4.1.3 Organisatorische Absicherung

Neben der technischen und der rechtlichen kann auch eine organisatorische Absicherung zur Stärkung von Vertrauen führen. Infrage kommen Maßnahmen vielfältiger Art. Organisation als Merkmal erfordert als Träger in der Regel eine Institution, und diese kann beispielsweise durch prozess- oder regelbasiertes Arbeiten, durch die Einführung geeigneter Rollen, durch Selbstverpflichtungen, durch Zertifizierungen oder durch eine lange Tradition verlässlichen Handelns vertrauensstiftend wirken. Erst dies ermöglicht es, dass Recht in zielgerichtetes Verhalten, gerade auch technischer Natur, umgesetzt wird. Damit dient sie als ein wichtiger Transmissionsmechanismus, der den rechtlichen Rahmen wirksam und die technischen Maßnahmen umsetzbar macht.

Organisatorische Maßnahmen sind Schutzinstrumente, die entweder darauf abzielen können, bereits implementierte Maßnahmen zu überprüfen und zu verifizieren, oder die Vorgehensweise der Akteure auf dem Gebiet digitaler Kommunikation im Hinblick auf die Einhaltung von Vorgaben zur technischen Absicherung auf fortlaufender Basis zu überwachen. Solche Maßnahmen der Überwachung und Überprüfung können von hoheitlicher Seite vorgenommen werden oder auch der Selbstkontrolle obliegen.

Zuständig für die organisatorische Stützung von technischen Sicherungsmaßnahmen sind zunächst einmal die Akteure selbst, also einerseits diejenigen öffentlichen Stellen und Unternehmen, die auf digitalem Wege mit Bürgern und Kunden kommunizieren, und andererseits diejenigen Instanzen, die, wie beispielsweise Zertifizierungsdienste, an der Absicherung vertraulicher Kommunikation beteiligt sind. Zum Teil folgt die organisatorische Ausgestaltung dabei wiederum aus den Vorgaben der rechtlichen Rahmenbedingungen. So enthalten die oben aufgeführten Gesetze und Verordnungen – insbesondere das Bundesdatenschutzgesetz, die Datenschutzgrundverordnung, die Signaturverordnung und das De-Mail-Gesetz – für ihren jeweiligen Anwendungsbereich Maßnahmenkataloge, die die innere Organisation der Akteure betreffen.

Die Anlage zum bereits erwähnten § 9 des Bundesdatenschutzgesetzes führt zum Beispiel in abstrakten Begriffen einige Maßnahmen auf, die öffentliche Stellen und private Unternehmen, die mit der Verarbeitung personenbezogener Daten befasst sind, vorbehaltlich ihrer Verhältnismäßigkeit umsetzen sollen, um das von § 9 Satz 1 geforderte Niveau des Schutzes der personenbezogenen Daten der Bürger bzw. Kunden zu gewährleisten. Die Vorgaben gehen von dem Leitsatz aus, dass „die innerbehördliche oder innerbetriebliche Organisation so zu gestalten [ist], dass sie den besonderen Anforderungen des Datenschutzes entspricht“ (Satz 1 der Anlage). Das bedeutet, dass die Behörde bzw. das Unternehmen selbst dafür Sorge zu tragen hat, die Abläufe so zu gestalten, dass diejenigen im vorhergehenden Kapitel genannten technischen Maßnahmen zur Kommunikationssicherheit auch umgesetzt werden. Dabei muss im Auge behalten werden, dass es stets auf den Einzelfall ankommt und nicht jeder Anbieter alle Maßnahmen in gleichem Maße durchzuführen hat. Entscheidend ist unter anderem stets, wie sensibel die Informationen sind, die erhoben und verarbeitet werden.1

Eine zentrale Verpflichtung für öffentliche Stellen und Unternehmen, die mit personenbezogenen Daten umgehen, ist es, einen Beauftragten für den Datenschutz zu benennen. Dieser ist in erster Linie dafür zuständig, dafür zu sorgen, dass die von § 9 BDSG geforderten Maßnahmen auch umgesetzt und eingehalten werden.2 Darüber hinaus zu treffende Maßnahmen sind beispielsweise das Vier-Augen-Prinzip3 , Überwachung und Kontrolle der Datenverarbeitungsvorgänge durch entsprechend geschultes und eingeteiltes Personal4 , Identitätskontrollen wie z. B. durch Chipkarten in sensiblen Bereichen des Betriebs5 , der Erlass von Arbeitsrichtlinien etwa über den sicheren Umgang mit Datenträgern6 oder die regelmäßige Erstellung von Sicherungskopien.7 Auch gelegentliche unangekündigte Überprüfungen der Maßnahmen zum Schutz der gespeicherten und verarbeiteten Inhalte dienen dazu, das Schutzniveau zu erhöhen.8

Ähnliche Vorgaben existieren für Zertifizierungsdiensteanbieter nach der Signaturverordnung (§ 2) und für Vertrauensdiensteanbieter gemäß der eIDAS-Verordnung (Artikel 19 Absatz 1). Auch für Anbieter des De-Mail-Dienstes ist gesetzlich vorgeschrieben, dass sie nur dann akkreditiert werden können, wenn sie technisch und organisatorisch nach dem jeweils aktuellen Stand der Technik so aufgestellt sind, dass sie die Vorgaben des De-Mail-Gesetzes zur sicheren und zuverlässigen Erbringung der Dienste einzuhalten in der Lage sind (§ 18 Absatz 1 Nr. 3 und Absatz 2 Satz 1 De- Mail-Gesetz). Die Einhaltung der gesetzlichen Bestimmungen wird durch die jeweils zuständige Aufsichtsbehörde überprüft und laufend überwacht. Für Zertifizierungsdiensteanbieter ist das die Bundesnetzagentur, bei Vertrauensdiensteanbietern und De-Mail-Anbietern das Bundesamt für Sicherheit in der Informationstechnik.

In Bezug auf De-Mail-Dienste hat das BSI darüber hinaus technische Richtlinien zu formulieren und zu veröffentlichen, die die technischen und organisatorischen Anforderungen an die Anbieter genau spezifizieren.9 Führt eine Überprüfungsmaßnahme des BSI zu dem Ergebnis, dass der Anbieter gegen die gesetzlichen Vorgaben verstößt, so kann es Bußgelder erheben, den Betrieb vorläufig untersagen und in letzter Konsequenz sogar die Akkreditierung entziehen.

Im Gegensatz zu diesem strikten Modell der Überprüfung und Überwachung durch staatliche Stellen ist der Gesetzgeber beim Bundesdatenschutzgesetz den Weg der regulierten Selbstregulierung gegangen. So sieht der § 9a BDSG die nicht verpflichtende Möglichkeit eines Datenschutzaudits vor. Unternehmen und öffentliche Stellen können ihr Datenschutzkonzept und ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen. Der Anreiz, von dieser Möglichkeit auch tatsächlich Gebrauch zu machen, soll dadurch geschaffen werden, dass das Ergebnis im Anschluss veröffentlicht werden kann. Gerade weil es in den vergangenen Jahren wiederholt zu Datenschutzskandalen gekommen ist, was zu einer erhöhten Skepsis seitens der Nutzer im Hinblick auf die Sicherheit und Vertraulichkeit ihrer Daten geführt hat, geht das Gesetz bestimmt nicht völlig zu Unrecht von der Annahme aus, dass ein als tauglich und vertrauenswürdig bestätigtes Datenschutzkonzept für die geprüfte Stelle einen Wettbewerbsvorteil bewirken kann.10 Allerdings sieht § 9a Satz 2 BDSG ausdrücklich vor, dass die näheren Anforderungen an den Prozess des Audits in einem Spezialgesetz näher ausformuliert werden sollen. Dies ist jedoch bis heute nicht geschehen.11

Auch die Datenschutzgrundverordnung setzt eher auf Selbstregulierung bzw. die sogenannte Ko-Regulierung als auf strikte staatliche Aufsicht, um die Einhaltung datenschutzrechtlicher Bestimmungen zu erreichen. So bestimmt Artikel 40 Absatz 2 lit. h), dass Branchen- und Berufsverbände, die Unternehmen und andere Stellen vertreten, die mit der Verarbeitung personenbezogener Daten befasst sind, Verhaltensregeln über Maßnahmen und Verfahren ausarbeiten können, die die Sicherheit der Datenverarbeitung betreffen. Nach Artikel 40 Absatz 4 und Artikel 41 soll zudem eine private Stelle eingerichtet werden, die die Einhaltung der so formulierten Verhaltensregeln überwacht. Diese Stelle ist durch die jeweils zuständige staatliche Aufsichtsstelle zu akkreditieren, wenn sie ausreichende Expertise aufweisen kann, unabhängig ist, keinen Interessenkonflikten unterliegt, einem angemessenen Beschwerdeverfahren folgt und bei Verstößen Sanktionen verhängen kann.12

