Inhalt­lich wird die Daten­si­cher­heits­pflicht im Fol­gen­den nicht durch kon­krete tech­ni­sche Mass­nah­men beschrie­ben, son­dern es sol­len Grund­la­gen dar­ge­legt wer­den, mit wel­chen die jeweils pas­sen­den Mass­nah­men gewählt wer­den kön­nen. Damit wird ver­hin­dert, dass bloss ein Mass­nah­men­ka­ta­log vor­ge­stellt wird, wel­cher in die­sem sich rasant ent­wi­ckeln­den Gebiet schnell wie­der ver­al­tet wäre. Es wird aber nicht voll­stän­dig dar­auf ver­zich­tet, an geeig­ne­ter Stelle den­noch bemer­kens­werte Risi­ken oder Schutz­mass­nah­men zu nen­nen. Sie tra­gen zum Ver­ständ­nis des Pro­blems bei und ermög­li­chen es, die abs­trak­ten gesetz­li­chen Vor­ga­ben kon­kret nachzuvollziehen.

Ein ange­mes­se­nes Sicher­heits­ni­veau kann mit­tels sog. Risi­ko­ma­nage­ments erreicht wer­den.¹ Zur Prü­fung der Ange­mes­sen­heit kris­tal­li­siert sich fol­gen­des Vor­ge­hen her­aus:² Die eru­ierte Gefahr (Risi­ko­iden­ti­fi­ka­tion, D.I) muss vom Ver­ant­wort­li­chen (D.II) zuerst ein­ge­schätzt (Risi­ko­ein­schät­zung, D.III.1) und dann bewer­tet (Risi­ko­be­wer­tung, D.III.2) wer­den. Das Resul­tat ist eine Schutz­ni­veau­zu­tei­lung (D.III.3), anhand derer die Sicher­heits­mass­nah­men (Risi­ko­be­wäl­ti­gung, D.IV) getrof­fen wer­den kön­nen. Ziel ist die Reduk­tion der Risi­ken auf ein tole­rier­ba­res Niveau (vgl. Kapi­tel Sicher­heit als Grund­be­griff).

Sche­ma­ti­sche Dar­stel­lung der hier benutz­ten Methodik:

---

¹ Favre, S. 161; Weber, Stan­dards, S. 189 ff.; Weber/Willi, S. 206; vgl. Lub­ich, S. 463 ff.
² In die­sem Blog wird grund­sätz­lich ISO Guide 73 gefolgt. Ähn­li­ches ist bei Meier, Rz 791, Peter, S. 157 f., Sta­e­ger, S. 385 ff., sowie Wild­ha­ber, Infor­ma­ti­ons­si­cher­heit, S. 135 ff. erkenn­bar. Das Gros der Risi­ko­ma­nage­ment­stan­dards beruht auf die­ser Grund­lage. Auch der EDÖB emp­fiehlt die­ses Vor­ge­hen: EDÖB, Leit­fa­den, S. 22.