Im Mai 2024 wird die Datenschutz-Grundverordnung (DSGVO) – der wohl wichtigste Rechtsakt zum Datenschutz in Europa – bereits seit sechs Jahren verbindlich zu beachten sein. Für viele Organisationen war der Weg zur Rechtskonformität ein steiniger und dauerte weit über den Zeitpunkt, ab dem die Vorschriften der DSGVO erstmalig verbindlich zu beachten waren, hinweg an.
Nun steht vielen Organisationen bereits die nächste Herausforderung bevor: die Verordnung über Cyberresilienz (CRA) – einer der wichtigsten Rechtsakte zur Cybersicherheit in Europa. Dreh- und Angelpunkt beider Verordnungen ist die Notwendigkeit zur Umsetzung einer Risikobewertung und eines darauf aufbauenden Risikomanagements, also der Identifikation möglicher Risiken, ihrer Bewertung und gegebenenfalls deren Behandlung.
Es gibt viele Beispiele dafür, dass die Pflichten der DSGVO und des CRA von ein und derselben Organisation beachtet werden müssen. Hierfür muss es sich beim Verantwortlichen (DSGVO) und beim Hersteller (CRA) um dieselbe Stelle handeln. Verbreitete Beispiele sind Hersteller von Smartphone-Apps oder Wearables. Viele Apps bieten personalisierte Dienste, welche mit Nutzerkonten verknüpft und erst über das Internet möglich werden, beispielsweise Messenger, Musik- oder Video-Streaming oder Online-Spiele. In ähnlicher Weise nutzen Wearables, wie zum Beispiel Smartwatches oder Fitnesstracker, oft eine eigene Internetverbindung oder die eines per Bluetooth gekoppelten Smartphones, um aufgezeichnete Daten an den Hersteller zu übermitteln, der diese im Rahmen seines Dienstangebots verarbeitet.
Perspektive der DSGVO
Die DSGVO verfolgt einen risikobasierten Ansatz, was bedeutet, dass die Höhe des Risikos für die Rechte und Freiheiten betroffener Personen unmittelbar mit dem Umfang und der Art der getroffenen Schutzmaßnahmen verknüpft wird. Sprich: Bestehen im Rahmen einer personenbezogenen Datenverarbeitung einer Organisation nur geringe Risiken für die Rechte und Freiheiten betroffener Personen, so muss die Organisation deutlich weniger Schutzmaßnahmen treffen als bei personenbezogenen Datenverarbeitungen mit hohen Risiken.
Perspektive des CRA
Während die DSGVO Menschen vor einer unrechtmäßigen Verarbeitung ihrer personenbezogenen Daten schützt, soll der CRA dafür sorgen, dass, einfach gesagt, netzwerkfähige Produkte nicht als Einfallstor für unbefugte Zugriffe ausgenutzt werden können. Dazu soll der CRA das allgemeine Cybersicherheitsniveau solcher Produkte innerhalb der EU branchenübergreifend auf ein einheitliches Level heben.
Der finale Text des CRA steht noch nicht fest und die Verordnung ist noch nicht anwendbar. Die förmliche Verabschiedung wird in den kommenden Monaten erwartet. Danach finden die Regelungen des CRA wohl nach einer Übergangsfrist von 36 Monaten erstmalig Anwendung (für einige Pflichten wird voraussichtlich eine kürzere Übergangsfrist von 21 Monaten bestehen). Da der finale Verordnungstext noch nicht verabschiedet wurde, sind die folgenden Aussagen als vorläufig zu betrachten.
Grundsätzlich soll der CRA für Produkte mit digitalen Elementen gelten, die sich mit anderen Geräten oder Netzen, wie dem Internet, verbinden lassen. Dazu können physische Produkte wie Festplatten, Router, Drucker oder Smart-Home-Geräte gleichermaßen wie auch digitale Produkte wie Browser, Apps oder Passwort-Manager zählen.
Die Verpflichtungen im Rahmen des CRA treffen dabei in erster Linie die Hersteller solcher Produkte (aber auch Händler und Importeure können dem CRA unterliegen): Zum einen werden umfassende Anforderungen an die Cybersicherheit solcher Produkte gestellt. Demnach sollen Cybersicherheitsmaßnahmen von Anfang an bei der Konzeption, Entwicklung und Herstellung berücksichtigt werden; man spricht auch von Security by Design. Zum anderen gibt es organisatorische Anforderungen, die Hersteller dazu verpflichten, Verfahren einzuführen, um auftretende Schwachstellen in einem Produkt schnellstmöglich erkennen, melden und beheben zu können.
Ebenso wie die DSGVO, verfolgt auch der CRA einen risikobasierten Ansatz: Zunächst hat der Hersteller die Cybersicherheitsrisiken, die mit dem konkreten Produkt verbunden sind, umfassend zu bewerten. Abhängig von dem Ergebnis dieser Risikobewertung ist zu bestimmen, welche konkreten Cybersicherheitsmaßnahmen zu ergreifen sind. Wie schon im Rahmen der DSGVO geht es dabei darum, den mit den Maßnahmen einhergehenden Aufwand angemessenen zum bestehenden Risiko zu halten.
Zusammenschau zwischen DSGVO und CRA
Verantwortliche im Sinne der DSGVO müssen unter Abwägung des Risikos, das durch ihre Datenverarbeitung für die betroffenen Personen besteht, Maßnahmen zum Schutz der Rechte und Freiheiten dieser ergreifen. Schutzmaßnahmen zielen darauf ab, die Sicherheit der Verarbeitung der zuvor erhobenen personenbeziehbaren Daten zu gewährleisten. In der Regel ist hierbei ein Bündel an Maßnahmen umzusetzen, beispielhaft nennt die DSGVO die Verschlüsselung und Pseudonymisierung.