Ein Beispiel für eine solche Vereinigung in Deutschland, die zum Zweck der Selbstregulierung im Bereich des Datenschutzes geschaffen worden ist, ist der Selbstregulierung Informationswirtschaft e.V. (SRIW), der von Bitkom und Unternehmen der digitalen Wirtschaft gegründet wurde.13 Gemäß seiner Selbstbeschreibung setzt er es sich zum Ziel, „das Vertrauen der Nutzer in digitale Produkte und Dienste zu verbessern und zu erhalten“, und verpflichtet seine Mitglieder deshalb, Selbstverpflichtungen wie Kodizes oder vergleichbare Selbstregulierungsmaßnahmen einzuhalten.14

„Gütesiegel sind vielfach nur ein Marketinginstrument und hängen schnell den technologischen Entwicklungen hinterher. Daher sind Gütesiegel grundsätzlich kritisch zu hinterfragen. Ich würde den Markt spielen lassen und nur dort eingreifen, wo der Nutzer in seiner Entscheidungskraft ausgehebelt wird.“
Roman Flepp, Pressesprecher, Threema GmbH, Konsultation

Schließlich können Unternehmen und Behörden, die mit sensiblen Informationen ihrer Kunden und Bürger umgehen, auch ihr Konzept im Hinblick auf die Sicherung der eingesetzten informationstechnischen Systeme von einer öffentlichen Stelle überprüfen und anschließend zertifizieren lassen. Hierfür hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den „IT-Grundschutz“ formuliert, dessen Einhaltung nach einem Audit anhand einer Zertifizierung bestätigt wird, die die geprüfte Stelle veröffentlichen kann.15 Ziel dieses Grundschutzes ist es, ein angemessenes und ausreichendes Schutzniveau für die Systeme zu erreichen. Dazu empfehlen die vom BSI herausgegebenen IT-Grundschutz-Kataloge technische Sicherheitsmaßnahmen sowie infrastrukturelle, organisatorische und personelle Schutzmaßnahmen.16

„Im Hinblick auf IT-Sicherheit nehmen Behörden in Deutschland eine besondere Position ein. Sie genießen einen großen Vertrauensvorschuss – daher liegt ihnen viel an der Vertrauenswürdigkeit der bereitgestellten Systeme, und IT-Sicherheit spielt bei deren Entwicklung eine entscheidende Rolle.“
Patrick Franitza, stellv. Pressesprecher der secunet Security Networks AG, Konsultation

  1. Kai-Uwe Plath (Hrsg.), Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, 2. Auflage 2016, S. 358. []
  2. Ebd., S. 351. []
  3. Siehe Wikipedia, Vier-Augen-Prinzip, https://de.wikipedia.org/wiki/Vier-Augen-Prinzip: Es „besagt, dass wichtige Entscheidungen nicht von einer einzelnen Person getroffen werden oder kritische Tätigkeiten nicht von einer einzelnen Person durchgeführt werden sollen oder dürfen. Ziel ist es, das Risiko von Fehlern und Missbrauch zu reduzieren.“ []
  4. Plath, S. 353. []
  5. Ebd., S. 359. []
  6. Ebd., S. 361. []
  7. Ebd., S. 364. []
  8. Vgl. Datenschutz-Wiki, Checkliste Technische und organisatorische Maßnahmen, https://www.datenschutz-wiki.de/Checkliste_Technische_und_organisatorische_Ma%C3%9Fnahmen. []
  9. Vgl. https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/EGovernment/DeMail/TechnischeRichtlinien/TechnRichtlinien_node.html. []
  10. Vgl. Plath. S. 366f. []
  11. Ebd., S. 367. []
  12. Ebd., S. 1196. []
  13. https://sriw.de/. []
  14. https://sriw.de/index.php/der-sriw. []
  15. Es handelt sich um die sogenannte ISO 27001-Zertifizierung, vgl. https://www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung/Managementsystemzertifizierung/Zertifizierung27001/GS_Zertifizierung_node.html. []
  16. Vgl. Wikipedia, IT-Grundschutz, https://de.wikipedia.org/wiki/IT-Grundschutz. []