Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Passend zum Jahreswechsel betreten wir neues Terrain: Kapitel IV der DS-GVO – „Verantwortlicher und Auftragsverarbeiter“ – beginnt mit Abschnitt 1 „Allgemeine Pflichten“ und führt uns durch Artikel, die jede/r Datenschützer/in bestens kennt. Aber vielleicht gibt es auch hier auf den zweiten Blick Neues zu entdecken?

Art. 24 mit der schwurbeligen Überschrift „Verantwortung des für die Verarbeitung Verantwortlichen“ lohnt eine genaue Besichtigung nur in Absatz 1. Die Absätze 2 und 3 gehören in die Rubrik „Streichungspotenzial“. Sie sind inhaltsleer und überflüssig. Vielleicht gerade deshalb zuerst dazu:

Absatz 2

Dieser Absatz verlangt mit großem Ernst, dass der Verantwortliche geeignete Vorkehrungen trifft, wenn sie angemessen sind. Das muss er schon nach Absatz 1. Grund für Absatz 2 ist wahrscheinlich, dass der Gesetzgeber Artikel mit mehreren Absätzen schöner findet.

Absatz 3

Auf den darauffolgenden Absatz trifft dasselbe zu: Nichts würde sich verändern, wenn er in der DS-GVO fehlte. Wer sich Verhaltensregeln oder Zertifizierungsverfahren unterwirft, die nach Art. 40 und 42 der DS-GVO genehmigt werden, außerdem (wichtig!) diese Regeln und Verfahren dann auch einhält, der hat wahrscheinlich einige Pflichten als Verantwortlicher erfüllt. Das ist einerseits selbstverständlich und hilft andererseits in der Praxis nicht weiter, weil: Ob die Verhaltensregeln oder Zertifizierungsverfahren wirklich eingehalten werden, muss man eben doch prüfen. Und selbst wenn sie nachweisbar eingehalten werden, ist damit noch nicht die Erfüllung sämtlicher Pflichten nachgewiesen.

Absatz 1

Absatz 1 ist der Kern von Artikel 24:

• Der Verantwortliche gemäß Art. 4 Nr. 7 DS-GVO muss geeignete technische und organisatorische Maßnahmen umsetzen, damit die Verarbeitung personenbezogener Daten nachweisbar DS-GVO-konform erfolgt. Der Gesetzgeber hat auch gleich noch ein halbes Dutzend Kriterien mitgeliefert für die Beurteilung der Frage, welche Maßnahmen nötig sind. Berücksichtigt werden sollen Art, Umfang, Umstände und Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere der Risiken.

• Satz 2 stellt klar, dass die Maßnahmen geprüft und aktuell gehalten werden müssen. Berufserfahrene Datenschützer haben dazu immer wieder den PDCA-Zyklus gezeigt bekommen und schlimmstenfalls anderen gezeigt. Wer davon noch nichts gehört hat, benutze die Suchmaschine seiner Wahl.

Mit dem ausdrücklichen Bezug auf „unterschiedliche Eintrittswahrscheinlichkeiten und Schwere der Risiken“ enthält Absatz 1 Satz 1 eine wichtige und sinnvolle Regel: Datenschutzmaßnahmen sollen nicht Ressourcen vergeuden, sondern im angemessenen Rahmen bleiben. Natürlich lässt sich lange und heftig darüber streiten, was im Einzelfall risikoangemessen ist. Aber klar ist jedenfalls, dass nicht jede denkbare Sicherungsmaßnahme erfolgen muss. Auch im Datenschutz gilt die Regel: Nicht so sicher wie möglich, sondern so sicher wie nötig.

In der Praxis werden aus den beiden Faktoren Eintrittswahrscheinlichkeit und Schwere des Risikos dann oft Matrizen gebastelt, z. B.: Eintrittswahrscheinlichkeit niedrig, unbekannt und hoch sowie Schwere geringfügig, merklich und existenziell ergibt ein Feld mit neun Kästchen. Ähnliche Risikobewertungen finden sich in der IT- und Informationssicherheit. Leider ist in den seltensten Fällen eine eindeutige Quantifizierung möglich (z. B. von x E-Mails mit sensiblen Daten werden y E-Mails versehentlich an falsche Empfänger zugestellt, mit erheblichen aber nicht existenziellen Folgen für die Betroffenen). Möglich und ausreichend ist aber fast immer, dass fachkundige Personen (z. B. diejenigen Menschen, die eine Datenverarbeitung durchführen) sich auf eine gemeinsame Risiko-Einschätzung verständigen und diese begründen.

Sinnvoll ist ganz oft auch der in Art. 35 Abs. 9 DS-GVO für die Datenschutzfolgenabschätzung vorgesehene Weg: Betroffene oder deren Interessenvertreter beteiligen. Und oft sind ja auch die datenverarbeitenden Personen selbst von der Bearbeitung betroffen, beispielsweise die Personal- und IT-Abteilung entwickelt ein Verfahren zur digitalen Übermittlung der Gehaltsabrechnungen an die Beschäftigten. Die dabei tätigen Mitarbeiter werden eine realistische Meinung haben, wie sehr es schmerzt, wenn die eigene Gehaltsabrechnung dem Kollegen zugeht.

Immer wieder begegnet man in der Praxis übertriebenen Abstufungen, teils unfreiwillig komisch (z. B.: Eintrittswahrscheinlichkeit ganz klein, klein, eher klein, eher groß, groß und ganz groß). Gute Argumente und Möglichkeiten, mehr als drei Stufen zu trennen, sind mir bisher nicht begegnet.

Die Verantwortlichen sollen Art, Umfang, Umstände und Zwecke der Verarbeitung in den Blick nehmen. Etliches davon fließt in die Risikobewertung ein. Bei sehr umfangreichen Verarbeitungen erhöht sich meist das Fehlerrisiko. Bei „verinselten“ IT-Anwendungen ohne Netzanbindung sind viele Risiken minimiert. Und manches ist wichtig für die Frage, wie viel Rest-Risiko erlaubt ist, z. B. bei gesetzlich zwingend vorgeschriebenen Verarbeitungen.

Dann bleibt noch zu beachten, dass die „geeigneten technischen und organisatorischen Maßnahmen“ nicht nur eine gesetzeskonforme Verarbeitung sicherstellen sollen, sondern überdies den entsprechenden Nachweis. Deshalb gehört z. B. auch ein Zugriffsprotokoll bei Datenbanken mit sensiblen Inhalten zu den technischen und organisatorischen Maßnahmen nach Art. 24 Abs. 1 DS-GVO.

Sind wir bald da?

So weit, so einfach. Art. 24 Abs. 1 Satz 1 DS-GVO enthält aber noch ein sehr schwieriges Grundsatzproblem des Datenschutzes überhaupt. Wir können es nur kurz anschauen und wandern dann weiter – bei einem Spaziergang wird es nicht zu lösen sein:

Wenn der Verantwortliche Risiken abschätzen und geeignete Schutzmaßnahmen treffen soll, muss er die Verarbeitung natürlich kennen und beherrschen. Genau dies ist in der Praxis aber meist nicht der Fall. Ganz oft (fast immer) werden IT-Verfahren eingesetzt, ohne dass der nach der DS-GVO Verantwortliche die Verfahren wirklich kennt und beherrscht. – Bitte nicht die übliche Antwort dann darf er die Verfahren nicht einsetzen. Ein Problem verschwindet nicht, wenn man es verbietet.

Wenn Dachdeckermeister X mit dem Firmen-Lkw durch die Stadt fährt, darf er sich auf die letzte Hauptuntersuchung verlassen und muss den Lkw nicht selbst technisch prüfen. Für das IT-Verfahren seiner Lohnbuchhaltung soll aber geradestehen. Irgendetwas ist da im Datenschutzrecht noch unausgereift. Letztlich geht es vielleicht um die Grenze zwischen der Verantwortung des Softwareanbieters und des Softwarenutzers. Für Gesundheits- und Umweltschäden gibt es Regeln zur Produkthaftung. Wieso nicht auch für Datenschutzverletzungen?

Auch Verantwortliche, die sich tatsächlich Mühe geben sind mit der Verantwortung nach Art. 24 DS-GVO derzeit häufig überfordert. Das hat in den letzten Jahren die Sympathiehürde für den Datenschutz nicht gerade reduziert. Ein besseres Konzept ist noch nicht gefunden.

Vielleicht 2026? Ihnen alles Gute fürs neue Jahr!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde am 20. März 2025 als alleinige staatliche Zertifizierungsstelle gemäß der Verordnung (EU) 2019/881 des Europäischen Parlamentes und Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit), auch „Cybersecurity Act“ (CSA) genannt, bei der Europäischen Kommission notifiziert. Was hinter der Notifizierung steckt, welche gesetzliche Grundlage hier in Bezug genommen wird und welche Aufgaben und Zuständigkeiten in Zukunft auf das BSI zukommen, soll sich der heute Blog-Beitrag befassen.  

Welche Rolle spielt der CSA im IT-Sicherheitsrecht?

Eine Vielzahl von Rechtsnormen stellen mittlerweile Anforderungen an die Cybersicherheit oder fordern eine angemessene Sicherheit, IT-Sicherheit beziehungsweise Cybersicherheit. Gekennzeichnet ist das Rechtsgebiet des IT-Sicherheitsrechtes beziehungsweise der Cybersicherheit durch einen hohen Grad an Zersplitterung und teilweise uneinheitliche Regelungen. Innerhalb nur weniger Jahre wurden auf europäischer Ebene zahlreiche Regelungen mit Bezug zur Cybersicherheit verabschiedet oder auf den Weg gebracht. Hierzu zählen insbesondere der Cybersecurity Act, die NIS-2-Richtlinie, die KI-Verordnung sowie zuletzt der Cyber Resilience Act (CRA) und der Digital Operational Resilience Act (DORA).

Der CSA stellt einen Baustein der Cybersicherheitsarchitektur der Europäischen Union dar. Durch diesen Rechtsakt wird unter anderem die Agentur der Europäischen Union für Cybersicherheit (ENISA) etabliert und das Instrument der Cybersicherheitszertifizierung für Produkte, Dienstleistungen und Prozesse eingeführt. Der CSA zielt darauf ab, ein hohes Maß an Cybersicherheit, Cyberresilienz und Vertrauen in der Europäischen Union zu erreichen. Er stärkt die Rolle der ENISA (European Union Agency for Cybersecurity). Zudem etabliert er einen einheitlichen europäischen Zertifizierungsrahmen für IKT-Produkte, -Dienstleistungen und -Prozesse.

Was gibt es zu den Zertifizierungen zu wissen?

Insbesondere der Zertifizierungsrahmen der Artt. 46 ff. CSA verändert das Verfahren zur Entwicklung von Zertifizierungsschemata und die Zertifikatsvergabe in der Europäischen Union. Der CSA zielt darauf ab, einen organisatorischen und verfahrensrechtlichen Rahmen der Cybersicherheit fortzuentwickeln. Von Bedeutung ist hierbei, dass der CSA von einer freiwilligen Zertifizierung ausgeht, soweit durch europäisches Recht nichts Anderweitiges vorgegeben ist.

Kernelement des einheitlichen europäischen Rahmens im Bereich der Cybersicherheits-Zertifizierung sind die auszuarbeitenden Zertifizierungsschemata. Zu beachten ist, dass kein Zertifizierungsstandard oder -verfahren festgelegt, sondern ein Rahmenwerk für IT-Sicherheitszertifizierungen basierend auf Schemata für bestimmte Produkte, Dienstleistungen und Prozesse von Netz- und Informationssystemen geschaffen wird. Dies erfolgt anhand der drei unterschiedlichen Vertrauenswürdigkeitsstufen niedrig, mittel und hoch. Die Schemata entstehen unter anderem unter der ENISA und der Europäischen Kommission.

Damit wird auch deutlich, dass die Cyber-Zertifizierungen somit auf einem zwei-stufigen-Modell beruhen. Die Art. 46 ff. CSA schaffen einen rechtlichen Rahmen für die Entwicklung der Schemata und erst innerhalb der erschaffenen Schemata werden der Anwendungsbereich, die Art und der Umfang der Prüfung sowie sonstige Anforderungen festgelegt.

Zur weiteren Effizienzsteigerung des Cyber-Sicherheitszertifizierungsrahmen wird zudem in Art. 53 CSA die Möglichkeit geschaffen, dass Hersteller im Bereich der Vertrauenswürdigkeitsstufe niedrig eine vereinfachte Konformitätsbewertung durchführen lassen können. Dies wird aller Voraussicht nach insbesondere im Bereich Internet of Things zur Anwendung kommen.

Weiterhin wird nach Art. 55 CSA allen Produkten, Diensten oder Prozessen, die nach einem solchen Zertifizierungsschemata zertifiziert sind oder einer solchen vereinfachten Bewertung unterzogen wurden künftig eine Art „Beipackzettel“ mit Aussagen zu den spezifischen Sicherheitseigenschaften beizulegen sein. Schließlich sind nach Art. 58 CSA durch die Mitgliedstaaten eine oder mehrere Behörden für die Cybersicherheitszertifizierung zu benennen.

Was bedeutet die Notifizierung für das BSI?

Laut Pressemitteilung darf das BSI ab sofort Anträge von Herstellenden bearbeiten, die ein europäisches Cybersicherheitszertifikat für Produkte mit der Vertrauenswürdigkeitsstufe hoch erteilt bekommen wollen: „Zertifizierung auf dieser Vertrauenswürdigkeitsstufe bedeutet, dass Produkte einer Prüfung und Bewertung unterzogen werden, die darauf ausgerichtet ist, das Risiko von Cyberangriffen nach dem neuesten Stand der Technik durch Akteure mit umfangreichen Fähigkeiten und Ressourcen möglichst gering zu halten. […] Bisherige inhaltliche Divergenzen ausschließlich nationaler Zertifikate der Mitgliedstaaten werden von nun an vermieden.“

Das BSI in Person von Sandro Amendola, Leiter der Abteilung Standardisierung, Zertifizierung und Prüfung äußerst sich wie folgt: „[…] Das BSI erfüllt damit seine Aufgaben als zertifizierende und aufsichtführende Nationale Behörde für die Cybersicherheitsziertifizierung, der NCCA. Ab sofort ist es allen Herstellenden möglich, Produkte nach EUCC mit der Vertrauenswürdigkeitsstufe hoch durch das BSI zertifizieren zu lassen. Dabei konnte der Übergang von der nationalen CC-Zertifizierung hin zur europäischen EUCC-Zertifizierung ohne Unterbrechung gewährleistet werden.“

Fazit

Durch die Notifizierung des BSI als Zertifizierungsstelle wird zum einen die Wirkung und die Anwendung des CSA weiter vorangetrieben. Zum anderen greifen weitere Vorkehrungen der Sicherheitsarchitektur der Europäischen Union und fördern so das avisierte Ziel der Erhöhung der Cybersicherheit.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.