Gegenüberstellung – Gestaltungsziele Datensicherheit
Gegenüberstellung – Gestaltungsziele Datensicherheit

Gegenüberstellung – Gestaltungsziele Datensicherheit

Gegenüberstellung – Gestaltungsziele der Datensicherheit nach HDSIG, BDSG, JI-RL und BDSG aF

Art. 29 Abs. 2 JI-Richtlinie (JI-RL – EU 2016/680) sieht Gestaltungsziele vor, die Verantwortliche mit Hilfe von zu treffenden technischen und organisatorischen Maßnahmen (TOM) zur Sicherheit der Datenverarbeitung verfolgen sollen. Die unionsrechtliche Vorgabe wurde unter anderem in § 64 Abs. 3 BDSG und § 59 Abs. 3 HDSG umgesetzt. Schon die Anlage zu §0 9 BDSG aF und § 10 HDSG sahen ähnliche Gestaltungsziele zu TOM vor. Die Gegenüberstellung des unionalen Regelungstexts, dessen deutscher Umsetzungen im Bund und in Hessen und deren Vorgängerregelungen zeigt viele inhaltliche Gemeinsamkeiten von altem und neuem Recht. Sie zeigt aber auch, welche Anforderungen, denen Behörden im Anwendungsbereich von § 45 BDSG und § 40 HDSG unterliegen, neu sind.

(Beitrag wurde auch veröffentlicht in Johannes ZD-Aktuell 2020, 07339)

§ 59 HDSIG und § 64 BDSG setzen Art. 29 JI-RL um und normieren und spezifizieren die Pflicht des Verantwortlichen, für die Sicherheit der Datenverarbeitung Sorge zu tragen. Die Vorschriften konkretisieren den noch allgemein gehaltenen Grundsatz auf Integrität und Vertraulichkeit nach Art. 4 Abs. 1 lit f. JI-RL, § 40 Nr. 6 HDSIG und § 47 Nr. 6 BDSG hin zu verbindlicheren rechtlichen Kriterien und Gestaltungszielen. (Johannes/Weinhold, Das neue Datenschutzrecht bei Polizei und Justiz, 2018, § 1 Rn. 138, 240). Gerade die Gewährleistung von IT-Sicherheit durch die zuständigen Behörden der Gefahrenabwehr und Strafverfolgung ist von herausragender Bedeutung zur Vertrauensbildung und Durchsetzung des Rechtsstaatsprinzips (zum BDSG siehe Johannes/Weinhold in Sydow BDSG 2019, § 64, zum HDSG Johannes in Roßnagel, Kommentar zum HDSIG, § 59 – in Vorbereitung).

§ 64 BDSG und § 59 HDSIG setzten Art. 29 JI-RL um. Jene ähnelt Art. 32 DSGVO, wobei die deutschen Umsetzungsnormen Regelungsinhalte der DSGVO übernehmen. Die in Art. 29 Abs. 2 JI-RL aufgezählten – und in § 64 Abs. 3 BDSG und § 59 Abs. 3 HDSIG umgesetzten – Ziele (so BT-Drs. 18/11325, 16; LT-Drs. 19/5728, 121) konkretisieren die allgemeine Pflicht TOM für eine angemessenes Datenschutzniveau zu treffen. Sie gelten nur für den Fall der automatisierten Verarbeitung. Automatisiert ist die Verarbeitung, wenn sie mit technischen Datenverarbeitungsanlagen erfolgt, also durch Informationstechnik unterstützt wird und nicht vollständig händisch erfolgt (Roßnagel in Simitis/Hornung/Spiecker 2019, DSGVO Art. 2 Rn. 14). Auf die konkrete Art der verwendeten Technologie kommt es nicht an. Sie konkretisieren damit auch die noch eher allgemein gehaltenen Abwägungskriterien nach § 64 Abs. 1 BDSG und § 59 Abs. 1 HDSIG und insbesondere die Kriterien nach § 64 Abs: 2 Satz 2 BDSG und § 59 Abs. 2 Satz 2 HDSIG.

Die Gestaltungsziele werden andernorts auch als Kontrollziele, Maßnahmenziele, Schutzziele (innerhalb eines Satzes bei Bock in Wolff/Brink 33 Ed., BDSG § 64 Rn. 58), Einzelmaßnahmen (Gräber/Nolden in Paal/Pauly § 64 BDSG, Rn. 6), Kontrollmaßnahmen (Gola/Klug/Körfer, 12. Aufl. 2018, BDSG § 9, Überschrift vor Rn. 22), Schutzmaßnahmen (Müller/Wehrmann in Schild u.a., HDSG § 10 Rn. 7ff.), Maßnahmen (Franck in Schwartmann/Pabst DSG NRW § 58 Rn. 27 ff.) und Zwecke (Marnau in Gola/Heckmann, BDSG § 64 Rn. 35) bezeichnet.

