignisse dieselben sein können.In vielen Fällen kann ein Ereignis, das nur geringfügige Folgen für die Aufgabe der Organisation des Verantwortlichen hat, einen schwerwiegenden Eingriff in die Rechte und Freiheiten einer betroffenen Person darstellen (und umgekehrt).

Die in Art. 5 Absatz 1 Buchstabe f integrierten Schutzziele

In der DSGVO wird dieser Grundsatz in Art. 5 Absatz 1 Buchstabe f ausschließlich alsIntegrität und Vertraulichkeitbezeichnet.Dies sind zwei der drei bekannten Schutzziele der IT-Sicherheit.Das dritte ist die Verfügbarkeit. Diese Dreifaltigkeit der Schutzziele wird oft einfach mit dem Akronym CIA bezeichnet.

Die Bezeichnung des Grundsatzes in der Datenschutz-Grundverordnung scheint zwar zu suggerieren, dass die Verfügbarkeit ausgeschlossen ist, aber sowohl der genaue Wortlaut von Art. 5 Absatz 1 Buchstabe fals auch Art. 32 „Sicherheit der Verarbeitung“ legen etwas anderes nahe.Im Einzelnen:

  • Die Formulierung „Schutz vor unbeabsichtigtem Verlust“kann eindeutig mit der Verfügbarkeit in Verbindung gebracht werden und
  • Art. 32 Absatz 1 Buchstabe b verpflichtet die Verantwortlichen, die ständige „Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeitder Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“.

Belastbarkeitwird hier als viertes Schutzziel genannt.Sie wird auch eindeutig als Ziel der IT-Sicherheit akzeptiert und oft als ein Aspekt der Verfügbarkeit behandelt.

Zusammenfassend lässt sich sagen, dass Art. 5 Absatz 1 Buchstabe fDSGVO auf das gesamte Spektrum der Schutzziele verweist, die aus der IT-Sicherheit bekannt sind.Sie werden hier alle erörtert, ohne sich auf die beiden zu beschränken, die im Namen des Grundsatzes enthalten sind.

Eine ausführliche Erörterung finden Sie in den Veröffentlichungen der ENISA zu diesem Thema[3],[4].Im Folgenden wird nur eine kurze Beschreibung der einzelnen Schutzziele gegeben.

Integrität

Die Integrität bezieht sich auf den Aspekt von Art. 5 Absatz 1 Buchstabe f, der den Schutz personenbezogener Daten „vor unbeabsichtigterSchädigun“”, z. B. aufgrund eines Übertragungsfehlers, vorschreibt.Er zielt also darauf ab, jede Art von Ereignis zu verhindern, das die Daten in einer Weise „beschädigen“ könnte, die sie für die Zwecke der Verarbeitung ungeeignet macht.

Vertraulichkeit

Die Vertraulichkeit bezieht sich auf den Aspekt von Artikel. 5 Absatz 1 Buchstabe f, der den Schutz personenbezogener Daten „vor unbefugter oder unrechtmäßiger Verarbeitung“ fordert.Es ist wichtig anzumerken, dass in der Datenschutz-Grundverordnung die Verarbeitung auch die Offenlegung von Daten umfasst (siehe Artikel 4 Absatz 2 der Datenschutz-Grundverordnung).Die Vertraulichkeit erfordert also, dass personenbezogene Daten im Ruhezustand, bei der Übermittlung und bei der Verwendung vor unerwünschter Offenlegung geschützt werden[5].Darüber hinaus muss sichergestellt werden, dass keine unbefugte Person in die Verarbeitung eingreifen kann, indem sie beispielsweise Entscheidungen, die eine Person betreffen, eingibt, personenbezogene Daten ändert oder löscht oder andere Vorgänge auslöst, die befugtem Personal vorbehalten sind, das nach genauen Anweisungen des Verantwortlichen arbeitet.

Verfügbarkeit, Belastbarkeit und Übertragbarkeit

Die Verfügbarkeit bezieht sich auf den Aspekt von Art. 5 Absatz 1 Buchstabe f, der den Schutz personenbezogener Daten „vor unbeabsichtigtem Verlust oder unbeabsichtigter Zerstörung“, z. B. durch den Ausfall einer Speicherkomponente, fordert.

Die Belastbarkeit wird in Art. 32 Absatz 1 Buchstabe cdefiniert als „die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen“.Es handelt sich also eindeutig um einen Aspekt der Verfügbarkeit und steht im Zusammenhang mit der bekannten Maßnahme der Wiederherstellung im Katastrophenfall.

Ein weiterer Aspekt der Verfügbarkeit ist wohl die Übertragbarkeit von Daten, wie sie in Artikel 20 DSGVO definiert ist. Während unter Verfügbarkeit in der Regel verstanden wird, dass betroffene Personen davor geschützt werden, ihre Daten zu verlieren, während sie von einem bestimmten Verantwortlichen verarbeitet werden, schützt die Datenübertragbarkeit betroffene Personen vor dem Verlust, wenn sie von einem Verantwortlichen (z. B. in der Rolle eines Dienstleisters) zu einem anderen wechseln.Die Übertragbarkeit setzt voraus, dass die betroffenen Personen ihre Daten in einem maschinenlesbaren Format erhalten können (siehe Art. 20 Absatz 1DSGVO) und gegebenenfalls deren direkte Übermittlung von einem Verantwortlichen an einen anderen (siehe Art. 20 Absatz 2DSGVO).

 

 

Quellenangaben

1Siehe zum Beispiel https://en.wikipedia.org/wiki/IT_risk#Measuring_IT_risk (zuletzt besucht am 19.05.2020).

2Felix Bieker, Benjamin Bremert, Identifizierung von Risiken für die Grundrechte von Individuen, in : ZD, 2020, S. 7 ff. (in Deutsch, Zusammenfassung in Englisch).

3ENISA, Guidelines for SMEs on the security of personal data processing, 27. Januar 2017, https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personal-data-processing (zuletzt besucht am 19.05.2020).

4ENISA, Handbook on Security of Personal Data Processing, 29. Januar 2018, https://www.enisa.europa.eu/publications/handbook-on-security-of-personal-data-processing (zuletzt besucht am 19.05.2020).

5Art. 32 Absatz 2DSGVO verwendet den Ausdruck „übermittelt, gespeichert oder auf andere Weise verarbeitet”.

 

Skip to content