Wer sich mit Vorgaben zur IT-Sicherheit in Unternehmen beschäftigt, kommt an einem Begriff nicht vorbei: Stand der Technik. Er wird sowohl in der DSGVO als auch im IT-Sicherheitsgesetz gefordert. Eine Egal-Haltung dazu kann sich rächen. Denn: Bei Nichtbeachtung drohen erhebliche Strafen.
Was ist die Definition von Stand der Technik? Warum ist er in Unternehmen wichtig?
IT-Sicherheit & Stand der Technik
Mit der Verabschiedung der europäischen Datenschutzgrundverordnung hatte man im Jahr 2016 vor allem dies im Sinn: die Verbesserung der IT-Sicherheit und den Schutz personenbezogener Daten. Vor dem Hintergrund, dass sich das Ausmaß und die Qualität der Datenverarbeitung rasant weiterentwickelt hatten, sollte die Verordnung nicht nur die Datensicherheit, sondern auch die IT-Sicherheit im Ganzen fördern.
Das Problem: Die Datensicherheit ist – wie die IT-Infrastruktur selbst – so dynamisch, dass es schwierig ist, Schutzmaßnahmen für Gesetzestexte konkret zu formulieren. Daher bleiben sie oft schwammig. Das ist auch im Fall eines Begriffes so, der in der DSGVO mehrfach aufgegriffen wird: dem Stand der Technik. Er wird als eines von mehreren Kriterien genannt, anhand derer die in einem Unternehmen getroffenen technischen und organisatorischen Sicherheitsmaßnahmen bewertet werden sollen.
Viele Unternehmen stellt dieser Punkt vor eine Herausforderung. Denn: Wie lässt sich etwas bewerten, wenn das Bewertungskriterium selbst unklar ist? Man muss dazu also einen Schritt vorher ansetzen – nämlich bei der Frage: Was ist der Stand der Technik in der IT-Sicherheit?
Stand der Technik – Definition
Eine Definition von Stand der Technik ist nicht so einfach. Dementsprechend ist es auch nicht so einfach eine Antwort auf die Frage zu finden: Was ist Stand der Technik? Denn: Bei dem Begriff „Stand der Technik“ handelt es sich um einen sogenannten unbestimmten Rechtsbegriff, der aber branchenübergreifend verwendet wird – die IT-Sicherheit hat ihn demensprechend nicht für sich gepachtet. Am besten lässt er sich als Teil der „Drei-Stufen-Theorie“ verstehen, die im Jahr 1978 durch ein Urteil des Bundesverfassungsgerichts etabliert worden ist. Die drei Stufen stellen sich wie folgt dar:
- Stand der Wissenschaft und Forschung:
In Wissenschaft und Forschung werden neue Technologien oder auch Maßstäbe erst einmal entwickelt – hier nehmen sie also Formen an. - Stand der Technik:
In diesem mittleren Stadium werden die neu entwickelten Technologien beziehungsweise Maßstäbe in den Markt beziehungsweise Branche eingeführt. - Allgemein anerkannte Regeln der Technik:
Die Technologie beziehungsweise der Maßstab hat sich verbreitet und gilt inzwischen als anerkannt.
Schon diese kurze Aufstellung zeigt, dass der Stand der Technik unabhängig vom Szenario dynamisch ist. Und genau deshalb wird er in Gesetzestexten meist nicht konkretisiert – er soll sich schließlich dem (technologischen) Fortschritt gemäß flexibel anpassen und auslegen lassen. Aber wie können Unternehmen diesen Maßstab an die IT-Sicherheit dann überhaupt DSGVO-konform umsetzen?
Handreichung zum Stand der Technik
Eine Handreichung zum Stand der Technik, erarbeitet vom Bundesverband IT-Sicherheit, gibt Unternehmen genauere Anhaltspunkte zu dessen Umsetzung und hilft auch bei der Stand-der-Technik-Definition. Wie kompliziert der ganze Sachverhalt ist, zeigt schon der Umfang von insgesamt 98 Seiten. Wie die Einleitung deutlich macht, greift im IT-Bereich nicht nur die DSGVO den Begriff auf, sondern auch das IT-Sicherheitsgesetz, das noch einmal speziell Unternehmen aus dem KRITIS-Bereich in die Verantwortung nimmt. Wir bleiben an dieser Stelle aber beim Fokus auf die DSGVO.
