Praxisnahe Umsetzung seit 2013
Ihr Experte für Datenschutz und Informationssicherheit
Sicherheit der Datenverarbeitung in der DSGVO
Sicherheit in der Datenverarbeitung: Können Sie diese 10 Fragen zu den technischen und organisatorischen Maßnahmen beantworten?
Überblick
Einleitung
Für Unternehmen ist die Informationssicherheit in der heutigen Zeit ein unverzichtbares Instrument zur Erfüllung von Aufgaben. Sie umfasst die Sicherheit der gesamten IT-Systeme (IT-Sicherheit), aber auch die nicht-technischen Systeme, wie zum Beispiel die Sicherheit von Gebäuden oder die Gefahren, die von den Beschäftigten selbst ausgehen.
Um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten, ist es zunächst wichtig zu verstehen, dass der Datenschutz für analoge und digitale Verarbeitungen gilt. Neben den technischen IT-Systemen, wie zum Beispiel Server, Firewall, Desktop oder Smartphone kann auch ein Ausdruck am Schwarzen Brett zu einer Verletzung der Rechte und Freiheiten von Personen führen.
Was die Sicherheit der Verarbeitung eigentlich genau ist und wie man diese im Unternehmen umsetzt, dokumentiert und was die Begriffe „Angemessenheit“, „Wirksamkeit“ und „Stand der Technik“ bedeutet — auf dieser Seite finden Sie Antworten auf (fast) alle Fragen.
Hinweis: Diese Informationen stellen keine Rechtsberatung dar, sondern geben Anregungen zur Umsetzung. Für eine konkrete Umsetzung nehmen Sie gerne Kontakt auf.
Inhalte
Schutzziele der Datenverarbeitung
Um die Sicherheit der Datenverarbeitung im Datenschutz (aber natürlich auch die anderen Informationen in Ihrem Unternehmen) zu gewährleisten, müssen geeignete technische und organisatorische Maßnahmen etabliert werden. Dabei ist ein risikobasierter Ansatz zu wählen. Die Schwere der verbundenen Risiken für betroffene Personen (oder das Unternehmen) und die Eintrittswahrscheinlichkeit sind dabei mit einzubeziehen. Ein Risikomanagement ist zwingend erforderlich, um die gesetzlichen Vorgaben fachgerecht und zielgerichtet umzusetzen.
Folgende Schutzziele sind zu erfüllen, die sich aus dem IT-Grundschutz und dem SDM-Modell der Aufsichtsbehörden ableiten.
Verfügbarkeit
Das Schutzziel „Verfügbarkeit“ sorgt dafür, dass die Daten zum richtigen Zeitpunkt, aktuell und in der benötigten Form zur Verfügung stehen, um den Zweck der Datenverarbeitung zu erfüllen.
Vertraulichkeit
Bei der Vertraulichkeit geht es darum, dass keine unbefugten Personen oder Systeme auf personenbezogene Daten zugreifen können. Dazu gehören nicht nur Dritte außerhalb des Unternehmens, sondern auch interne Beschäftigte, die keinen inhaltlichen Bezug zu der Verarbeitungstätigkeit haben. Maßnahmen zur Verhinderung und (bei einem Verlust der Vertraulichkeit) zur Behebung oder Abmilderung der Verletzung sind zu planen und umzusetzen.
Integrität
Bei der Integrität soll sichergestellt werden, dass unbefugte Veränderungen von Informationen ausgeschlossen werden. Jegliche Veränderungen an den gespeicherten Daten sind durch unberechtigte Personen und Systeme auszuschließen. Erfolgt trotzdem eine Verletzung der Sicherheit, sind Maßnahmen zu etablieren, dass Datenveränderungen zeitnah erkannt und korrigiert werden.
Transparenz
Unter dem Schutzziel Transparenz bezeichnet man die Erkennbarkeit der Datenverarbeitung. Dabei ist – je nach Zielgruppe – z. B. Nutzer, IT-Verantwortliche oder der jeweilige Fachbereich entscheidend,
- - welche Daten wann und für
- - welchen Zweck verarbeitet werden,
- - welche Systeme und Prozesse dafür genutzt werden,
- - an wen welche Daten für welchen Zweck übermittelt werden und
- - wer die rechtliche Verantwortung für die Daten und Systeme
in den verschiedenen Phasen einer Datenverarbeitung besitzt.
Notwendig sind dabei die Beobachtung und Steuerung
- - der Daten,
- - der Prozesse und
- - der beteiligten Systeme von der Entstehung bis
zu ihrer Löschung bzw. Vernichtung.
Nichtverkettung
Um die Datenverarbeitung sicher und rechtmäßig zu gestalten, ist es notwendig, dass personenbezogene Daten nicht zusammengeführt werden. Das gilt besonders dann, wenn Daten für verschiedene Zwecke erhoben wurden.
Ein großer Datenpool erzeugt Begehrlichkeiten, um Daten für weitere Zwecke zu nutzen.
Maßnahmen zur Pseudonymisierung und organisations- bzw. systemseitige Trennung unterstützt die Erreichung des Schutzzieles.
