Praxisnahe Umsetzung seit 2013

Ihr Experte für Datenschutz und Informationssicherheit

Sicherheit der Datenverarbeitung in der DSGVO

Sicherheit in der Datenverarbeitung: Können Sie diese 10 Fragen zu den technischen und organisatorischen Maßnahmen beantworten?

Sicherheit der Verarbeitung: Der Überblick

Einleitung

Für Unternehmen ist die Informationssicherheit in heutiger Zeit ein unverzichtbares Instrument zur Erfüllung von Aufgaben. Sie umfasst die Sicherheit der gesamten IT-Systeme (IT-Sicherheit), aber auch die nicht-technischen Systeme, wie z. B. die Sicherheit von Gebäuden oder die Gefahren, die von den Beschäftigten selbst ausgeht. 

Um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten, ist es zunächst wichtig zu verstehen, dass der Datenschutz für analoge und digitale Verarbeitungen gilt. Neben den technischen IT-Systemen, wie z. B. Server, Firewall, Desktop oder Smartphone kann auch ein Ausdruck am Schwarzen Brett zu einer Verletzung der Rechte und Freiheiten von Personen führen.

Was die Sicherheit der Verarbeitung eigentlich genau ist und wie man diese im Unternehmen umsetzt, dokumentiert und was die Begriffe „Angemessenheit“ „Wirksamkeit“ und „Stand der Technik“ bedeutet – auf dieser Seite finden Sie Antworten auf (fast) alle Fragen.

Hinweis: Diese Informationen stellen keine Rechtsberatung dar, sondern geben Anregungen zur Umsetzung. Für eine konkrete Umsetzung nehmen Sie gerne Kontakt auf.

Inhalte

Sicherheit der Verarbeitung:

Um die Sicherheit der Datenverarbeitung im Datenschutz (aber natürlich auch die anderen Informationen in Ihrem Unternehmen) zu gewährleisten, müssen geeignete technische und organisatorische Maßnahmen etabliert werden. Dabei ist ein risikobasierter Ansatz zu wählen, d. h. die Schwere der verbundenen Risiken für betroffene Personen (oder das Unternehmen) und die Eintrittswahrscheinlichkeit sind dabei mit einzubeziehen. Ein Risikomanagement ist zwingend erforderlich, um die gesetzlichen Vorgaben fachgerecht und zielgerichtet umzusetzen.

Folgende Schutzziele sind dabei zu erfüllen, die sich aus dem IT-Grund­schutz  und dem SDM-Modell der Aufsichtsbehörden ableiten.

Das Schutzziel „Verfügbarkeit“ sorgt dafür, dass die Daten zum richtigen Zeitpunkt, aktuell und in der benötigten Form zur Verfügung stehen, um den Zweck der Datenverarbeitung zu erfüllen.

Bei der Vertraulichkeit geht es darum, dass keine unbefugten Personen oder Systeme auf personenbezogene Daten zugreifen können. Dazu gehören nicht nur Dritte außerhalb des Unternehmens, sondern auch interne Beschäftigte, die keinen inhaltlichen Bezug zu der Verarbeitungstätigkeit haben. Maßnahmen zur Verhinderung und (bei einem Verlust der Vertraulichkeit) zur Behebung oder Abmilderung der Verletzung sind zu planen und umzusetzen.

Bei der Integrität soll sichergestellt werden, dass unbefugte Veränderungen von Informationen ausgeschlossen werden. Jegliche Veränderungen an den gespeicherten Daten sind durch unberechtigte Personen und Systeme auszuschließen. Erfolgt trotzdem eine Verletzung der Sicherheit, sind Maßnahmen zu etablieren, dass Datenveränderungen zeitnah erkannt und korrigiert werden.

Unter dem Schutzziel Transparenz bezeichnet man die Erkennbarkeit der Datenverarbeitung. Dabei ist – je nach Zielgruppe – z. B. Nutzer, IT-Verantwortliche oder der jeweilige Fachbereich entscheidend, 

  • - welche Daten wann und für
  • - welchen Zweck verarbeitet werden,
  • - welche Systeme und Prozesse dafür genutzt werden,
  • - an wen welche Daten für welchen Zweck übermittelt werden und
  • - wer die rechtliche Verantwortung für die Daten und Systeme
    in den verschiedenen Phasen einer Datenverarbeitung besitzt.

Notwendig sind dabei die Beobachtung und Steuerung

  • - der Daten,
  • - der Prozesse und
  • - der beteiligten Systeme von der Entstehung bis
    zu ihrer Löschung bzw. Vernichtung.

Um die Datenverarbeitung sicher und rechtmäßig zu gestalten, ist es notwendig, dass personenbezogene Daten nicht zusammengeführt werden. Das gilt besonders dann, wenn Daten für verschiedene Zwecke erhoben wurden.

Ein großer Datenpool erzeugt Begehrlichkeiten, um Daten für weitere Zwecke zu nutzen.

Maßnahmen zur Pseudonymisierung und organisations- bzw. systemseitige Trennung unterstützt die Erreichung des Schutzzieles.

Das Schutzziel „Inter­venierbarkeit“ bezeichnet die Anforderung, dass den betroffenen Personen die ihnen zustehenden Rechte auf Benach­richtigung, Auskunft, Berichtigung, Löschung, Einschränkung, Datenüber­tragbarkeit, Widerspruch und Erwirkung des Eingriffs in automatisierte Einzel­entscheidungen bei Bestehen der gesetz­lichen Voraussetzungen unverzüglich und wirksam gewährt werden. Der Verantwort­liche ist verpflichtet ist, die entsprechenden Maßnahmen umzusetzen. Soweit der Verantwortliche über Informationen verfügt, die es ihm erlauben, die betroffenen Personen zu identifizieren, muss er auch Maßnahmen zur Identi­fizierung und Authentifizierung der betroffenen Personen, die ihre Rechte wahrnehmen möchten, treffen.

Beachten Sie mögliche Sanktionen!

Was ist, wenn die Datenverarbeitung durch eine Aufsichtsbehörde Ihre Geschäftsprozesse untersagt oder Geldbußen auferlegt werden?

Die Höhe variiert sicherlich von Unternehmen und dem Risiko der Verarbeitung, aber Verfehlungen können schnell recht teuer werden (2% vom Vorjahres­umsatz oder 10.000.000 Euro, je nachdem was höher ist). Aber so weit wird es hoffentlich nicht kommen.

Sicherheit der Verarbeitung: Welche Gefährdungen haben Einfluss auf den Datenschutz und die Informationssicherheit

Folgende Gefährdungen haben Einfluss auf die personenbezogenen Daten oder Geschäfts­daten, Vertrau­lichkeit, Integrität und Verfügbarkeit von Informations­werten ergeben können:

Denken Sie an die Folgeaufgaben!

Ohne die Erstellung Sicherheits­konzepten können die Nachweis­pflichten der DSGVO nicht erfüllt werden. Die Prüfung, ob die etablierten Maßnahmen durch die IT-Abteilung oder die externen IT-Dienstleister auch wirksam umgesetzt worden sind, ist eine wichtige Folgeaufgabe. Die meisten Unternehmen vertrauen darauf, dass der IT-Dienstleister alles richtig macht. In den meisten Fällen gibt es aber weder eine Dokumentation noch eine Anlehnung an Standards, wie z. B. IT-Grundschutz oder ISO 27001. Suchen Sie sich einen Experten, der die Maßnahmen zur Sicherheit der Verarbeitung Stück für Stück voranbringt.

10 Prüffragen für die Geschäftsleitung

Fragen Sie sich als Vertretung der Geschäftsleitung: Machen wir im Daten­schutz alles richtig? Dann stellen Sie Ihrem Personal oder dem Datenschutz­beauftragten die folgenden Fragen und lassen sich entsprechende Nachweise vorlegen.
compliance-im-datenschutz

Sie kennen das Thema bereits und wollen mehr Details? Hier erhalten Sie mehr Informationen zum Thema Sicherheit der Verarbeitung. 

Sie wollen in 4 Schritten die Sicherheit der Verarbeitung in Ihrem Unternehmen umsetzen? Finden Sie hier weitere Informationen.

Sie wünschen eine direkte Kontakt­aufnahme und haben Fragen zum Sicher­heit der Verar­beitung, die ggf. schnell beant­wortet werden können?

In 4 Schritten zur Sicherheit der VErarbeitung

Nachfolgend zeige ich Ihnen in 4 Schritten, wie Sie das Thema „Sicherheit der Verarbeitung“ im Unternehmen umsetzen und aktuell halten können.

Schritt 1: Holen Sie einen Spezialisten an Bord – schneller geht es nicht.

Vorweg: Das Thema Sicherheit der Verarbeitung kann je nach Unternehmen ein sehr umfangreiches Thema sein. Die DSGVO gibt nur technik-neutrale Hinweise, was Unternehmen in diesem Bereich beachten müssen. Das ist auch nachvollziehbar, weil sich die Technik ständig weiterentwickelt.

Zunächst holen Sie sich einen Spezialisten, der sich seit vielen Jahren permanent mit der Sicher­heit im Datenschutz und in der Informations­technik beschäftigt. Mit einem geringen Zeitaufwand bei Ihren internen Fach­bereichen und externen Dienstleistern werden die erforder­lichen Informationen abgefragt, um einen ersten Über­blick zu erstellen.

Eine Bestandsaufnahme ist dann erforderlich, um die unterschiedlichen Datenverarbeitungen im Unternehmen zu erheben. Die verwendeten analogen und digitalen Informationssysteme, externe Dienstleister sowie die jeweiligen Ansprechpartner werden dann den Verarbeitungstätigkeiten zugeordnet.

Beachten Sie das Risiko für die betroffenen Personen!

Die Anzahl der zu erstellenden Konzepte sind abhängig von der Komplexität der Verarbeitung und dem Risiko für die Rechte und Frei­heiten der betroffenen Personen. Das Wissen für die Erstellung von fachge­recht erstellten Konzepten sollten Sie nicht durch interne Beschäftigte oder durch externe Dienst­leister ohne Unter­stützung erstellen. Diese Erfahrung ist neben­beruflich nur schwer zu erlangen.

Schritt 2: Festlegung der Struktur für die Sicherheit der Verarbeitung.

Dann legen Sie fest, in welcher Form die Dokumente in Ihrem Unternehmen erstellt und abgelegt werden sollen. Für welche Themengebiete benötigen Sie konkrete Maßnahmen und Anweisungen?

Am Anfang steht üblicherweise eine Leitlinie der Geschäftsleitung, in der zum Ausdruck gebracht wird, welchen Stellenwert der Datenschutz und die Informationssicherheit im Unternehmen hat. Die Ziele sind zu definieren und richten sich an den strategischen Unternehmenszielen aus. Darauf aufbauend werden Richtlinien oder Anweisungen definiert, in der sich konkrete Vorgaben für den Umgang mit Informationen in Ihrem Unternehmen wiederfinden. 

Sie nutzen ein internes Dokument­ations­system, z. B. ein internes Wikipedia, ein Dokumenten­management­system, Google Drive, eine NextCloud, ein Qualitäts­management­system, Microsoft Teams / SharePoint oder den klassischen Aktenordner?

Verwenden Sie einen einheitlichen Aufbau der Dokumente, ein Versions­management, eine Kommunikations- und Freigabe­prozedur und stellen sicher, dass die jeweiligen Zielgruppen auf die Dokumente zugreifen können.

Abschließend werden Dokumente dargestellt, die für die meisten Unternehmen zu erstellen sind.

Typische Dokumente im Bereich Sicherheit der Verarbeitung

Die folgende Auswahl zeigt verschiedene Dokumente auf, die typischerweise notwendig sind, um nachweisen zu können, dass Sie sich mit dem Thema „Sicherheit der Verarbeitung“ auseinandergesetzt haben.

Schritt 3: Erstellen Sie die Dokumente zur Sicherheit der Verarbeitung

Nach der Inventur der Geschäfts­prozesse, Informations­systeme und Beteiligten wird die Vorgehens­weise priorisiert. Dabei ist darauf zu achten, dass zuerst die Informations­systeme gemäß dem potenziellen Risiko für das Unternehmen und die betroffenen Personen betrachtet werden.

Während der Dokumentation werden Sie feststellen, dass Sie (noch) nicht alle Maßnahmen erfüllen, die z. B. von den Bausteinen des IT-Grundschutzes erwartet werden. Pro Themengebiet müssen Sie dann schauen, ob Sie die Maßnahmen erfüllen können. Ggf. gibt es auch alternative Schutzmaßnahmen, die ergänzend zur Sicherheit der Verarbeitung beitragen.

Gehen Sie schrittweise vor.

Es kann sein, dass Sie die Fülle der Anforderungen, die heute im Bereich Datenschutz und Informations­sicherheit erwartet werden, überfordert. Konzentrieren Sie sich jedoch auf die wesentlichen Maßnahmen zum Schutz Ihrer Daten.

Wenn Sie Maßnahmen nicht sofort umsetzen können, sammeln Sie offene  und auch mögliche Themen, schätzen Sie grob den Umsetzungsaufwand für eine interne bzw. externe Umsetzung und führen Sie eine Priorisierung durch.

