Organisationen, die personenbezogene Daten erheben, verarbeiten oder nutzen, haben technische und organisatorische Maßnahmen zu treffen.
Insbesondere jene, die erforderlich sind, um die Ausführung der Vorschriften der Datenschutzgesetze zu gewährleisten.
Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
Technische und organisatorische Maßnahmen sind unterteilt in:
Vertraulichkeit
- Zutrittskontrolle
- Zugangskontrolle
- Zugriffskontrolle
- Trennungskontrolle
- Pseudonymisierung
Integrität
- Weitergabekontrolle
- Eingangskontrolle
Verfügbarkeit und Belastbarkeit
- Verfügbarkeitskontrolle
Technische und organisatorische Maßnahmen nun Punkt für Punkt:
Zutrittskontrolle
Dabei handelt es sich um Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
Als Maßnahmen zur Zutrittskontrolle können zur Gebäude- und Raumsicherung unter anderem automatische Zutrittskontrollsysteme, der Einsatz von Chipkarten und Transponder, Kontrolle des Zutritts durch Pförtnerdienste und Alarmanlagen eingesetzt werden.
Hierzu sind Server, Telekommunikationsanlagen, Netzwerktechnik und ähnliche Anlagen in verschließbaren Serverschränken zu schützen.
Darüber hinaus ist es sinnvoll, die Zutrittskontrolle auch durch organisatorische Maßnahmen (z.B. Dienstanweisung, die das Verschließen der Diensträume bei Abwesenheit vorsieht), zu stützen.
Zugangskontrolle
Dies sind Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden.
Mit Zugangskontrolle ist die unbefugte Verhinderung der Nutzung von Anlagen gemeint.
Möglichkeiten sind beispielsweise Bootpasswort, Benutzerkennung mit Passwort für Betriebssysteme und eingesetzte Softwareprodukte, Bildschirmschoner mit Passwort, der Einsatz von Chipkarten zur Anmeldung wie auch der Einsatz von Callback-Verfahren.
Darüber hinaus können auch organisatorische Maßnahmen notwendig sein, um beispielsweise eine unbefugte Einsichtnahme zu verhindern (z.B. Vorgaben zur Aufstellung von Bildschirmen, Herausgabe von Orientierungshilfen für die Anwender zur Wahl eines „guten“ Passworts).
Zugriffskontrolle
Diese Maßnahmen gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder zu entfernen sind.
Die Zugriffskontrolle kann durch geeignete Berechtigungskonzepte, die eine differenzierte Steuerung des Zugriffs auf Daten ermöglichen, gewährleistet sein.
Dabei gilt sowohl eine Differenzierung auf den Inhalt der Daten vorzunehmen als auch auf die möglichen Zugriffsfunktionen auf die Daten. Weiterhin sind geeignete Kontrollmechanismen und Verantwortlichkeiten zu definieren, um die Vergabe und den Entzug der Berechtigungen zu dokumentieren und auf einem aktuellen Stand zu halten (z.B. bei Einstellung, Wechsel des Arbeitsplatzes, Beendigung des Arbeitsverhältnisses).
Eine besondere Aufmerksamkeit ist hier auf die Rolle und Möglichkeiten der Administratoren zu richten.
Trennungskontrolle
Durch dies Maßnahmen wird gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet sind.
Dieses kann beispielsweise durch logische und physikalische Trennung der Daten gewährleistet sein.
Pseudonymisierung
Die Verarbeitung personenbezogener Daten erfolgt in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.
Sofern diese zusätzlichen Informationen gesondert aufbewahrt sind und entsprechende technischen und organisatorischen Maßnahmen unterliegen.
Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Zur Gewährleistung der Vertraulichkeit bei der elektronischen Datenübertragung können z.B. Verschlüsselungstechniken und Virtual Private Network eingesetzt werden.
Maßnahmen beim Datenträgertransport bzw. Datenweitergabe sind Transportbehälter mit Schließvorrichtung und Regelungen für eine datenschutzgerechte Vernichtung von Datenträgern.
Eingangskontrolle
Durch diese Maßnahmen wird nachträglich überprüft und festgestellt, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt werden.
Die Eingabekontrolle wird durch Protokollierungen erreicht, die auf verschiedenen Ebenen (z.B. Betriebssystem, Netzwerk, Firewall, Datenbank, Anwendung) stattfinden können.
Dabei ist weiterhin zu klären, welche Daten protokolliert werden, wer Zugriff auf Protokolle hat, durch wen und bei welchem Anlass/Zeitpunkt diese kontrolliert werden, wie lange eine Aufbewahrung erforderlich ist und wann eine Löschung der Protokolle stattfindet.
Verfügbarkeitskontrolle
Mit diesen Maßnahmen werden personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt.
Hier geht es um Themen wie eine unterbrechungsfreie Stromversorgung, Klimaanlagen, Brandschutz, Datensicherungen, sichere Aufbewahrung von Datenträgern, Virenschutz, Raidsysteme, Plattenspiegelungen etc..
Es ist auch erforderlich, Verfahren zur regelmäßigen Überprüfung einzusetzen.
Wie zum Beispiel:
- Interner oder externer Datenschutzbeauftragter
- Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf bzw. Berechtigung
- Verpflichtung der Mitarbeiter auf Vertraulichkeit und das Datengeheimnis
- Regelmäßige Sensibilisierung der Mitarbeiter mindestens jährlich
- Eine Überprüfung der Wirksamkeit der technischen Schutzmaßnahmen wird mind. jährlich durchgeführt
- Die Datenschutz-Folgenabschätzung (DSFA wird bei Bedarf durchgeführt)
- Erfüllung der Informationspflichten nach Art. 13 und 14 der DSGVO
- Privacy by design / Privacy by default, hierzu werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind
Eine wesentlichen Aufgabe des Datenschutzbeauftragten ist es, genau diese und noch weitere Maßnahmen im Unternehmen zu überprüfen bzw. bei der Etablierung beratend tätig zu sein.
Dabei lassen sich im Rahmen eines (externen) Audits leicht Lücken und Missstände erkennen und beheben.
Also lassen Sie sich gut beraten.
15 Comments