Haftung und Bußgelder nach der DSGVO – wie der IT-Grundschutz dem Versicherungsmakler helfen kann?

Haftung und Bußgelder nach der DSGVO – wie der IT-Grundschutz dem Versicherungsmakler helfen kann?

von Weber/Michaelis; Kanzlei Michaelis Hamburg

I. Einleitung

(Hamburg, den 04.05.2020) Der „IT-Grundschutz“ des Bundesamtes für Sicherheit in der Informationstechnik, kurz BSI, stellt seit 25 Jahren eine bewährte Methodik dar, um das Niveau der Informationssicherheit in Behörden und Unternehmen jeder Größenordnung zu erhöhen. Die Angebote des IT-Grundschutzes finden Anwendung in Verwaltung und Wirtschaft und gelten als Maßstab, wenn es um die Absicherung von Informationen und den Aufbau eines Managementsystems für Informationssicherheit (ISMS) geht.

Der IT-Grundschutz richtet sich nach seiner grundlegenden Überarbeitung im Herbst 2017 nicht mehr allein an Behörden und große Unternehmen, sondern nunmehr auch an Mittelständler und Kleinunternehmen.

Der IT-Grundschutz führt nicht allein zu einer Erhöhung des Niveaus der Informationssicherheit. Neben dieser Primärwirkung kann der IT-Grundschutz auch auf Sekundärebene von Bedeutung sein, wenn es etwa bei Verstößen um die Verhängung von Bußgeldern geht oder aber im Schadensfall Haftungsfragen aufkommen.

Diese Wirkung des IT-Grundschutzes auf Sekundärebene soll Gegenstand dieses Artikels sein, begonnen werden soll allerdings mit einem kurzen Überblick über die DSGVO und die darin enthaltenen Regelungen zu Bußgeldern und Schadenersatz.

In Art. 1 Abs. 1 und 2 der Verordnung Nr. 2016/679 des Europäischen Parlaments und Rates vom 27.4.2016, kurz Datschenschutz-Grundverordnung oder auch DSGVO, werden als Verordnungsziel der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere deren Rechte auf Schutz personenbezogener Daten vorgegeben.

Verstöße gegen die Vorgaben der DSGVO können im Einzelfall verbunden sein mit einer Haftung auf Schadenersatz oder der Verhängung eines empfindlichen Bußgeldes.

In der DSGVO sind die Geldbußen in Art. 83 DSGVO geregelt. So ist es gem. Art. 83 Abs. 1, 2, 4 lit. a) i.V.m. Art. 32 DSGVO möglich, bei einem Verstoß gegen das Gebot der Sicherheit der Verarbeitung personenbezogener Daten Geldbußen von bis zu 10.000.000,00 EUR oder im Falle eines Unternehmens von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres zu verhängen.

In Deutschland wurde zuletzt die 1&1 Telecom GmbH in der Vorweihnachtszeit des vergangenen Jahres mit einem solchen Bußgeld nach Art. 83 DSGVO belegt, als am 09.12.2019 der Bundesdatenschutzbeauftragte wegen eines Verstoßes gegen Art. 32 DSGVO ein Bußgeld in Höhe von 9.550.000,00 EUR verhängte. Konkret moniert wurde in diesem Fall, dass es bis dato möglich war, im Rahmen eines Anrufs bei der telefonischen Kundenbetreuung der 1&1 Telecom GmbH an weitreichende persönliche Kundendaten zu gelangen, nachdem man zur Verifizierung lediglich den Namen und das Geburtsdatum des Kunden hatte nennen müssen.

II. Vorgaben der DSGVO

Was also hat es mit dem in Art. 32 DSGVO normierten Gebot der Sicherheit der Verarbeitung personenbezogener Daten auf sich? Welche Anforderungen an die Sicherheit der Verarbeitung personenbezogener Daten werden aufgestellt?

In Art. 32 Abs. 1 DSGVO heißt es wie folgt:

,,Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; (…)“

Die Regelungen des Art. 32 DSGVO dienen dem Zweck, ein Schutzniveau herzustellen, das insbesondere dem Stand der Technik und dem Risiko angemessen ist.[1] Hierbei wird ein relativer Ansatz verfolgt; Aufwand und Risiko sind gegeneinander abzuwägen.[2] Dies schafft einerseits Flexibilität im Einzelfall, erfordert andererseits aber auch eine eigenverantwortliche Wertung des Verantwortlichen bzw. des Auftragsverarbeiters.[3] Dem Verantwortlichen wird letztlich bei der Auswahl der Maßnahmen zur Gewährleistung des angemessenen Schutzniveaus ein Ermessen eingeräumt.[4] Anders als im Verwaltungsrecht, wo eine Ermessensentscheidung im Nachhinein nur eingeschränkt überprüfbar ist auf Ermessensausfall -, -überschreitung oder Ermessensfehlgebrauch, kann hier die konkrete Angemessenheit der Sicherheitsmaßnahmen maßgeblich sein bei der Verhängung von Geldbußen wegen Datenschutzverstößen, vgl. Art. 83 Abs. 2 lit. d) bzw. Abs. 4 lit. a) DSGVO, weshalb die Unterschreitung eines adäquaten Niveaus einen eigenständigen, bußgeldbewährten Verstoß darstellen kann.[5]

Konkrete Maßnahmen zur Umsetzung eines angemessenen datenschutzrechtlichen IT-Sicherheitsstandards werden in der DSGVO nicht vorgegeben. Es werden jedoch Mindestanforderungen an die technischen und organisatorischen Maßnahmen, kurz: TOMs genannt, in der Weise aufgestellt, als dass ein in der konkreten Situation angemessener Sicherheitsstandard zu gewährleisten ist.[6] Hierbei gilt es den Stand der Technik zu berücksichtigen, was wiederum konkret dazu verpflichtet, bei der Planung und Umsetzung geeigneter TOMs auf aktuelle und bewährte Standards sowie Best-Practice-Ansätze zurückzugreifen.[7]

In Art. 32 DSGVO wird also die Pflicht normiert, diejenigen TOMs und TOVs zu treffen, welche erforderlich sind, um ein angemessenes Schutzniveau zu gewährleisten. Dabei gilt es in besonderen Maße den Stand der Technik zu berücksichtigen.

Die Vorsorge über TOMs und TOVs unter besonderer Berücksichtigung des Stands der Technik spielt jedoch nicht allein im Bereich der Bußgelder, sondern auch im Rahmen der Haftung auf Schadenersatz eine wichtige Rolle.

In der DSGVO findet sich die zentrale Vorschrift zum Thema Schadenersatz in Art. 82 DSGVO. In Art. 82 Abs. 1, 2 S. 1 DSGVO wird jeder Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, ein Anspruch gegen den Verantwortlichen oder gegen den Auftragsverarbeiter auf Schadenersatz gewährt.

Nach Art. 82 Abs. 3 DSGVO besteht jedoch die Möglichkeit der Exkulpation. Eine Haftung ist dann ausgeschlossen, wenn der potentielle Schuldner nachweist, dass in keinerlei Hinsicht eine Verantwortlichkeit für den Umstand vorliegt, durch den der Schaden eingetreten ist. Dies setzt voraus, dass die jeweils erforderliche Sorgfalt beobachtet wurde, § 276 Abs. 2 BGB. Wurde der Schaden durch ein Datenleck oder den rechtswidrigen Eingriff eines Dritten verursacht, geht es um die Frage, welche Maßnahmen sorgfaltsgemäß aufzuwenden sind, um ein solches Datenleck oder Eingriffe Dritter abzuwenden, mithin wiederum um die Frage, ob der Stand der Technik beobachtet wurde.[8]

III. IT-Grundschutz und IT-Grundschutz-Kompendium

Im Rahmen der Verarbeitung personenbezogener Daten gilt es also mit Blick auf drohende Bußgelder oder eine drohende Haftung auf Schadenersatz unter Berücksichtigung des jeweiligen Stands der Technik diejenigen TOMs und TOVs zu treffen, welche erforderlich sind, um ein jeweils angemessenes Schutzniveau zu gewährleisten.

Typisch für Ermessensentscheidungen weist auch die hier zu treffende Ermessensentscheidung hinsichtlich der erforderlichen TOMs und TOVs eine hohe Komplexität auf, sodass an dieser Stelle wohl jede Hilfestellung bei der Entscheidungsfindung dankbar entgegengenommen werden wird.

Eine solche Hilfestellung bietet der sog. IT-Grundschutz in Zusammenspiel mit dem sog. IT-Grundschutz-Kompendium.

Im Folgenden soll aufgezeigt werden, wie der IT-Grundschutz konzipiert ist, welche rechtlichen Wirkungen seine Umsetzung bei der Verhängung von Bußgeldern oder aber bei Haftungsfragen haben kann und wie man sich diese Rechtsfolgen zunutze machen kann.

Einen elementaren Bestandsteil der IT-Grundschutz-Methodik bilden zunächst die sog. BSI-Standards 200-1, 200-2 und 200-3 sowie der Leitfaden Basis-Absicherung. Dies sind Dokumente, welche Methoden und Vorgehensweisen zu unterschiedlichen Themen im Bereich der Informationssicherheit enthalten.

Der BSI-Standard 200-1 definiert allgemeine Anforderungen an ein Managementsystem für Informationssicherheit, kurz ISMS, während der BSI-Standard 200-2 Hilfestellung beim Aufbau eines solchen ISMS gibt. Der BSI-Standard 200-3 enthält komprimiert alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes. Der Leitfaden zur Basis-Absicherung nach IT-Grundschutz: In 3 Schritten zur Informationssicherheit liefert einen kompakten und übersichtlichen Einstieg zum Aufbau eines ISMS in einer Institution und ist vor allem für kleine oder mittelständische Unternehmen und Behörden zum Einstieg besonders geeignet.

Ein weiterer elementarer Bestandteil der IT-Grundschutz-Methodik ist das IT-Grundschutz-Kompendium, ein umfassendes Nachschlagewerk, welches jährlich im Februar in aktualisierter Form veröffentlicht wird.

Im IT-Grundschutz-Kompendium sind enthalten die sog. IT-Grundschutz-Bausteine. Dies sind Texte, in denen jeweils Gefährdungen und Sicherheitsanforderungen für ein Thema der Informationssicherheit übersichtlich auf rund zehn Seiten erläutert werden und in denen Anwendern konkrete Empfehlungen zur Umsetzung der IT-Grundschutz-Methodik gegeben werden. Die IT-Grundschutz-Bausteine sind in Prozess- und System-Bausteine aufgeteilt und in insgesamt zehn Schichten untergliedert.

Vertiefende Information zur Umsetzung der einzelnen empfohlenen Maßnahmen finden sich in den sog. Umsetzungshinweisen.

Eine Besonderheit der Bausteine des IT-Grundschutz-Kompendiums besteht darin, dass bei der Erstellung der Bausteine bereits eine Risikobewertung für Bereiche mit normalem Schutzbedarf durchgeführt wurde und die Bausteine den aktuellen Stand der Technik abbilden.

Im Gegensatz zur traditionellen Risikoanalyse, bei der zunächst Bedrohungen ermittelt und mit Eintrittswahrscheinlichkeiten bewertet werden, um anschließend geeignete Sicherheitsmaßnahmen auszuwählen und schließlich das noch verbleibende Restrisiko bewerten zu können, sind diese Schritte beim IT-Grundschutz bereits für jeden Baustein durchgeführt worden. Es wurden die für typische Einsatzszenarien passenden standardisierten Sicherheitsanforderungen ausgewählt, die dann von den Anwendern in Sicherheitsmaßnahmen überführt werden können, die zu den individuellen Rahmenbedingungen passen. Bei der IT-Grundschutz-Methodik reduziert sich die Analyse auf einen Soll-Ist-Vergleich zwischen den im IT-Grundschutz-Kompendium empfohlenen und den bereits umgesetzten Sicherheitsanforderungen.

Zur Veranschaulichung, was sich hinter den Bausteinen genau verbirgt und wie die Bausteine konzipiert sind, wird an dieser Stelle der Baustein SYS.3.1 herausgegriffen und in gebotener Kürze vorgestellt.

Der Baustein SYS.3.1 des IT-Grundschutzes befasst sich mit dem Thema Laptops.

Der Baustein wird eröffnet mit dem Abschnitt ,,Beschreibung“. Dieser Abschnitt wiederum beginnt mit einer kurzen Einleitung in das Thema. Anschließend wird das Ziel aufgezeigt, welches mit dem Baustein verfolgt wird, nämlich die Ermöglichung eines sicheren Betriebs von Laptops innerhalb einer Institution sowie die Sensibilisierung für die spezifischen Gefährdungen dieser Geräteklasse. Am Ende des Abschnitts ,,Beschreibung“ erfolgt schließlich noch eine inhaltliche Abgrenzung des Bausteins SYS.3.1. zu anderen Bausteinen. So wird darauf hingewiesen, dass etwa die Auswahl von Betriebssytem- und Softwarekomponenten und deren Installation nicht Gegenstand des Bausteins SYS.3.1 sind, sondern in den Client-spezifischen Bausteinen wie beispielsweise SYS.2.2.3 Clients unter Windows 10, SYS 2.3 Clients unter Linux und Unix oder SYS.2.4 Clients unter macOS beschrieben sind.

Anschließend werden in dem Abschnitt ,,Gefährdungslage“ insgesamt sechs spezifische Bedrohungen und Schwachstellen in Zusammenhang mit dem Umgang mit Laptops, etwa die spezifischen Gefahren durch Diebstahl, die Beeinträchtigungen durch wechselnde Einsatzumgebungen oder die Gefahren durch Fehler bei der Synchronisation, aufgezeigt.

Im Anschluss an den Abschnitt ,,Gefährdungslage“ werden im dritten Abschnitt ,,Anforderungen“ zunächst die für die Umsetzung zuständigen Stellen aufgezeigt, nämlich der IT-Betrieb, bei strategischen Entscheidungen zudem der Informationssicherheitsbeauftragte, die Benutzer selbst und auch die Beschaffungsstelle.

Anschließend werden die Anforderungen, unterteilt in Basis- und Standard-Anforderungen sowie Anforderungen bei erhöhtem Schutzbedarf, aufgeführt.

Die Basis-Anforderungen sind als MUSS-Vorschriften, die Standard-Anforderungen dagegen als SOLL-Vorschriften formuliert. Die Umsetzung der MUSS-Vorschriften ist zwingend. Die Formulierung als SOLL-Vorschrift bringt zum Ausdruck, dass auch diese Anforderungen grundsätzlich zu erfüllen sind, im Einzelfall jedoch Gründe vorliegen können, aus denen eine Umsetzung doch nicht erforderlich ist.

Beispiele für MUSS-Vorschriften im Rahmen des Bausteins SYS.3.1. sind der Einsatz von Personal Firewalls und Antivirenprogrammen.

Beispiele für SOLL-Vorschriften im Rahmen des Bausteins SYS.3.1. sind etwa die Verschlüsselung der Festplatten von Laptops oder aber der Hinweis der Benutzer darauf, wie Laptops aufzubewahren sind.

Schließlich folgen noch die Abschnitte ,,Weiterführende Hinweise“ sowie ,,Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen“.

Welchen Vorteil also bringt es dem Anwender des IT-Grundschutzes, die Basis- und auch die Standard-Anforderungen des Bausteins SYS.3.1. umzusetzen?

Die Umsetzung der Basis-Anforderung sollte bereits zur Eigensicherung erfolgen.

Der Eigensicherung dient auch die Umsetzung der Standard-Anforderungen. Diese haben jedoch noch einen weiter gehenden Effekt.

Wird etwa einem Benutzer eines Laptops der Laptop von einem Dritten entwendet, welcher sich anschließend Zugriff auf die gespeicherten Daten verschafft, so kann dies nicht nur zu Schäden in der eigenen Institution führen, sondern ebenso weitreichende Schäden bei Kunden, Geschäftspartnern oder anderen Dritten nach sich ziehen, deren Daten auf dem Laptop gespeichert waren.

Kommt es anschließend von Seiten des Geschädigten zu einer Inanspruchnahme im Wege des Schadenersatzes, so würden der Nachweis darüber, dass die Festplatte verschlüsselt war, oder aber der Nachweis darüber, dass die Benutzer von Laptops eingewiesen wurden in das Thema ordnungsgemäße Aufbewahrung von Laptops, gewichtige Argumente für die Exkulpation nach Art. 82 Abs. 3 DSGVO darstellen.

IV. Fazit

Die im IT-Grundschutz-Kompendium aufgeführten Anforderungen sollten, wie gesehen, erfüllt werden. Die Umsetzung der aufgeführten Anforderungen liegt dabei zum einen bereits im eigenen Interesse des Unternehmers. Denn obgleich hierauf an dieser Stelle nicht explizit eingegangen wurde, drohen bei mangelnder IT-Sicherheit selbstverständlich auch und gerade immense Eigenschäden etwa bei Verlust der Verfügbarkeit, Vertraulichkeit oder Integrität von Informationen, auf welche eine Institution angewiesen ist.

Die Umsetzung der aufgeführten Anforderungen sollte mit Blick auf die eingangs angesprochenen Haftungs- und Bußgeldrisiken aber auch aus dem Grunde erfolgen, um so ein angemessenes Sicherheitsniveau i.S.v. Art. 32 DSGVO zu erreichen bzw. die mit Blick auf den Stand der Technik gebotene Sorgfalt i.S.v. Art. 82 Abs. 3 DSGVO walten zu lassen.

Die Anforderungen des IT-Grundschutz-Kompendiums sind, wie bereits gesagt, unterteilt in Basis- und Standard-Anforderungen sowie Anforderungen für erhöhten Schutzbedarf. Verpflichten Sie als Versicherungsmakler ihre IT und EDV-Berater, dass die Basis Anforderungen des IT Grundschutz jederzeit in ihrem Betrieb gewährleistet sind. Überlegen Sie auch, ob bei Nichterfüllung vielleicht auch eine Vertragsstrafe angemessen sein könnte.

Es empfiehlt sich im eigenen Interesse zunächst die das Minimum darstellenden Basis-Anforderungen, also dasjenige umzusetzen, was vernünftigerweise an Sicherheitsvorkehrungen umzusetzen ist. Als Einstieg können sich die Anwender auf die Basis-Anforderungen beschränken, um so zeitnah die wirkungsvollsten Anforderungen zu erfüllen. Als Nachweis über die Umsetzung der Basis-Anforderung wird zudem ein entsprechendes Testat angeboten.

Für ein angemessenes Sicherheitsniveau i.S.v. Art. 32 bzw. Art. 82 Abs. 3 DSGVO empfiehlt sich im nächsten Schritt die Umsetzung der Standard-Anforderungen. Die zu den einzelnen Bausteinen herausgegebenen Umsetzungshinweise enthalten zudem Best Practices sowie ergänzende Hinweise, wie die Anforderungen erfüllt werden können.

Eine Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz setzt für den ausgewählten Geltungsbereich sowohl die Umsetzung der Basis- als auch der Standard-Anforderungen voraus.

Die Kanzlei Michaelis steht Ihnen selbstverständlich bei der Umsetzung des IT-Grundschutzes wie gewohnt kompetent zur Seite und beantwortet Ihre Fragen rund um das Thema Haftung und Bußgelder nach der DSGVO.

Die Links zu den angesprochenen Dokumenten finden Sie auch in dieser Übersicht: