Wichtig bei dem Kanon der Neuerungen ist jedoch die Beweislastumkehr. Im Fall eines Datenschutzverstoßes ist der Unternehmer in der Beweislast darzulegen, welche technischen und organisatorischen Maßnahmen er unternommen hat, um dem Datenschutz gerecht zu werden.

Und genau das ist der springende Punkt auf den es ankommt. Je nachdem wie hoch das installierte Risikomanagement ist und welche Maßnahmen ergriffen wurden steuert nämlich das Maß der Sanktionen. Ah, halt – es geht also darum, einen geregelten Prozess zum Risikomanagement zu etablieren. In dem Kontext ergibt das Ganze wieder einen Sinn. Während das IT-Sicherheitsgesetz darauf abzielt, kritische Infrastrukturen zu schützen (das IT-Sicherheitsgesetz wurde recht stumpf aus dem NIS-Rahmen der USA abgekupfert) und den Datenverkehr im World Wide Web zu schützen, zielen wir mit dem BSI-(Bundesministerium für Sicherheit und Informationstechnik)-Katalog auf sicherheitsanfällige Komponenten ab.

Muss der eigene Betrieb zum Hochsicherheitsrechenzentrum mutieren? 

Für die Praxis heißt das, dass die technischen Komponenten einer IT-Umgebung durch diesen Rechtsrahmen besonders abgesichert sein sollen. Ob das die Kommunikation mit E-Mail, Messengern, Cloud Dateidiensten ist, aber auch der Datenaustausch über Schnittstellen. Technisch soll die Kommunikation End-to-End verschlüsselt sein, revisionssicher, mit Zugangsvorrichtungen und Passwortrichtlinien versehen sein – und all den anderen netten Komponenten die IBM, HP, Cisco und Microsoft so gerne im Angebot haben und gut und teuer sind.

Das stellt man sich ernsthaft die Frage, ob der eigene Betrieb zum Hochsicherheitsrechenzentrum mutieren soll? Die Zahnärzte, zum Beispiel mit der neuen Telematik-Infrastruktur im Rahmen der e-Health Kampagne, können ein Lied davon singen. Und ich befürchte, in deutscher Gründlichkeit werden wir wie immer über das Ziel hinausschießen und versuchen alles physikalisch Denkbare in Gesetze zu pressen und so in den Markt zu drücken. Das wird noch spannend werden.

Doch zurück zum Risikomanagement. Und was konzeptionell eigentlich gewollt ist, dazu ein Beispiel, wie man sich das vorstellen kann: Ein Unternehmer, der umfassende Maßnahmen wie einen Datenschutzbeauftragten, technisch organisatorische Maßnahmen wie Verfahrensverzeichnisse, Verschlüsselung der Daten aber auch Zutrittsberechtigungen geregelt hat, dürfte im Fall der Fälle mit einer geringeren Sanktion rechnen als jemand der sich nur minimal gekümmert hat und nur Impressum, verschlüsselte E-Mails und saubere Datenschutzerklärungen vorweisen kann.