02.10.17 - EU-DSGVO: Sicherheit der Verarbeitung

Bei vielen Gespräche rund um das Thema Datenschutz und Datensicherheit (oder auch IT-Sicherheit) werden Begrifflichkeiten vertauscht oder falsch interpretiert.

Während sich der Datenschutz primär um den Schutz der betroffenen Personen kümmert, liegt der Fokus der Datensicherheit üblicherweise auf der technischen IT-Sicherheit der Daten (Backup, Hackerangriffe etc.).

Bei der EU-Datenschutzgrundverordung (EU-DSGVO), die den Schutz der betroffenen Personen im Kern enthält, wird das Thema "Sicherheit" ganz GROSS geschrieben.

Die klassischen Ziele Vertraulichkeit (Daten sind nur für Befugte möglich), Integrität (Daten sind richtig und können nicht gefälscht werden) und Verfügbarkeit (Daten sind vorhanden, wenn sie benötigt werden) findet man an vielen Stellen des Gesetzestextes wieder.

Hinzu kommt noch der Begriff der Belastbarkeit von Systemen und Diensten der Geschäftsprozesse. Die Systeme und Dienste müssen so gestaltet werden, dass die Geschäftsprozesse ausreichend dimensioniert worden sind, damit bei einer Überlastung keine Nachteile entstehen. Ein Notfallsystem sollte etabliert werden, um im Falle des Totalausfalles die Geschäftsprozesse inkl. Personal, IT-Systeme und Daten wieder herstellen zu können.

Schritt 1: Daten angemessen schützen - aber was ist wichtig?

Bevor Schutzmaßnahmen festgelegt werden, ist es notwendig, den Schutzbedarf der Daten zu erheben. Ihre Aufgabe:

  • Etablieren Sie für Ihr Unternehmen verschiedene Kategorien von Schutzbedarfen (z.B. gering / mittel / hoch) und zwar aus unterschiedlichen Blickwinkeln (Finanzielle Auswirkungen, Gesetzliche Verstöße, Aufwand extern/intern und Innen- und Außenwirkung). 
  • Hinweis: Vergessen Sie dabei nicht die zeitliche Komponente (z.B. <4h, bis 7 Tage oder länger als 14 Tagen)
  • Etablieren Sie ein gemeinsames Verständnis in Ihrem Unternehmen von Eintrittswahrscheinlichkeiten (z.B. selten, wahrscheinlich, häufig)
  • Etablieren Sie ein Risikomanagement in Ihrem Unternehmen in Höhe von Schutzbedarf und Eintrittswahrscheinlichkeit, um zu ermitteln, wo die wirklichen Risiken im Umgang mit personenbezogenen Daten liegen.

 

Dazu ist zu beachten, dass bei der EU-DSGVO mit "Risiko" immer auf das primäre Schutzziel bezogenen wird, d.h. die betroffenen Personen (z.B. Kunden, Mitarbeiter, Geschäftspartner) und danach ausgerichtet werden muss.

Schritt 2: Technische und organisatorische Maßnahmen etablieren

Bei der Auswahl der Maßnahmen lehnen Sie sich wiederum an die EU-DSGVO an. Ihre Aufgabe:

Nutzen Sie die ggf. bereits vorhandenen Maßnahmen und bringen Sie diese in das "Format" der EU-DSGVO in den Bereichen:

  • Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
  • Integrität (Art. 32 Abs. 1 lit. b DSGVO)
  • Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO

Wir haben zu diesen Oberbegriffen ein paar Beispiele für Sie bereitgestellt. Auf Anfrage erhalten Sie eine komfortable Checkliste mit weiteren Maßnahmen.

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
  • Zutrittskontrolle: z.B. kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.B.: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen
  • Zugangskontrolle: z.B. keine unbefugte Systembenutzung, z.B.: (sichere) Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern;
  • Zugriffskontrolle: kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen;
  • Trennungskontrolle: getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z.B. Mandantenfähigkeit, Sandboxing.
  • Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO): Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen
Integrität (Art. 32 Abs. 1 lit. b DSGVO)
  • Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur;
  • Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, wie z.B.: Protokollierung, Dokumentenmanagement;
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
    • Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne;
    • Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO), wie z.B. ein Notfallmanagement
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
  • Datenschutz-Management-System,
  • Jour-Fix-Konzept mit Protokollen und einem Maßnahmenplan
  • Incident-Response-Management;
  • Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO);
  • Auftragskontrolle: wie z.B. keine Auftragsdatenverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.

Schritt 3: Nachweise sicherstellen

Bei allen Maßnahmen, die für die Sicherheit der Verarbeitung getroffen werden, ist es notwendig, die Nachweispflicht nicht außer Acht zu lassen. Ihre Aufgabe:

  • Dokumentieren Sie jede Maßnahme und sorgen Sie, dass Sie diese im Fall der Fälle auch wiederfinden.
  • Vergessen Sie nicht, die Nachweise im Bereich Löschkonzept zu erwähnen, d.h. Protokolldaten müssen u.a. bei Zweckentfall gelöscht werde

Sie möchten mehr über die EU-Datenschutzgrundverordnung wissen und haben Fragen zum Datenschutz? 

Sprechen Sie uns an. Wir beraten Sie gern, praxisnah und effizient.

Kontaktieren Sie uns jetzt direkt.

Zurück

Suche