Medienrecht: Was bedeutet Resilienz im Datens...
 
Medienrecht

Was bedeutet Resilienz im Datenschutzrecht?

LGP / HORIZONT

Der Begriff Resilienz wird in verschiedenen Wissenschaftsbereichen zur Darstellung der Widerstandsfähigkeit und Belastbarkeit verwendet. Mit der DSGVO hat das Thema auch Einzug in das Datenschutzrecht gehalten.Artikel 32 DSGVO fordert von den-jenigen, die personenbezogene Daten verarbeiten (Verantwortliche und Auftragsverarbeiter), Maßnahmen, die die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der IT-Systeme sicherstellen sollen. Eine Definition des Schutzzieles „Belastbarkeit“ enthält die DSGVO nicht.

Die meisten Auslegungen des Begriffs gehen in Richtung „Robustheit“ und verstehen darunter die Fähigkeit von datenverarbeitenden Systemen, erwartbare Störereignisse zu bewältigen. Eine häufig hierfür eingesetzte Maßnahme ist die Redundanz von Servern. Wenn aber das in der englischen Fassung der DSGVO (GDPR) verwendete Wort „Resilience“ her-angezogen wird, erheben sich Zweifel, ob der Schutz vor erwartbaren Störungen der Datensysteme ausreichend ist, um die geforderte Datensicherheit zu gewährleisten.Der englische Begriff „Resilience“ geht weiter als Belastbarkeit und bedeutet Schutz und Maßnahmen, dass ein System auch in unvorhergesehe-nen Szenarien seine Funktionsfähig-keit aufrechterhalten kann.Um dieses Schutzziel der DSGVO zu erreichen, sind aus Sicht des Datenverarbeiters weitgehende Maßnahmen erforderlich. Dazu gehören die Einrichtung eines Compliance-Datenschutzsystems, Backup-Systeme, Krisenvorkehrungen für das Krisenmanagement im Schadensfall, die Erstellung von Notfallszenarien, klare Vertretungsregelungen im Bereich IT bis hin zu Doppelbesetzungen von IT-Positionen.

Eine empfohlene Maß
nahme aus technischer Sicht ist auch, möglichst viele Einzelkomponenten zu verwenden, weil diese nach Ansicht von IT-Technikern die Systeme weniger angreifbar macht. Die Diskussion, welche Maßnahmen zur Erreichung der Belastbarkeit beziehungsweise Resilienz von Datenverarbeitungssystemen notwendig sind, ist noch nicht beendet, erst die ersten Entscheidungen zu Schadenersatzforderungen nach Störfäl-len werden mehr Klarheit bringen
stats