technische und organisatorische Maßnahmen

Die Europäische Datenschutzgrundverordnung ist seit 25.05.18 in Kraft getreten. Neben der Erstellung von

  • Datenschutzerklärungen
  • Verarbeitungsverzeichnissen
  • Auftragsdatenvereinbarungen

muss der Verantwortliche auch die technischen und organisatorischen Maßnahmen festlegen.

Welchen Zweck haben technische und organisatorische Maßnahmen?

Die technischen und organisatorischen Maßnahmen gewährleisten, dass die vom Verantwortlichen verarbeiteten personenbezogenen Daten in den IT-Systemen und in analogen Verzeichnissen vor unberechtigtem Zugriff geschützt sind.

Der Umfang der Maßnahmen hängt von verschiedenen Faktoren ab:

  • der Anzahl der Daten / betroffenen Personen
  • dem Zweck der Verarbeitung,
  • der Eintrittswahrscheinlichkeit eines Risikos
  • der Auswirkung auf eine natürliche Person bei einem Schaden

Welche Daten müssen geschützt werden?

Die EU DSGVO legt fest, dass alle personenbezogenen Daten identifiziert und einer Risikoanalyse gemäß Art. 32 Abs. 1 DSGVO unterzogen werden müssen. Besondere Kategorien personenbezogener Daten müssen entsprechend besser geschützt werden.

Die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten einer natürlichen Person müssen abgeschätzt werden.

Welche Maßnahmen müssen bei welchen Systemen umgesetzt werden?

Um das herauszufinden, ist eine Aufstellung aller IT-Systeme nötig.
In welchen IT-Systemen sind personenbezogene Daten gespeichert?
Gibt es eine Abgrenzung zu besonderen Katagorien personenbezogner Daten?

Die Risikoanalyse wird unter Anwendung der Faktoren des CIA Prinzips

durchgeführt.

  • C – Confidential
    Vertraulichkeit: Informationen dürfen nur von zuvor autorisierten Nutzern gelesen werden.
  • I – Integrity  
    Integrität: Bezeichnet die Sicherstellung der Korrektheit der Daten.
  • A – Availibility
    Verfügbarkeit: IT-Systeme sollen jederzeit betriebsbereit sein.

Wie erstelle ich eine Risikoanalyse?

Die ausgewählten Assets (Werte des Unternehmens) werden nun nach den Kriterien betrachtet

  • Zutrittsschutz
    Gebäudeeinfriedung
    Videoüberwachung
    verschlossenes Büro
    elektronischer Zutrittsschutz
  • Zugangsschutz
    Authentifizierungsmöglichkeiten
    Trennung der Netze
    personalisierter Zugang
    Firewall
    Virensoftware
  • Zugriffsschutz
    Berechtigungskonzept
    komplexe Passwörter
  • Trennungskontrolle
    Mandantenfähigkeit
  • Weitergabekontrolle
    Verschlüsselungsmöglichkeiten
    E-Mail Verschlüsselung
  • Eingabekontrolle
    Protokollierung
  • Verfügbarkeit
    Desaster Recovery Konzept
    Backups
    redundante Auslegung von Netzteilen
  • Überprüfung/ Bewertung
    regelmäßige Prüfung der Systems technisch und organisatorisch
  • Auftragsverarbeitung
    schriftliche Weisungen vom Auftraggeber

Nun wird anhand der Ist- Werte ein Szenario erarbeitet, welches durch Ausnutzen einer technischen Schwachstelle oder durch Fehlen einer organisatorischen Anweisung im Unternehmen eine unbeabsichtigte Veröffentlichung von Daten herbeiführen könnte.

Die Eintrittswahrscheinlichkeit des Szenarios wird bewertet sowie die höhe des Schadens bei Eintritt. Das daraus berechnete Risiko gibt Auskunft über das einzusetzende personelle und finanzielle Budget zur Erhöhung des Schutzes der Daten.

Beispiel: Risikoanalyse

Müssen alle Maßnahmen umgesetzt werden?

Die in der Risikoanalyse festgelegten Maßnahmen werden nun in der Maßnahmenliste bewertet, adressiert und befristet.

Diese Maßnahmenliste gibt der Behörde Auskunft über alles von Ihnen geplante. In der Maßnahmenliste werden Gründe beschrieben.

Warum ist es nicht zur Umsetzung gekommen?
Warum findet die Umsetzung erst in 2 Jahren statt.

Die technischen Maßnahmen wie:

  • Firewall
  • Virensoftware
  • Intrusion Detection System
  • Mobile Device Management
  • Remote Monitoring Management
  • Backup Konzept

können in Zusammenarbeit mit Ihrem IT-Systemhaus geprüft und implememtiert werden.

Die organisatorischen Maßnahmen sind im Datenschutzmanagementsystem dargestellt. Sie decken folgende Themen ab:

  • Umgang mit personenbezogenen Daten
  • Umgang mit mobilen Geräten
  • Internetnutzung
  • Arbeiten in Homeoffice
  • Schutz von Geräten auf Reisen
  • Aufgeräumter Schreibtisch
  • Löschen von Datenträgern

Download Muster

Standard-Datenschutzmodell

Das Standard-Datenschutzmodell ist eine Methode mit der sich technische und organisatorische Maßnahmen festlegen lassen. Folgende Maßnahmen können aus diesem Modell generiert werden:

Technische Maßnahmen:

  • bauliche Änderungen zur Umsetzung der physischen Sicherheit
  • Änderungen an der Netzwerkinfrastruktur oder Auslagerung von Daten
  • Videoüberwachung
  • Zugangskontrollsystem
  • Firewall
  • Intrusion Detection System (IDS)
  • Virenscanner
  • Inbetriebnahme eines Protokollierungsservers
  • Implementierung von Verschlüsselungsmethoden

Die Umsetzung der Maßnahmen kann mit eigenen Systemadministratoren oder mit einem externen Dienstleister erfolgen unter Einhaltung der Grundsätze „privacy by design“ und „privacy by default“.

Organisatorische Maßnahmen sind:

  • Einführung einer Informationssicherheitsleitlinie
  • Umsetzung eines Schulungskonzeptes
  • Prozessdefinition zur Vergabe von Zugangsberechtigungen
  • Erarbeitung eines Berechtigungskonzeptes
  • Prozess zur Verwaltung von kryptografischen Schlüsseln
  • Richtlinien zur Entsorgung/Entnahme von Betriebsmitteln
  • Changemangement
  • Schwachstellenmanagement
  • Prozess zur Reaktion auf Datensicherheitsvorfälle
  • Einhaltung und kontinuierliche Verbesserung sowie Konformität Ihres Datensicherheitsmanagementsystems

Die organisatorischen Maßnahmen sollten jährlich von einem unabhängigen Auditor geprüft werden. Es ist jedoch nicht notwendig, eine akkreditierte Stelle für eine offizielle Zertifizierung hinzuzuziehen.

Nehmen Sie unverbindlich Kontakt auf und lassen Sie uns sprechen:

Wir freuen uns auf Ihre Nachricht!

Auch interessant!