Intervenierbarkeit
Datenminimierung
Das Schutzziel „Datenminierung“ bezeichnet die Anforderung, dass den nur für den Zweck erforderliche Daten verarbeitet werden. Dabei ist zur der Umfang der Datenverarbeitung gemeint und die Anzahl der FEldern, sondern auch die Dauer der Verarbeitung und der Zugang zu den Daten.
Gefährdungen
Folgende Gefährdungen haben Einfluss auf die personenbezogenen Daten oder Geschäftsdaten, Vertraulichkeit, Integrität und Verfügbarkeit von Informationswerten:
- Probleme bei der Hard- und Software, wie zum Beispiel Ausfall von Geräten oder Systemen, Fehlfunktionen bei IT-Systemen, Zerstörung von Geräten oder Datenträgern, Geräteausfall oder Softwarefehlfunktionen.
- Äußere Einflüsse, wie zum Beispiel Verlust der Strom- oder Netzwerkverbindung, Feuer, Staub, Korrosion, Vereisung, Überschwemmung, ungünstige klimatische Bedingungen, Elektromagnetische Störstrahlung, Vernichtung des Equipments oder von Medien.
- Angriffe von außen, wie zum Beispiel Diebstahl von Equipment und Geräten, Datenträgern oder Dokumenten, Abhören, Fernspionage oder Manipulation mit Software.
- Probleme bei der Datenverarbeitung, wie zum Beispiel Datenverfälschung, illegale oder rechtswidrige Datenverarbeitungen.
- Menschliche Fehler, wie zum Beispiel Fehlbedienung, Missbrauch von Berechtigungen, Diensten oder Software, nicht autorisierte Benutzung der Geräte und Software oder Verletzung der personellen Verfügbarkeit, Verletzung der Wartbarkeit von Informationssystemen, Verwendung von gefälschter oder kopierter Software oder Informationen oder Produkte aus unzuverlässigen Quellen.
10 Prüffragen für die Geschäftsleitung
- Haben Sie Maßnahmen eingerichtet, um vollständig alle Systeme (auch IT-Infrastruktur) und Anwendungen zu erfassen, die personenbezogene Daten verarbeiten?
- Haben Sie Richtlinien zur Sicherheit der Verarbeitung etabliert, die für alle Systeme und Anwendungen gelten, die personenbezogene Daten verarbeiten? Enthalten die Richtlinien klare Vorgaben, Rollen und Verantwortlichkeiten sowie Dokumentationsanforderungen und werden regelmäßig auf Aktualität geprüft?
- Haben Sie Notfallpläne zur Wiederherstellung der Systeme und Anwendungen im Störungs- oder Katastrophenfall definiert, dokumentiert, implementiert und auf Funktion getestet?
- Haben Sie Prozesse und Maßnahmen eingerichtet, um den Zutritt, Zugang und Zugriff auf die Informationen sicherzustellen?
- Haben Sie funktionierende Test- und Freigabeverfahren eingerichtet, die neben Funktionstrennungen insb. die Trennung von Entwicklungs- und Testsystemen von den produktiv genutzten Systemen vorsehen?
- Haben Sie eine Richtlinie für den Umgang mit Verschlüsselungsmaßnahmen zum Schutz von Informationen eingerichtet?
- Haben Sie Prozesse und Maßnahmen eingerichtet, um die Belastbarkeit der Systeme sicherzustellen, insbesondere den Schutz vor Malware und Viren?
- Haben Sie Prozesse und Maßnahmen eingerichtet, um Daten zu pseudonymisieren?
- Haben Sie Prozesse zur regelmäßigen Überprüfung und Bewertung der Angemessenheit und Wirksamkeit der technischen und organisatorischen Maßnahmen etabliert?
- Haben Sie Rollen und Verantwortlichkeiten festgelegt, um die oben genannten Punkt zu dokumentieren?
Sie kennen das Thema bereits und wollen mehr Details? Hier erhalten Sie weitere Informationen zur Sicherheit der Verarbeitung.
Sie wollen in 4 Schritten die Sicherheit der Verarbeitung in Ihrem Unternehmen umsetzen? Finden Sie hier weitere Informationen.
Sie wünschen eine direkte Kontaktaufnahme und haben Fragen zum Sicherheit der Verarbeitung, die ggf. schnell beantwortet werden können?
In 4 Schritten zur Sicherheit der Verarbeitung
Nachfolgend zeige ich Ihnen in 4 Schritten, wie Sie das Thema „Sicherheit der Verarbeitung“ im Unternehmen umsetzen und aktuell halten können.
Schritt 1: Holen Sie einen Spezialisten an Bord — schneller geht es nicht.
Vorweg: Das Thema Sicherheit der Verarbeitung ist je nach Unternehmen sehr umfangreich. Die DSGVO gibt nur technik-neutrale Hinweise, was Unternehmen in diesem Bereich beachten müssen. Das ist auch nachvollziehbar, weil sich die Technik ständig weiterentwickelt.
