Belastbarkeit der Systeme

Die Sicherheit der Verarbeitung wie in Art. 32 Abs. 1 lit. b DSGVO vorgegeben, gibt verantwortlichen Stellen Aufgaben über die Belastbarkeit ihrer Systeme und Dienste vor. Es geht hierbei um die Verarbeitung von Daten auf Dauer sicherzustellen. Die Belastbarkeit ist eine recht neue Forderung der Sicherheit der Verarbeitung. Sie taucht das erste Mal in der Datenschutz-Grundverordnung auf. Im alten Bundesdatenschutzgesetz (BDSG) wurde die Belastbarkeit von Systemen und Diensten noch nicht als Schutzziel genannt.
Suchen Sie im Internet nach „Belastbarkeit“ und „DSGVO“. Sie werden oft auf „Verfügbarkeit und Belastbarkeit von Systemen“ stoßen, denn die Belastbarkeit steht im Datenschutz in engem Zusammenhang mit dem Schutzziel der Verfügbarkeit. Weil eine Abgrenzung zwischen diesen beiden Forderungen etwas schwierig ist, werden beide Schutzziele oft in einem Atemzug genannt.
Die Belastbarkeit Ihrer Systeme als Schutzziel stellen Sie durch Ihre technischen und organisatorischen Maßnahmen (TOMs) sicher.

Der Begriff Belastbarkeit

Sie verstehen unter dem Begriff Belastbarkeit vielleicht, dass man etwas aushält bzw. aushalten kann. Wie im Arbeitsalltag. Sie halten den täglich anfallenden Aufgaben und Anforderungen stand, und sind ihnen gewachsen.
Der Vergleich zur Belastbarkeit im Datenschutz ist hier schon ziemlich nah dran. In der englischen Fasseng der DSGVO wird übrigens der Begriff „resilience“ verwendet. Das kann man ganz einfach mit Resilienz, bzw. Widerstandsfähigkeit übersetzen.

Belastbarkeit und Widerstandsfähigkeit

Die DSGVO gibt Systemen mit denen Sie personenbezogene Daten verarbeiten Belastbarkeit und Widerstandsfähigkeit vor. Die Systeme sollen Widrigkeiten aushalten. So wie im täglichen Leben: Die Systeme müssen Stress, viele Termine, Aufgaben oder Anfragen unter einen Hut bringen können. Sie dürfen unter deren Last nicht zusammenbrechen. Die Funktionsfähigkeit bleibt bei belastbaren Systemen erhalten.
Das gilt nicht nur für nette, sondern auch für kritische Aktionen. Also nicht nur vielen Bestellungen, sondern auch Ausfällen und Angriffen gegenüber müssen Sie widerstandsfähig sein. Ein Webserver darf nicht gleich ein „Burnout“ bekommen, wenn mal viel los ist. Solche Spitzen müssen die Systeme verkraften und aushalten.
Hier schließt sich dann der Kreis mit der Verfügbarkeit: bricht ein System unter Last zusammen, sind Daten möglicherweise nicht mehr verfügbar…

So sieht Belastbarkeit im Datenschutz aus

Ihre Systeme und Dienste sollen trotz möglicher Störungen oder Fehler bei hohen Belastungen stets funktionsfähig sein und bleiben. Besonders in Hinblick auf die personenbezogenen Daten müssen ihre Systeme und Dienste weiterhin auch die geforderte Sicherheit gewähren. Die Sicherheit, besser gesagt die Sicherheit der Verarbeitung ist auch hier wie im technischen Datenschutz üblich das zentrale Thema. Das bedeutet, alle Systeme mit denen Sie personenbezogene Daten verarbeiten, müssen dem Stand der Technik entsprechen. Denken Sie dabei an interne Zugriffe von Unbefugten, eine Belastung durch einen Angriff von außen, oder einen unbeabsichtigten Verlust. Die Sicherheit der personenbezogenen Daten steht immer im Fokus der DSGVO – Vertraulichkeit, Integrität und Verfügbarkeit werden ergänzt durch Belastbarkeit.

Belastbarkeit umsetzen / so fangen sie am besten an

Damit Sie die Anforderungen an die Belastbarkeit umsetzen können, prüfen Sie zunächst auf welchen Systemen und Diensten Sie in Ihrem Unternehmen personenbezogene Daten verarbeiten. Hierbei hilft ein Blick in das Verzeichnis von Verarbeitungstätigkeiten. Das brauchen Sie nach den Vorgaben der DSGVO ohnehin. Wenn Sie keins haben, erstellen Sie eins.
Als nächstes sehen Sie sich auch die technischen und organisatorischen Maßnahmen an. Diese sind schließlich dazu da, die Anforderungen an die Sicherheit der Verarbeitung, die Schutzziele, zu erfüllen.
Stellen Sie sich dann die Frage, ob die getroffenen Maßnahmen ausreichend sind. Wichtig ist vor allem, dass sie dem Stand der Technik entsprechen und aktuell sind. Berücksichtigen Sie eine mögliche Eintrittswahrscheinlichkeit und wie schwer das Risiko für die Recht und Freiheiten von natürlichen Personen (Menschen) ausfallen könnte.
All das gleichen Sie miteinander ab. Ist das Schutzniveau (TOMs) in Anbetracht der Risiken ausreichend sein. Falls nicht, ergreifen Sie weitere Maßnahmen – so lange, bis es reicht.

Relevante Systeme und Dienste prüfen Sie vor allem regelmäßig.
Für die Prüfung auf die Belastbarkeit von Systemen und Diensten gibt es verschiedene Werkzeuge und Möglichkeiten. Beispielsweise ein sogenannter Stresstest bzw. Belastungstest. Sie finden wahrscheinlich auch oft Pentest, oder Penetrationstest. Zusammengefasst handelt es sich um umfassende Sicherheitstests. Lassen Sie das vom Profi erledigen und nehmen Sie sich ausreichend Zeit für Beratung und Durchführung.
Richten Sie besondere Aufmerksamkeit auf Firewalls, Hardware- und Softwarevarianten, und wählen Sie Ihre IT-Dienstleister sorgfältig aus.
Wie immer benötigen Sie im Datenschutz eine Dokumentation Ihrer Mühen als Nachweis. Schreiben Sie also alles auf und machen Ihre Entscheidungen nachvollziehbar.