Für die Umsetzung der Maßnahmen mit der höchsten Priorisierung legen Sie realistische Termine und Zuständigkeiten fest.

Schritt 4: regel­mäßige Aktual­isierung der Sicher­heit der Verar­beitung

Sie müssen jetzt noch einen Prozess einrichten, um nachweisen zu können, dass die Maßnahmen aktuell bleiben. Legen Sie sich das Thema einmal im Jahr auf Wiedervorlage. Je nach Risiko der Verarbeitung für die betroffenen Personen können Sie auch festlegen, dass eine Aktualisierung für bestimmte Bereiche nur alle zwei Jahre erfolgt. 

Veränderungen innerhalb des Kalenderjahres

Sofern sich unterjährig Informationssysteme, interne und externe Beteiligte, Risiken oder Unternehmensziele, der Stand der Technik oder sonstige Rahmenbedingungen ändern, spricht vieles für eine unterjährige Aktualisierung.

Die meisten Unternehmen, die ich betreue, sammeln jedoch Veränderungen während der Laufzeit und aktualisieren die Dokumente einmal im Jahr, um nicht zu häufig Anpassungen durchführen zu müssen.

Sie haben einen Bedarf an einer Unterstützung im Thema „Sicherheit der Verarbeitung“? Nehmen Sie einfach Kontakt auf oder buchen Sie einen Beratungstermin.

Kundenstimmen

Zufriedene Kunden empfehlen meine Dienstleistung weiter. Überzeugen Sie sich.

Interner DSB aus Hamburg

IT Grosshandel

Mit einer hohen datenschutz­rechtlichen, organisatorischen und sicherheits­relevanten Kompetenz hat Herr Niehoff unser Unter­nehmen schnell und mit außer­ordentlicher Unter­stützung bei der Umsetzung der DSGVO unterstützt. Das Coaching hat sich bezahlt gemacht.

Geschäftsführer aus Hamburg

Testexperten KLE GmbH

Wir hatten die Herausforderung, dass wir nach der Erstellung & Umsetzungen der DSGVO-Richtlinien eine ernsthafte Prüfung im Bereich der DSGVO brauchten. Herr Niehoff hat uns das Ganze sehr gut erläutert und super unterstützt. Wir möchten uns an dieser Stelle für die hervorragende Zusammenarbeit bedanken!

Chief Digital Officer aus Lüneburg

Öffentliche Verwaltung

Sie schaffen es, dieses Thema so interessant zu verpacken, dass ich trotzdem am Ende mit einem Lächeln aus den Meetings gehe.

Sekretariat

Rechtsanwaltskanzlei

Außerdem hat unsere Bearbeit­erin unserer Homepage Ihre Anweisungen sehr gelobt! Sie schreibt: „Kompliment an dieser Stelle an ihren Datenschutz­beauftragten, ich habe selten so fundierte Anweisungen bekommen, bei denen ich zu 100% mitgehe.“ Auch ich kann Ihnen an dieser Stelle mitteilen, dass sie mir sehr verständlich aufzeigen, was ich im Datenschutzdschungel nach und nach alles bearbeiten muss. Danke dafür! 😊

Fachkunde

Die Gestaltung einer datenschutz­konformen Organisation verbessert sofort die Sicher­heit Ihres Unter­nehmens. Lassen Sie uns deshalb jetzt über Ihre laufenden oder zukünftigen Pro­jekte sprechen und die Umsetz­ung unter Einhaltung aller datenschutzrechtlichen Bestimmungen planen.

Im Laufe der Jahre habe ich mir ein fundiertes Wissen im Bereich des Datenschutzes und der Informationssicherheit angeeignet. Eine permanente Weiterbildung ist für mich selbstverständlich. Ich halte meine Mandanten auf dem neuesten Stand.

fachkundenachweis-niehoff (Benutzerdefiniert)

Weitere Details zur Sicherheit der Verarbeitung

Schützen Sie von Anfang an die Sicherheit Ihrer Daten

Schon bevor Sie personenbezogene Daten oder sonstige Informationen verarbeiten oder verarbeiten lassen, sollten Sie sich fragen, ob alle geplanten Maßnahmen zum Schutz der Daten angemessen und wirksam sind und dem Stand der Technik entsprechen. Aber was bedeuten diese Begriffe?