Zunächst holen Sie sich einen Spezialisten, der sich seit vielen Jahren permanent mit der Sicherheit im Datenschutz und in der Informationstechnik beschäftigt. Mit einem geringen Zeitaufwand bei Ihren internen Fachbereichen und externen Dienstleistern werden die erforderlichen Informationen abgefragt, um einen ersten Überblick zu erstellen.
Eine Bestandsaufnahme ist dann erforderlich, um die unterschiedlichen Datenverarbeitungen im Unternehmen zu erheben. Die verwendeten analogen und digitalen Informationssysteme, externe Dienstleister sowie die jeweiligen Ansprechpartner werden dann den Verarbeitungstätigkeiten zugeordnet.
Beachten Sie das Risiko für die betroffenen Personen!
Die Anzahl der zu erstellenden Konzepte sind abhängig von der Komplexität der Verarbeitung und dem Risiko für die Rechte und Freiheiten der betroffenen Personen. Das Wissen für die Erstellung von fachgerecht erstellten Konzepten sollten Sie nicht durch interne Beschäftigte oder durch externe Dienstleister ohne Unterstützung erstellen. Diese Erfahrung ist nebenberuflich nur schwer zu erlangen.
Schritt 2: Festlegung der Struktur für die Sicherheit der Verarbeitung.
Legen Sie fest, in welcher Form die Dokumente in Ihrem Unternehmen erstellt und abgelegt werden sollen. Für welche Themengebiete benötigen Sie konkrete Maßnahmen und Anweisungen?
Am Anfang steht üblicherweise eine Leitlinie der Geschäftsleitung, in der zum Ausdruck gebracht wird, welchen Stellenwert der Datenschutz und die Informationssicherheit im Unternehmen hat. Die Ziele sind zu definieren und richten sich nach den strategischen Unternehmenszielen. Darauf aufbauend werden Richtlinien oder Anweisungen definiert, in der sich konkrete Vorgaben für den Umgang mit Informationen in Ihrem Unternehmen wiederfinden.
Sie nutzen ein internes Dokumentationssystem, zum Beispiel ein internes Wikipedia, ein Dokumentenmanagementsystem, Google Drive, eine NextCloud, ein Qualitätsmanagementsystem, Microsoft Teams / SharePoint oder den klassischen Aktenordner?
Abschließend werden Dokumente dargestellt, die für die meisten Unternehmen zu erstellen sind.
Typische Dokumente im Bereich Sicherheit der Verarbeitung
Die folgende Auswahl zeigt verschiedene Dokumente auf, die typischerweise notwendig sind, um nachweisen zu können, dass Sie sich mit dem Thema „Sicherheit der Verarbeitung“ auseinandergesetzt haben.
- Konzept für Dokumentionsgestaltung, Ablage, Priorisierung, Freigabe und Aktualisierung
- Leitlinie zum Datenschutz und zur Informationssicherheit für Beschäftigte
- Richtlinie zum Datenschutz und zur Informationssicherheit für Beschäftigte
- Richtlinie Informationssicherheit & Datenschutz für Administrator*innen, Standortverantwortliche und Fachbereiche
- Vertraulichkeitserklärung im Bereich Datenschutz und Geschäftsgeheimnisse
- Schulungskonzept und Teilnahmenachweise der Beschäftigten für Themen im Bereich Datenschutz und Informationssicherheit
- Übersicht der technischen und organisatorischen Maßnahmen (für interne Zwecke / für externe Vergaben bei Tätigkeiten als Auftragsverarbeiter)
- Übersicht und Konzepte der eingesetzten Informationsysteme (z. B. Firewall, Backup-System, Desktop, Smartphone, Multifunktionsgerät)
- Für Produkthersteller von informationsverarbeitenden Systemen: Maßnahmen zur Sicherheit der Verarbeitung, Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen.
Schritt 3: Erstellen Sie die Dokumente zur Sicherheit der Verarbeitung
Nach der Inventur der Geschäftsprozesse, Informationssysteme und Beteiligten wird die Vorgehensweise priorisiert. Dabei ist darauf zu achten, dass zuerst die Informationssysteme gemäß dem potenziellen Risiko für das Unternehmen und die betroffenen Personen betrachtet werden.
Während der Dokumentation werden Sie feststellen, dass Sie (noch) nicht alle Maßnahmen erfüllen, die zum Beispiel von den Bausteinen des IT-Grundschutzes erwartet werden. Pro Themengebiet müssen Sie dann schauen, ob Sie die Maßnahmen erfüllen können. Ggf. gibt es auch alternative Schutzmaßnahmen, die ergänzend zur Sicherheit der Verarbeitung beitragen.
Gehen Sie schrittweise vor.
Es kann sein, dass Sie die Fülle der Anforderungen, die heute im Bereich Datenschutz und Informationssicherheit erwartet werden, überfordert. Konzentrieren Sie sich jedoch auf die wesentlichen Maßnahmen zum Schutz Ihrer Daten.
Wenn Sie Maßnahmen nicht sofort umsetzen können, sammeln Sie offene und auch mögliche Themen, schätzen Sie grob den Umsetzungsaufwand für eine interne bzw. externe Umsetzung und führen Sie eine Priorisierung durch.
Für die Umsetzung der Maßnahmen mit der höchsten Priorisierung legen Sie realistische Termine und Zuständigkeiten fest.
Schritt 4: regelmäßige Aktualisierung der Sicherheit der Verarbeitung
Sie müssen jetzt noch einen Prozess einrichten, um nachzuweisen, dass die Maßnahmen aktuell bleiben. Legen Sie sich das Thema einmal im Jahr auf Wiedervorlage. Je nach Risiko der Verarbeitung für die betroffenen Personen können Sie auch festlegen, dass eine Aktualisierung für bestimmte Bereiche nur alle zwei Jahre erfolgt.
Veränderungen innerhalb des Kalenderjahres
Sofern sich unterjährig Informationssysteme, interne und externe Beteiligte, Risiken oder Unternehmensziele, der Stand der Technik oder sonstige Rahmenbedingungen ändern, spricht vieles für eine unterjährige Aktualisierung.
Die meisten Unternehmen, die ich betreue, sammeln jedoch Veränderungen während der Laufzeit und aktualisieren die Dokumente einmal im Jahr, um nicht zu häufig Anpassungen durchführen zu müssen.
Weitere Details zur Sicherheit der Verarbeitung
Schützen Sie von Anfang an die Sicherheit Ihrer Daten
Schon bevor Sie personenbezogene Daten oder sonstige Informationen verarbeiten oder verarbeiten lassen, sollten Sie sich fragen, ob alle geplanten Maßnahmen zum Schutz der Daten angemessen und wirksam sind und dem Stand der Technik entsprechen. Aber was bedeuten diese Begriffe?
Der Begriff der Verarbeitung in der DSGVO ist sehr umfangreich und erstreckt sich von der Quelle (personenbezogene Daten werden erhoben) über jegliche Nutzung der Daten bis hin zur Löschung bzw. Vernichtung. Der Begriff umfasst also den gesamten Lebenszyklus der Daten.
Angemessenheit: Sie müssen als Unternehmen selbst festlegen, welche Maßnahmen getroffen werden und dabei den erforderlichen wirtschaftlichen Aufwand, wie zum Beispiel die Realisierungskosten und den Schutzbedarf der Datenverarbeitung berücksichtigen.
Wirksamkeit: Wenn Maßnahmen zum Schutz der Daten etabliert werden, muss auch sichergestellt werden, dass die Maßnahmen wirken, also funktionieren. So ist zum Beispiel eine täglich durchgeführte Datensicherung aller Daten nicht wirksam, wenn im Ernstfall das Einspielen des Backups nicht funktioniert. Eine regelmäßige Prüfung des Einspielens der Datensicherung ist daher zu testen, um die Wirksamkeit festzustellen. Die Wirksamkeitsprüfung ist zu dokumentieren.
Mein Tipp: Um möglichst zeitnah zu einem Ergebnis im Bereich Sicherheit der Verarbeitung zu kommen, nutzen Sie einfach den IT-Grundschutzstandard.
Bei einem normalen Schutzbedarf Ihrer Daten identifizieren Sie die Bausteine, die Sie selbst einsetzen (Beispiel: Firewall). Setzen und dokumentieren Sie zunächst die Basisabsicherung. Ausführliche Umsetzungshinweise des BSI sind ebenfalls zu nutzen. So können Sie nachweisen, dass Sie sich an einem anerkannten Standard orientieren. Der Vorteil am IT-Grundschutz liegt dabei an der Praxisnähe der Maßnahmen. Aber auch Umsetzungen nach der ISO 27001-Norm sind denkbar.
Sie haben Verarbeitungen mit einem höheren Schutzbedarf? Ergänzen Sie dann die Standardabsicherung und ggf. sogar Maßnahmen für Datenverarbeitungen mit einem erhöhten Schutzbedarf.
Maßnahmen aus dem Standard-Datenschutzmodell (SDM)
Auch die Maßnahmen der Datenschutzkonferenz, die sich aus dem SDM-Modell ergeben, erhöhen die Sicherheit der Verarbeitung im Datenschutz-Umfeld. Der Vorteil in dem Modell liegt darin, dass die Maßnahmen von den Aufsichtsbehörden erstellt worden sind. Bei Verfehlungen wirken die Umsetzungsmaßnahmen strafmildernd, wenn diese fachgerecht umgesetzt worden sind.
Diese Informationen sind eine hervorragende Ergänzung zu den Bausteinen des IT-Grundschutzes. Insgesamt können damit die Vorgaben der Sicherheit nach angemessenen und wirksamen Maßnahmen nach dem Stand der Technik umgesetzt und nachgewiesen werden.
Da sämtliche Dokumente frei verfügbar sind, fallen keine weiteren Kosten für das Unternehmen an, wie zum Beispiel für Dokumente der ISO 27001.
