Sicherheitshinweise

Datensicherheit und InformationsSicherheit

Nach der DSGVO ist der Verantwortliche bei der Verarbeitung personenbezogener Daten verpflichtet, gem. Art. 24 ff. DSGVO sogenannte technische-organisatorische Maßnahmen (TOM´s) verschiedenster Art zu ergreifen. Neben den organisatorischen Maßnahmen nimmt die Informationssicherheit dabei einen immer größeren Raum ein, weil Daten zunehmend digital verarbeitet werden. In diesem Bereich arbeiten wir als Datenschützer mit einem IT-Unternehmen der axilaris GmbH eng zusammen.

Wie auch die axilaris GmbH sind wir der Auffassung, dass eine maßgebliche Voraussetzung für eine erfolgreiche Digitalisierung und die Abwehr von wirtschaftlichen Schäden durch Verletzung der Informationssicherheit die gezielte Umsetzung eines IT-Sicherheits-Managements ist. Dies umfasst sowohl Präventionsmaßnahmen als auch eine ausführliche Vorbereitung auf den Umgang mit einem IT-Notfall.

Die Optimierung der unternehmenseigenen IT-Sicherheit beginnt zunächst mit dem Erkennen des Handlungsbedarfs. Hierfür ist eine umfassende Analyse der technischen und organisatorischen Maßnahmen zum Schutz der IT-Infrastruktur vor Cyberangriffen und anderen Bedrohungen unerlässlich. Auf die Identifikation sollten dann entsprechend geeignete Reaktionen folgen. Das bedeutet, die aufgedeckten IT-Schwachstellen bedürfen der Behebung mittels geeigneter Schutzmaßnahmen. Abschließend bedarf auch IT-Sicherheit eines passenden Controllings sowie eines kontinuierlichen Optimierungsprozesses.

Welche Verpflichtungen hat der Verantwortliche im Hinblick auf technisch-organanisatorische Maßnahmen im Sinne der DSGVO?

Gemäß Art. 24 DSGVO setzt der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.

Was sollte man bspw. regeln im Zusammenhang mit technisch-organisatorischen Maßnahmen im Sinne der DSGVO?

Regelungsziele könnten sein:

  • Regelungen, Unbefugte vom Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, auszuschließen,
  • Regelungen, die Nutzung der Datenverarbeitungssysteme durch Unbefugten zu verhindern,
  • Regelungen, die sicherzustellen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können,
  • Regelungen, die sicherzustellen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist,
  • Regelungen, die sicherzustellen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind,sicherzustellen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können,
  • sicherzustellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind,
  • sicherzustellen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können und
  • sicherzustellen, dass Verarbeitungen durch Mitarbeiter des Auftragsverarbeiters in deren Privatwohnungen (Homeoffice) nicht bzw. nur dann durchgeführt werden, wenn der auf dort ein entsprechendes Sicherheitsniveau sichergestellt ist und der Verantwortliche solchen Maßnahmen ausdrücklich zugestimmt hat.