Auswertung der Gegenüberstellung

Die Gegenüberstellung (siehe unten II.) allein der Gestaltungsziele verdeutlicht unter anderem:

1. Die Umsetzung von Art. 29 Abs. 2 JI-RL in § 64 Abs. 3 BDSG und § 59 Abs. 3 BDSG ist wortgleich. Unterschiedlich ist lediglich, dass der Bundesgesetzgeber „mit Hilfe“ schreibt, während sich der hessische Gesetzgeber mit „mithilfe“ behilft. Die Gleichheit der Umsetzung ist für die hessischen Behörden hilfreich, müssen die Landespolizeibehörden und das hessische Landeskriminalamt doch sowohl das BDSG als auch das Landesrecht zur Anwendung bringen. Bei Datenverarbeitungen zu Zwecken der Strafverfolgung gilt über § 500 StPO in der Regel Teil 3 des BDSG, währen bei Datenverarbeitungen zur Gefahrenabwehr in der Regel der dritte Teil des HDSIG gilt (zu den Abgrenzungsschwierigkeiten Johannes, Die Polizei 10/2020 – im Erscheinen).

2. Die Gestaltungsziele nach dem neuen Recht sind überwiegend wörtlich der JI-RL übernommen. Lediglich die Gestaltungsziele nach Art. 29 Abs. 2 S. 1 lit. j JI-RL wurden aufgeteilt nach Abs. 3 Nr. 10 und 11. Das neue Recht hat aber auch Gestaltungsziele aus dem alten Recht übernommen, die keine Vorgaben in der JI-RL haben. Die Abs. 3 Nr. 12 (Auftragskontrolle) entspricht § 10 Abs. 2 Nr. 6 HDSG und Satz 2 Nr. 6 der Anlage zur § 9 Satz 1 BDSG. Abs. 3 Nr. 13 (Verfügbarkeitskontrolle) entspricht Satz 2 Nr. 7 der Anlage zu § 9 Satz 1 BDSG. Abs. 3 Nr. 14 (Trennbarkeit) entspricht Satz 2 Nr. 7 der Anlage zu § 9 Satz 1 BDSG. Auch ergänzen sowohl das HDSIG als auch das BDSG im Vergleich zur JI-RL einen Satz 2 zur Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.

3. Die Gestaltungsziele nach neuem Recht sind verbindlicher als die nach Satz 2 der Anlage zu § 9 BDSG (so auch Bock in Wolff/Brink 33 Ed., BDSG § 64 Rn. 58). Jene waren „insbesondere“ zu treffen und damit eher Regelbeispiele. Die Ziele nach neuem Recht müssen alle durch TOM verfolgt werden („haben […] Maßnahmen zu ergreifen“). Nach dem HDSG mussten alle Ziele jedoch verbindlich durch TOM „gewährleistet“ werden.

4. Mit der Novellierung (dazu Johannes/Weinhold aaO) der Datenschutzrechts bei Polizei und Justiz durch die JI -Richtlinie haben sich die Ziele der Datensicherheit, die von den verantwortlichen Stellen durch zu treffende TOM zu erreichen sind, verändert. Neue Ziele sind hinzugekommen. zum Beispiel haben die Ziele Wiederherstellbarkeit, Zuverlässigkeit und Datenintegrität des neuen Rechts keine direkten Entsprechungen in den Vorgängerreglungen des BDSG aF und des HDSG. Andere Ziele nach altem Recht haben dagegen keine Entsprechung im neuen Recht. So finden sich die Dokumentationskontrolle und die Organisationskontrolle nach HDSG nicht ohne weiteres in den Gestaltungszielen nach § 64 Abs. 3 BDSG oder § 59 Abs. 3 HDSIG wieder. Beide lassen sich als den sonstigen Zielen übergeordnete allgemeine Prinzipien verstehen, ohne deren Verfolgung jene kaum durchgesetzt werden können. Sie korrespondieren inhaltlich zu Art. 5 Abs. 4 JI-RL (Rechenschaftspflicht) und Art. 19 JI-RL, welche aber weder im BDSG noch im HDSIG direkt umgesetzt sind. Die Dokumentationskontrolle nach HDSG findet ihre praktische Entsprechung auch in der Pflicht zur Protokollierung nach § 71 HDSIG respektive § 76 BDSG und insbesondere in der Pflicht zur Erstellung eines Verarbeitungstätigkeitsverzeichnisses nach § 65 HDSIG respektive § 70 BDSG.

5. Viele der Gestaltungsziele nach neuem Recht finden sich inhaltlich und mit anderem Detaillierungsgrad und auch mit anderen Schlagworten in den Vorgängerregelungen. So entspricht die Zugangskontrolle nach neuem Recht der Zugangskontrolle nach HDSG. Die Zugangskontrolle nach neuem Recht entspricht auch der Zutrittskontrolle nach BDSG aF. Dagegen geht die Zugangskontrolle gegen unbefugte Benutzung nach BDSG aF auf in die Datenträgerkontrolle, Speicherkontrolle und Benutzerkontrolle nach neuem Recht. Die Benutzerkontrolle nach HDSG geht in der Datenträgerkontrolle und der Benutzerkontrolle nach neuem Recht auf. Die Verantwortlichkeitskontrolle nach HDSG umfasst inhaltlich Aspekte der Übertragungskontrolle, der Eingabekontrolle und der Transportkontrolle nach neuem Recht. Die Datenverarbeitungskontrolle nach HDSG entspricht weitestgehend der Speicherkontrolle nach neuem Recht. Der zweite Teilsatz der Zugriffskontrolle nach BDSG aF entspricht inhaltlich der Datenträgerkontrolle und der Speicherkontrolle nach neuem Recht. Die Weitergabekontrolle nach BDSG aF entspricht der Übertragungskontrolle und der Transportkontrolle nach neuem Recht.

Gegenüberstellung

§ 59 Abs. 3 HDSIG ./. § 64 Abs. 3 BDSGArt. 29 Abs. 2 JI-RL§ 10 Abs. 2 Satz 2 HDSGSatz 2 der Anlage zu § 9 BDSG alte Fassung
1Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:Die Mitgliedstaaten sehen im Hinblick auf die automatisierte Verarbeitung vor, dass der Verantwortliche oder der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen ergreift, die Folgendes bezwecken:2Außerdem sind Maßnahmen schriftlich anzuordnen, die nach dem jeweiligen Stand der Technik und der Art des eingesetzten Verfahrens erforderlich sind, um zu gewährleisten, daß2Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,
1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle),a) Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle [= equipment access control]),1. Unbefugte keinen Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, erhalten (Zutrittskontrolle),1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),    
2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle),b) Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Entfernens von Datenträgern (Datenträgerkontrolle),2.Unbefugte an der Benutzung von Datenverarbeitungsanlagen und -verfahren gehindert werden (Benutzerkontrolle),2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. […] und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),c) Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),4.personenbezogene Daten nicht unbefugt oder nicht zufällig gespeichert, zur Kenntnis genommen, verändert, kopiert, übermittelt, gelöscht, entfernt, vernichtet oder sonst verarbeitet werden (Datenverarbeitungskontrolle),2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),   3. […] und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mithilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle),d) Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle),2. Unbefugte an der Benutzung von Datenverarbeitungsanlagen und -verfahren gehindert werden (Benutzerkontrolle),2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. […] und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle),e) Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den ihrer Zugangsberechtigung unterliegenden personenbezogenen Daten Zugang haben (Zugangskontrolle [= data access control]),3. die zur Benutzung eines Datenverarbeitungsverfahrens Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können (Zugriffskontrolle),3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können […] (Zugriffskontrolle),
6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mithilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),f) Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),5. es möglich ist, festzustellen, wer welche personenbezogenen Daten zu welcher Zeit verarbeitet hat und wohin sie übermittelt werden sollen oder übermittelt worden sind (Verantwortlichkeitskontrolle),4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),g) Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben worden sind (Eingabekontrolle),5. es möglich ist, festzustellen, wer welche personenbezogenen Daten zu welcher Zeit verarbeitet hat und wohin sie übermittelt werden sollen oder übermittelt worden sind (Verantwortlichkeitskontrolle),5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle),h) Verhinderung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle),5. es möglich ist, festzustellen, wer welche personenbezogenen Daten zu welcher Zeit verarbeitet hat und wohin sie übermittelt werden sollen oder übermittelt worden sind (Verantwortlichkeitskontrolle),4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit),i) Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellung),  
10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),j) Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen, auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit) […]  
11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),j) […] und gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität).  
12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 6. personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),  7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit). 5. es möglich ist, festzustellen, wer welche personenbezogenen Daten zu welcher Zeit verarbeitet hat und wohin sie übermittelt werden sollen oder übermittelt worden sind (Verantwortlichkeitskontrolle),8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
  7. durch eine Dokumentation aller wesentlichen Verarbeitungsschritte die Überprüfbarkeit der Datenverarbeitungsanlage und des -verfahrens möglich ist (Dokumentationskontrolle), 
  8. die innerbehördliche oder innerbetriebliche Organisation den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle). 
2Ein Zweck nach Satz 1 Nr. 2 bis 5 kann insbesondere durch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren erreicht werden.