Hersteller, die ein netzwerkfähiges Produkt im Sinne des CRA produzieren, müssen in ähnlicher Weise eine Bewertung dahingehend durchführen, welche Risiken für Endanwender bei der Verwendung ihres Produkts bestehen. Im Anhang des CRA werden grundlegende Cybersicherheitsanforderungen ausgeführt, deren Umsetzung als Maßnahmen für das Risikomanagement bei netzwerkfähigen Produkten dienen können, wie zum Beispiel Schutz vor unbefugtem Zugriff oder Verschlüsselung relevanter Daten.
Das Risikomanagement, also vereinfacht gesagt, wie mit dem ermittelten Risiko umgegangen und ihm praktisch entgegengewirkt werden soll, zielt darauf ab, das identifizierte Risiko durch angemessene Schutzmaßnahmen zu begrenzen beziehungsweise zu reduzieren.
Starre Aufteilung von Verantwortlichkeiten
In vielen Organisationen besteht die Tendenz, dass Juristen und Ingenieure in separaten Teams und in unterschiedlichen Phasen des Produktlebenszyklusses an unabhängigen Risikobewertungen arbeiten und dabei die jeweiligen Teilrisiken über- oder unterschätzen, weil sie nicht auf die Expertise der jeweiligen Gegenseite zurückgreifen. Zwar können auch am Ende alle Risikobewertungen in einer Gesamtrisikobewertung zusammengeführt werden, wenn jedoch aufgrund von unterschiedlichen Initialbewertungen und Bewertungszeitpunkten bereits Maßnahmen umgesetzt wurden, die vor dem Hintergrund des resultierenden Gesamtrisikos übertrieben oder nicht ausreichend sein können, führt dies häufig zu Nacharbeiten und damit zu zusätzlichen, eigentlich vermeidbaren Kosten.
Bei einer ganzheitlichen und interdisziplinären Risikobewertung werden die datenschutzrechtlichen Risiken der Datenverarbeitung von Anfang an unmittelbar in Verbindung mit den Risiken der geplanten technischen Umsetzung im Produkt betrachtet, sodass am Ende des Prozesses eine Gesamtrisikobewertung steht. Es bietet sich deshalb an, die Risikobewertung für DSGVO und CRA als eine Gesamtrisikobewertung durchzuführen, wenn ein Hersteller für eines seiner Produkte sowohl die DSGVO als auch den CRA beachten muss.
Eine solche Gesamtrisikobewertung kann durch die Bündelung von Rechts- und Technikexpertise ressourcenschonender sein, im Vergleich zu zwei unabhängig voneinander erarbeiteten Risikobewertungen. Hersteller, die für ihr Produkt bereits die Anforderungen der DSGVO umgesetzt haben und in absehbarer Zeit die Anforderungen des CRA ergänzend umsetzen müssen, können einen ganzheitlichen Ansatz in der Art nutzen, dass sie die vorhandene DSGVO-Risikobewertung um die aufgrund des CRA zusätzlich zu betrachtenden Cybersicherheitsrisiken zu einer neuen Gesamtrisikobewertung erweitern.
Im Hinblick auf das Risikomanagement ist zu erwarten, dass Maßnahmen, welche den Schutz im Sinne der DSGVO sicherstellen sollen, mindestens in Teilen auch Sicherheitsmaßnahmen sind, welche das Cybersicherheitsrisiko des Produkts im Sinne des CRA reduzieren können. Ein Beispiel für eine derartige Maßnahme ist die Verschlüsselung von Daten, die beide Rechtsakte explizit als mögliche Schutzmaßnahme nennen.
Es ist also ratsam, nicht nur die Risikobewertungen von DSGVO und CRA zusammenzuführen, sondern diese Risikobewertung von Beginn an in einem gemeinsamen, interdisziplinären Ansatz von Recht und Technik anzugehen. Da der CRA noch nicht anwendbar ist und in den meisten Organisationen erst mit dessen Umsetzungsplanung begonnen wird, ist jetzt ein guter Zeitpunkt Datenschutz und Cybersicherheit gemeinsam anzugehen.
Die Autoren sind Mitarbeitende von Athene und Fraunhofer SIT, die Organisationen bei der Umsetzung rechtlicher und technischer Anforderungen zu Cybersicherheit und Datenschutz unterstützen und dazu schulen. Der Beitrag gibt die persönliche Meinung der Autoren wieder. Dieser Beitrag wurde vom Bundesministerium für Bildung und Forschung (BMBF) und vom Hessischen Ministerium für Wissenschaft und Kunst (HMWK) im Rahmen ihrer gemeinsamen Förderung für das Nationale Forschungszentrum für angewandte Cybersicherheit Athene unterstützt.
Die in diesem Beitrag enthaltenen Informationen sind sorgfältig erstellt worden, können eine Rechtsberatung jedoch nicht ersetzen. Eine Haftung oder Garantie dafür, dass die Informationen die Vorgaben der aktuellen Rechtslage erfüllen, wird daher nicht übernommen. Gleiches gilt für die Brauchbarkeit, Vollständigkeit oder Fehlerfreiheit, so dass jede Haftung für Schäden ausgeschlossen wird, die aus der Benutzung dieser Informationen entstehen können. Diese Haftungsbeschränkung gilt nicht in Fällen von Vorsatz.