- Verfügbarkeit: Erstellung von Sicherheitskopien (Daten, Prozesszustände, Konfigurationen, Datenstrukturen), Redundanz (Hard- und Software, Infrastruktur)
- Integrität: Einschränkung von Schreib- und Änderungsrechten, Härten von IT-Systemen, Prozesse zur Identifizierung und Authentifizierung von Personen und Gerätschaften
- Vertraulichkeit: Festlegung eines Berechtigungs- und Rollenkonzeptes nach dem Erforderlichkeitsprinzip, Eingrenzung der zulässigen Personalkräfte, Festlegung und Kontrolle organisatorischer Abläufe
- Nichtverkettung: Einschränkung von Verarbeitungs‑, Nutzungs- und Übermittlungsrechten, Trennung nach Organisations-/Abteilungsgrenzen, Unterlassung bzw. Schließung von Schnittstellen bei Verarbeitungsverfahren und Komponenten
- Transparenz: Inventarisierung aller Verarbeitungstätigkeiten, Dokumentation der Verträge mit den internen Beschäftigten, Protokollierung von Zugriffen und Änderungen, Benachrichtigung von Betroffenen bei Datenschutzverletzungen
- Intervenierbarkeit: Maßnahmen für differenzierte Einwilligungs‑, Rücknahme- sowie Widerspruchsmöglichkeiten, dokumentierte Bearbeitung von Störungen, Problembearbeitungen und Änderungen an Verarbeitungstätigkeiten, Prozess zur Identifizierung und Authentifizierung der betroffenen Personen
- Datenminimierung: Reduzierung von erfassten Attributen der betroffenen Personen und Verarbeitungsoptionen, Festlegung von Voreinstellungen für betroffene Personen auf das erforderliche Maß
Bausteine aus dem IT-Grundschutz
Die folgende Auswahl der Bausteine des Bundesamtes für Sicherheit in der Informationstechnik enthalten diverse Maßnahmen zum Schutz von Informationen.
Zunächst sollten Sie die Bausteine mit übergeordneten Auswirkungen auf die Sicherheit der Verarbeitung umsetzen. Konzentrieren Sie sich dann auf konkrete IT-Systeme und andere Themengebiete, wie zum Beispiel Ihre Firewall oder Ihre Endgeräte. Hier finden Sie einen Überblick über die Bausteine des IT-Grundschutzes in einer möglichen Reihenfolge der Umsetzung im Unternehmen.
- ISMS.1 Sicherheitsmanagement
- ORP.1 Organisation
- ORP.2 Personal
- ORP.3 Sensibilisierung und Schulung
- ORP.4 Identitäts- und Berechtigungsmanagement
- OPS.1.1.4 Schutz vor Schadprogrammen
- CON.3 Datensicherungskonzept
- CON.6 Löschen und Vernichten
- OPS.1.1.2 Ordnungsgemäße IT-Administration
- OPS.1.1.3 Patch- und Änderungsmanagement
- OPS.1.1.4 Schutz vor Schadprogrammen
- OPS.1.1.5 Protokollierung
- OPS.1.1.6 Software-Tests und ‑Freigaben
- DER.1 Detektion von sicherheitsrelevanten Ereignissen
- DER.2.1 Behandlung von Sicherheitsvorfällen
Maßnahmen aus Baustein »Firewall«
Innerhalb des jeweiligen Bausteines werden Maßnahmen im Bereich der Basis- und Standabsicherung definiert. Setzen Sie also auf der nächsten Ebene die Maßnahmen der Basisabsicherung einer Firewall um. Diese sind oftmals sehr praxisnah und daher für die Umsetzung im Unternehmen geeignet.
- NET.3.2.A1 Erstellung einer Sicherheitsrichtlinie
- NET.3.2.A2 Festlegen der Firewall-Regeln
- NET.3.2.A3 Einrichten geeigneter Filterregeln am Paketfilter
- NET.3.2.A4 Sichere Konfiguration der Firewall
- NET.3.2.A6 Schutz der Administrationsschnittstellen
- NET.3.2.A7 Notfallzugriff auf die Firewall
- …
Je Maßnahme gibt es Vorgaben, wie zum Beispiel der Notfallzugriff auf die Firewall zu erfolgen hat. Auszug (Quelle BSI).
NET.3.2.A7: „Es MUSS immer möglich sein, direkt auf die Firewall zugreifen zu können, sodass sie im Notfall auch dann lokal administriert werden kann, wenn das gesamte Netz ausfällt.“
Setzen Sie diese Maßnahme im Unternehmen um und dokumentieren Sie diese in der Übersicht der technischen und organisatorischen Maßnahmen. Holen Sie Ihren externen IT-Dienstleister hinzu, wenn Sie Unterstützung benötigen. Abweichungen von den Maßnahmen sind zu begründen.
Mein Tipp: Konzentrieren Sie sich dabei zunächst auf die Basisabsicherung, um die Daten zu schützen, für die Sie verantwortlich sind.
PFLICHT ZUR DOKUMENTATION FÜR JEDES UNTERNEHMEN
Um die Nachweispflichten der Datenschutz-Grundverordnung umzusetzen, müssen Sie nachweisen können, wie Sie die Daten in Ihrem Unternehmen pro Verarbeitungstätigkeit sichern. Typischerweise sind im Verzeichnis der Verarbeitungstätigkeiten die „allgemeinen technischen und organisatorischen Maßnahmen“ zu beschreiben. Dies sind typische Sicherheitsmaßnahmen, die maßgeblich für den Schutz der Daten sorgen sollen. Bei der Verwendung von IT-Systemen sind dies Regelungen, wie zum Beispiel für den Zugang oder den Zugriff auf die IT-Systeme und die dort gespeicherten Informationen. Aber auch abgeschlossene Schränke, Verschlüsselungsmaßnahmen und Maßnahmen zur Datensicherung können fort aufgeführt sein.
Um darzustellen, wie die Maßnahmen konkret geplant und umgesetzt worden sind, müssen Sie diese dokumentieren. Bei einer Prüfung müssen Sie darstellen, dass die Maßnahmen zum Schutz der Daten angemessen ist. Die Angemessenheit wird dabei von Größe und Art des Unternehmens und dem Risiko der Verarbeitung aus Sicht der betroffenen Personen festgemacht. Weiterhin muss jede Maßnahme auch geeignet und wirksam sein, um die Daten zu schützen.
Sorgen Sie für ein solides Fundament!
Das Bundesamt für Sicherheit in der Informationstechnik hat mit dem IT-Grundschutz eine hervorragende und weltweit einzigartige Dokumentation geschaffen, um den Stand der Technik im Unternehmen zu etablieren. Zunächst erschlägt die Fülle der Dokumentation Unternehmen.
Mit etwas Übung oder unter Zuhilfenahme eines Experten, der in diesem Bereich schon diverse Projekte umgesetzt hat, kann Stück für Stück ein solides Fundament für die Sicherheit der Verarbeitung geschaffen werden. Die Maßnahmen sind in den meisten Fällen überwiegend praxisnah und gut umsetzbar.
Kontinuierliche Verbesserung
Verbessern bedeutet vorrangig Probleme lösen. Probleme lösen wiederum heißt, lernen und anpassen. Das PDCA-Modell (Plan – Do – Check – Act) stellt die Ist-Situation des Unternehmens permanent infrage und startet im Unternehmen einen wiederkehrenden Regelkreis zur Verbesserung der Abläufe und Prozesse.
Auch beim Sicherheit der Verarbeitung gibt es einen stetigen Verbesserungsprozess durch regelmäßige Aktualisierungen und feste Einbindung im Gestaltungsprozess von Geschäftsprozessen.
Bleiben SIe aktuell!
Erstellen auch Sie einen Regelkreis, damit Ihre etablierten technischen und organisatorischen Maßnahmen (TOMs) korrekt geplant und umgesetzt werden, den richtigen Detailgrad haben und aktuell gehalten werden.
Sie benötigen Unterstützung bei Ihren TOMs?
Festlegung von Art, Umfang und Form der Sicherheitsmaßnahmen
Umsetzung und Dokumentation der Maßnahmen, Planung und Priorisierung offener Themen
Aktualisierung und Anpassung der technischen und organisatorischen Maßnahmen
Prüfung auf Angemessenheit, Wirksamkeit und dem Stand der Technik
Clever sein – Technische und organisatorische Maßnahmen effizient und praxisnah umsetzen
Ich unterstütze Sie bei der Erstellung Ihrer Sicherheitsmaßnahmen. Nutzen Sie meine mehrjährige Expertise, um zügig eine erste Dokumentation zu erstellen. Setzen Sie Maßnahmen um, die angemessen und wirksam sind und dem Stand der Technik entsprechen.
Buchen Sie ein entsprechendes Modul oder eine punktuelle Unterstützung. Ich biete Ihnen die Dokumentation in Ihrem Zielsystem. Nach meiner Erfahrung ist die Interviewtechnik die effizienteste Methode, um zügig zu der ersten Version zu kommen. Die Beratung kann bei Ihnen vor Ort oder per Videokonferenz erfolgen.
Als Datenschutzbeauftragter ist die Unterstützung bei der Erstellung der Sicherheit der Verarbeitung fester Bestandteil.
- Praxisnahe Prüfung von TEchnischen und organisatorischen Maßnahmen
- Fokus im norddeutschen Raum
- Zeitnah verfügbar, vor Ort und digital
Häufig gestellte Fragen zur Sicherheit der Verarbeitung
Jedes Unternehmen, welches personenbezogene Daten durch Auftragsverarbeiter verarbeiten lässt, hat die gesetzliche Pflicht, den Auftragsverbarbeiter vorab und dann regelmäßig zu prüfen. Da immer noch viel Unsicherheit in diesem Thema besteht, finden Sie hier ein paar Antworten auf die häufigsten Fragen:
Im Verzeichnis der Verarbeitungstätigkeiten sind die allgemeinen technischen und organisatorischen Maßnahmen zu dokumentieren. Pro Verarbeitungstätigkeit werden hier die wesentlichen Maßnahmen zum Schutz der Daten dargestellt. Aufsichtsbehörden verschaffen sich einen ersten Überblick über die Schutzmaßnahmen. Der Verantwortliche soll darstellen, welche wesentlichen Maßnahmen zum Schutz der Daten er ergriffen hat. Meist findet man hier Verweise auf das Konzept zur Informationssicherheit oder IT-Sicherheitskonzepte, um keine doppelte Dokumentation durchzuführen.
Mein Tipp: Dokumentieren Sie die wesentlichen Maßnahmen und verweisen Sie dann auf konkrete Konzepte, wie z. B. das Identitäts- und Berechtigungsmanagement. Hier sollten dann pro IT-System konkrete weiterführende Maßnahmen zur Sicherheit der Verarbeitung zu finden sein.
Technische und organisatorische Maßnahmen sind Sicherheitsmaßnahmen, die unter der Berücksichtigung von diversen Faktoren einzurichten sind: Hierzu gehören der aktuelle Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung von personenbezogenen Daten.
Die Schutzziele, die oben im Text beschrieben werden, sollen dabei gewahrt bleiben, damit betroffene Personen keine Nachteile erlangen.
Der Verantwortliche des Unternehmens ist für die Umsetzung der Datenverarbeitung und damit auch für die Sicherheitsmaßnahmen verantwortlich. Art. 24 DSGVO beschreibt dabei:
“Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.”
Es gibt tausende von Maßnahmen, um Daten zu schützen. Meist werden diese in technische und organisatorische Maßnahmen unterschieden.
Technische Maßnahmen sind üblicherweise physische Schutzversuche, wie z. B.
- - Umzäunung des Unternehmens
- - Fenster- und Türensicherungen (z. B. WK3)
- - bauliche Maßnahmen, wie z. B. Brandschutztüren
- - Alarmanlagen
- - Videoüberwachung
Bei IT-Systemen (Soft- und Hardware) gibt es weitere technische Maßnahmen, wie z. B:
- - Personalisiertes Benutzerkonto
- - Passwortregelung jeglicher Art
- - Protokollierung
- - biometrische Benutzeridentifikation, wie z. B. Fingerabdruck
Organisatorische Maßnahmen sind üblicherweise Dienst- oder Handlungsanweisungen oder Leit- und Richtlinien, wie z. B.
- - Besucheranmeldung
- - Arbeitsanweisung zum Umgang mit der Vernichtung von Papier
- - Nutzung eines Vier-Augen-Prinzips
- - Stichprobenartige Prüfungen von Prozessen oder IT-Systemen auf Wirksamkeit
Unabhängig davon, ob personenbezogene Daten oder Daten des Unternehmens verarbeitet werden: Jede Schutzmaßnahme, die dafür sorgt, dass die Schutzziele Vertraulichkeit, Integrität oder Verfügbarkeit gewahrt bleiben, sind auch für den Datenschutz geeignet.
Sofern die Maßnahmen auch geeignet sind, die Schutzziele Zweckbindung, Intervenierbarkeit, Datenminimierung und Nichtverkettung zu erfüllen, sollten auch diese Maßnahmen etabliert und dokumentiert werden.
Unter „Informationssicherheit“ wird der Schutz von Informationen vor Gefahren verstanden. Wird die Informationssicherheit verletzt, können schwere Schäden für das Unternehmen oder auch Personen entstehen. Dazu gehört z. B. der unbefugte Zugriff, der unwiederbringliche Verlust oder die unbefugte Veränderung der Informationen.
Im Mittelpunkt der Informationssicherheit stehen vor allem die digitalen Informationen auf Computern, Servern oder mobilen Endgeräten.
Die IT-Sicherheit ist ein Teilbereich der Informationssicherheit. Hier konzentriert sich das Unternehmen auf den Schutz von Daten, die digital in IT-Systemen verarbeitet werden.
Um Informationen sicher im Unternehmen zu verarbeiteten, ist es jedoch auch erforderlich, nicht nur reine IT-Aspekte zu betrachten. Dazu gehören auch diverse sonstige Maßnahmen, wie z. B. zur sicheren Aufbewahrung und Vernichtung von Akten, dem Schutz des Betriebsgeländes oder der ordnungsgemäßen Einarbeitung von Beschäftigten.
Durch die Informationssicherheit sollen Informationen geschützt werden. Dafür werden Schutzziele definiert (Verfügbarkeit, Vertraulichkeit und Integrität) und diese durch sinnvolle Maßnahmen geschützt.
Bei dem Schutzziel „Vertraulichkeit“ dürfen Informationen nur befugten Personen und IT-Systemen verarbeitet werden.
Bei dem Schutzziel „Integrität“ dürfen Informationen nicht unbemerkt verändert und manipuliert werden.
Das Schutzziel „Verfügbarkeit“ sorgt dafür, dass Informationen immer gemäß der vorab festgelegten Art und Weise verfügbar sind.
Weitere Schutzziele, die sich z. B. aus dem Datenschutz ergeben, werden nicht beschrieben.
Ein IT-Baustein ist ein Teil der IT -Grundschutz-Methodik. Er enthält Anforderungen und Empfehlungen zur Absicherung einzelner oder komplexer Systeme und Prozesse. Im IT-Grundschutz gibt es ca. 100 Bausteine, die stetig weiterentwickelt werden.
Dabei unterscheidet das Bundesamt für Sicherheit der Verarbeitung eigene und benutzerdefinierte Bausteine, die von Anwendern des IT-Grundschutzes eingebracht werden können.
Der IT Grundschutz wurde absichtlich so gestaltet, dass sogar technisch weniger versierte Personen die benötigten Maßnahmen identifizieren und umsetzen können.
Mit dem IT-Grundschutz wird der Schutzbedarf von IT-Anwendungen und ‑Systemen beschrieben und Best-Practice-Beispiele zur Verfügung gestellt.
Die Umsetzung der IT-Grundschutz-Maßnahmen ist für die meisten Unternehmen nicht verpflichtend, sondern stellt eine Art Hilfe zur Selbsthilfe dar.
Unternehmen, die für kritische Infrastrukturen zuständig sind, müssen ein Management-System für die Informationssicherheit etablieren, um Risiken für die Bevölkerung zu vermeiden oder zu mindern.
Vorgaben gibt es hier nicht, jedoch müssen Methoden wie z. B. ISO 27001, BSI-IT-Grundschutz oder Branchenstandards verwenden, um die Anforderungen zu erfüllen.
Aufgrund der hohen Praxisnähe orientieren sich viele Unternehmen am IT-Grundschutz, weil die Praxisrelevanz deutlich höher ist, also z. B. bei der ISO 27001, wo der Verantwortliche wesentlich mehr Eigeninitiative und Kenntnisse einbringen muss.
Der Baustein Datenschutz enthält nur eine Maßnahme, die dann auf das SDM-Modell (Standard-Datenschutzmodell) der deutschen Datenschutz-Aufsichtsbehörden verweist. Hier werden diverse technisch und organisatorische Maßnahmen aufgeführt einschl. einer Vorgehensweise zur Umsetzung.
Die rechtlichen Anforderungen der DSGVO werden erfasst und den Gewährleistungszielen Datenminimierung,
Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettung und
Intervenierbarkeit zugeordnet. Es ist somit als Ergänzung gedacht, sinnvolle Maßnahmen zu etablieren, um die Gewährleistungsziele erfüllen zu können. Alle andere Pflichten für Unternehmen werden dort nicht hinterlegt.
Wenn Sie eine professionelle Unterstützung bei der Sicherheit der Verarbeitung suchen, sollten wir uns kennenlernen!
Finden Sie hier eine Auswahl von Dienstleistungen. Mit einen Klick auf die Schaltfläche erhalten Sie mehr Informationen
Datenschutzberater DSGVO
Mit einer modernen Beratung im Bereich Datenschutz und Informationssicherheit sparen Sie interne Ressourcen und setzen Ihr Projekt zeitnah um. Ich biete stundenweise eine Datenschutzberatung von A‑Z.
Datenschutzbeauftragter DSGVO
Informationssicherheitsbeauftragter
Ich berate Sie in allen Bereichen der Informationssicherheit. Schützen Sie Ihre Daten vor den Gefährdungen dieser Zeit nach dem Stand der Technik nach bewährten Methoden. Erfüllen Sie die Anforderungen des IT-Grundschutzes?
Datenschutzkonforme Website
Benötigen Sie regelmäßige Reports über alle Websites inkl. Unterseiten, auch in englischer Sprache? Hätten Sie gerne eine aktive Information, wenn sich die Rechtslage ändert und Sie aktiv werden müssen. Ich biete praxisnahe Maßnahmen zur Optimierung!
Videoüberwachung DSGVO
Datenschutz-Schulungen DSGVO
Praxisnahe Schulungen im Datenschutz und in der Informationssicherheit sind für Unternehmen unerlässlich. Ich biete Präsenz-Veranstaltungen, Webinare und E‑Learning-Kurse an. Schulen Sie Ihre Beschäftigten zielgruppengenau und passend auf Ihr Unternehmen.
Preise Datenschutz und Informationssicherheit
Kundenstimmen
Zufriedene Kunden empfehlen meine Dienstleistung weiter. Überzeugen Sie sich.
Mit einer hohen datenschutzrechtlichen, organisatorischen und sicherheitsrelevanten Kompetenz hat Herr Niehoff unser Unternehmen schnell und mit außerordentlicher Unterstützung bei der Umsetzung der DSGVO unterstützt. Das Coaching hat sich bezahlt gemacht.
Sie schaffen es, dieses Thema so interessant zu verpacken, dass ich trotzdem am Ende mit einem Lächeln aus den Meetings gehe.
Nach dem ersten Start haben wir schnell gemerkt, dass es ohne professionelle Hilfe nicht weitergeht. Herr Niehoff hat uns hier auf die richtige Spur gebracht und wir uns auch in Zukunft weiter unterstützen. Vielen Dank für die super schnelle Reaktion und Hilfe in der Krise! Wir freuen uns auch in Zukunft einen starken Partner an der Seite zu haben! Karsten Lorenzen, Geschäftsführer Testexperten KLE GmbH
Kontakt
- Direkte Betreuung
- Vor-Ort-Unterstützung für Ihr Unternehmen
- Direkt verfügbar
Buchen Sie ein kostenfreies Erstgespräch uns lassen Sie über Ihre Auftragsverarbeitung sprechen.