Sie legt in Artikel 32 fest, dass im Bereich des technischen Datenschutzes zum Schutz personenbezogener Daten entsprechende technische und organisatorische Maßnahmen (TOM) zu treffen sind. Der „Stand der Technik“ ist dabei vor allem im Rahmen der Sicherheit der Datenverarbeitung zu berücksichtigen und zudem umfassend zu dokumentieren.
Auf den Punkt gebracht heißt das: Wenn Datenschützer die Umsetzung der DSGVO in einem Unternehmen bewerten, wird auf den Stand der Technik penibel geachtet. Es führt also kein Weg daran vorbei, dass Sie sich mit diesem Thema befassen, sofern Sie auch bei unbequemen Fragen entspannt bleiben möchten.
Ein Beispiel aus der Praxis gefällig?
Ein ganz einfaches Beispiel dafür sind Software-Updates. Mit ihrer Veröffentlichung verlassen sie den Stand der Wissenschaft und Forschung und gehen in den Stand der Technik über. Folglich müssen Unternehmen die verfügbaren Updates auch ausführen, um selbst auf dem aktuellen Stand der Technik zu sein. Software, die ihr Support-Ende erreicht hat und nicht mehr mit Sicherheitsupdates versorgt wird, darf dementsprechend nicht mehr verwendet werden.
Unternehmen, die trotzdem veraltete Software einsetzen, können richtig Probleme bekommen. Sollte es Angreifern gelingen, eine Sicherheitslücke auszunutzen, die durch ein zur Verfügung stehendes Update hätte geschlossen werden können, und Unternehmensdaten zu stehlen und/oder unbrauchbar zu machen, drohen saftige Strafen seitens der zuständigen Datenschutzbehörde. Dabei hätte dieses Problem durch ein zuverlässiges Patch-Management so einfach vermieden werden können.
Stand der Technik prüfen und bewerten
Sie möchten den Datenschutz und damit zusammenhängend den Stand der Technik in Ihrem Unternehmen auf den Prüfstand stellen? Dann finden Sie in der Handreichung viele hilfreiche Ansatzpunkte. Die zentrale Frage dabei lautet: Werden überall, wo es möglich ist, die jeweils fortschrittlichsten Verfahren zum IT-Schutz angewendet?
Darunter fallen beispielsweise Verfahren wie die Zwei-Faktor-Authentifizierung, die Verschlüsselung der gesamten Kommunikation, die Verschlüsselung der Daten (unter anderem während ihrer Speicherung), eine sichere Benutzer-Administration mit aktiver Sperrmöglichkeit, die Umsetzung von Malware-Schutz und der Einsatz eines sicheren Backup-Systems um einen Datenverlust zu vermeiden.
Die Liste der Schutzmechanismen, die für einen umfassenden Datenschutz zur Verfügung stehen, ist lang – und erfordert so einige Fachkenntnisse. Es empfiehlt sich daher grundsätzlich, einen unabhängigen Prüfer mit der Inspektion zu beauftragen. Er spürt dann jegliche Mankos auf und gibt Optimierungsvorschläge, die, einmal umgesetzt, einer jeglichen Datenschutzprüfung standhalten.
Bleiben Sie mit dem Stand der Technik DSGVO-konform!
Die DSGVO ist bereits am 25. Mai 2018 in Kraft getreten, wirft aber immer noch Fragen auf. Wir können Ihnen versichern: Daran wird sich wegen der sich ständig verändernden Rahmenbedingungen auch nichts ändern. Es reicht daher nicht, das Thema einmal zu recherchieren, umzusetzen und für immer abzuhaken. Vielmehr müssen Unternehmen es ständig im Blick behalten und anhand des (technologischen) Fortschritts auch immer wieder neu bewerten. Mit den nötigen Anpassungen wird der Stand der Technik dann auch danz im Sinne seiner Definition eingehalten.
Sie fragen sich, wie Sie das leisten sollen und machen sich Sorgen um das Urteil der Datenschutzbehörden? Dann empfehlen wir Ihnen, sich einen externen Datenschutzbeauftragten an Ihre Seite zu holen, der das benötigte Know-how mitbringt und Ihnen das aus Ihrer Sicht wohlmöglich leidige Thema abnimmt. Und wo finden Sie einen solchen Fachmann? Selbstverständlich unter den Experten aus dem IT-SERVICE.NETWORK. Kontaktieren Sie einen unserer IT-Partner in Ihrer Nähe und nehmen seine DSGVO-Beratung in Anspruch!
Weiterführende Links:
Bundesverband IT-Sicherheit, DSGVO, Datenschutz Praxis, TeleTrust, activeMind
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung