Datensicherheit und InformationsSicherheit
Im Rahmen der Datenverarbeitung nach der DSGVO ist der Verantwortliche verpflichtet, gem. Art. 24 ff. DSGVO sogenannte technische-organisatorische Maßnahmen (TOM´s) verschiedenster Art zu ergreifen. Im Hinblick auf die elektronische Verarbeitung empfehlen wir ein Informationssicherheitsmanagementsystem, welches zur Minimierung von potentiellen Datenverlusten beiträgt und zu belegbarem, wie von der DSGVO gefordert, Datenschutz führt.
Im Bereich der Informationssicherheit nimmt der sog. IT-Grundschutz eine zentrale Rolle bei der Implementierung technisch-organisatorischer Maßnahmen ein. Unser Kooperationspartner die agenos GmbH steht für ein entsprechendes IT-Audit zur Verfügung und unterstützt Sie bei der Umsetzung geeigneter Maßnahmen.
Welche Verpflichtungen hat der Verantwortliche im Hinblick auf technisch-organanisatorische Maßnahmen im Sinne der DSGVO?
Gemäß Art. 24 DSGVO setzt der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.
Was sollte man bspw. regeln im Zusammenhang mit technisch-organisatorischen Maßnahmen im Sinne der DSGVO?
Regelungsziele könnten sein:
- Regelungen, Unbefugte vom Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, auszuschließen,
- Regelungen, die Nutzung der Datenverarbeitungssysteme durch Unbefugten zu verhindern,
- Regelungen, die sicherzustellen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können,
- Regelungen, die sicherzustellen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist,
- Regelungen, die sicherzustellen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind,
- sicherzustellen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können,
- sicherzustellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind,
- sicherzustellen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können und
- sicherzustellen, dass Verarbeitungen durch Mitarbeiter des Auftragsverarbeiters in deren Privatwohnungen (Homeoffice) nicht bzw. nur dann durchgeführt werden, wenn der auf dort ein entsprechendes Sicherheitsniveau sichergestellt ist und der Verantwortliche solchen Maßnahmen ausdrücklich zugestimmt hat.