ePA, sichere Identitäten und Telematikinfrastruktur
ePA, sichere Identitäten und Telematikinfrastruktur

Sicherheitskonzeption für die Benutzerregistrierung in einer App

Der Digitalausschuss wurde um Beratung gebeten, welche formalen Bedingungen ein Sicherheitskonzept für Apps erfüllen muss, ob hierzu ein Aufbau nach BSI-Grundschutz 200-2 erwartet wird und ob bei einem Registrierungsprozess per Briefpost ebenfalls ein Sicherheitskonzept erwartet wird.  

Einschlägige Anknüpfungspunkte für die Bewertung dieser Fragen ergeben sich aus den Vorgaben der DSGVO: Artikel 32 DSGVO legt fest, dass Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergreifen müssen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Bei der Auswahl der zu treffenden Maßnahmen ist unter anderem der Stand der Technik und die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Zudem ist ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen erforderlich. Eine korrespondierende Nachweispflicht hierzu ergibt sich aus Artikel 5 Abs. 2 DSGVO.

Ein Sicherheitskonzept muss folglich darstellen, welche Risiken für die Sicherheit der Verarbeitung von personenbezogenen Daten bestehen und wie diese bewertet und behandelt werden. Dies ist unabhängig von der Frage, ob ein Registrierungsprozess per Brief oder auf anderen Wegen initiiert wird, der Fall. Ein Aufbau des Konzepts nach Standards des BSI-Grundschutzes ist dabei nicht zwingend erforderlich, sicherlich aber vor dem Hintergrund einer vollständigen und systematisch logischen Konzeption sinnvoll.

Im Ergebnis halten wir es für erforderlich, die Benutzerregistrierung in die Sicherheitskonzeption der App einzubeziehen, auch wenn der Prozess nicht-digitale Bestandteile enthält. Wir empfehlen dabei Standards zu verwenden (z. B. BSI-Standard 200-2), um eine systematische und vollständige Konzeption zu gewährleisten.

(Stand: 30.06.2020)