Der Begriff der Verarbeitung in der DSGVO ist sehr umfang­reich und erstreckt sich von der Quelle (personen­bezogene Daten werden erhoben) über jegliche Nutzung der Daten bis hin zur Löschung bzw. Vernichtung. Der Begriff umfasst also den gesamten Lebens­zyklus der Daten.

Angemessenheit: Sie müssen als Unternehmen selbst festlegen, welche Maßnahmen getroffen werden und dabei den erforderlichen wirtschaftlichen Aufwand, wie z. B. die Realisierungskosten und den Schutzbedarf der Datenverarbeitung berücksichtigen.

Wirksamkeit: Wenn Maßnahmen zum Schutz der Daten etabliert werden, muss auch sichergestellt werden, dass die Maßnahmen auch wirken, d. h. funktionieren. So ist z. B. eine täglich durchgeführte Datensicherung aller Daten nicht wirksam, wenn im Ernstfall das Einspielen des Backups nicht funktioniert. Eine regelmäßige Prüfung des Einspielens der Datensicherung ist daher zu testen, um die Wirksamkeit festzustellen. Die Wirksamkeitsprüfung ist zu dokumentieren.

Stand der Technik: Eine gesetzliche Definition zum Stand der Technik gibt es nicht. Bei Maßnahmen, die dem Stand der Technik entsprechen, geht man davon aus, dass diese fortschrittlich sind und den Schutz der Informationen wirkungsvoll gewährleisten können. Die Maßnahmen weisen einen hohen Sicherheitsstandard auf, sind dabei wissenschaftlich anerkannt oder haben sich in der täglichen Praxis bereits bewährt und durchgesetzt. Eine recht umfangreiche Dokumentation findet man unter folgendem Link.

Mein Tipp: Um möglichst zeitnah zu einem Ergebnis im Bereich Sicherheit der Verarbeitung zu kommen, nutzen Sie einfach den IT-Grundschutzstandard. Bei einem normalen Schutzbedarf Ihrer Daten identifizieren Sie die Bausteine, die Sie selbst einsetzen (Beispiel: Firewall). Setzen und dokumentieren Sie zunächst die Basisabsicherung. Ausführliche Umsetzungshinweise des BSI sind ebenfalls zu nutzen. So können Sie nachweisen, dass Sie sich an einem anerkannten Standard orientieren. Der Vorteil am IT-Grundschutz liegt dabei an der Praxisnähe der Maßnahmen. Aber auch Umsetzungen nach der ISO 27001-Norm sind denkbar.

Sie haben Verarbeitungen mit einem höheren Schutzbedarf? Ergänzen Sie dann die Standardabsicherung und ggf. sogar Maßnahmen für Datenverarbeitungen mit einem erhöhten Schutzbedarf.

Maßnahmen aus dem Standard-Datenschutzmodell (SDM)

Auch die Maßnahmen der Datenschutzkonferenz, die sich aus dem SDM-Modell ergeben, erhöhen die Sicherheit der Verarbeitung im Datenschutz-Umfeld. Der Vorteil in dem Modell liegt darin, dass die Maßnahmen von den Aufsichtsbehörden erstellt worden sind. Bei Verfehlungen wirken die Umsetzungsmaßnahmen strafmildernd, wenn diese fachgerecht umgesetzt worden sind.

Diese Informationen sind eine hervorragende Ergänzung zu den Bausteinen des IT-Grundschutzes. Insgesamt können damit die Vorgaben der Sicherheit nach angemessenen und wirksamen Maßnahmen nach dem Stand der Technik umgesetzt und nachgewiesen werden können.

Da sämtliche Dokumente frei verfügbar sind, fallen keine weiteren Kosten für das Unternehmen an, wie z. B. für Dokumente der ISO 27001.

Bausteine aus dem IT-Grundschutz

Die folgende Auswahl der Bausteine des Bundesamtes für Sicherheit in der Informationstechnik enthalten diverse Maßnahmen zum Schutz von Informationen. 

Zunächst sollten Sie die Bausteine mit übergeordneten Auswirkungen auf die Sicherheit der Verarbeitung umsetzen. Konzentrieren Sie sich dann auf konkrete IT-Systeme und andere Themengebiete, wie z. B. Ihre Firewall oder Ihre Endgeräte. Finden Sie einen Überblick über die Bausteine des IT-Grundschutzes in der Reihenfolge der Umsetzung.

Mein Tipp: Konzentrieren Sie sich dabei zunächst auf die Basisabsicherung, um die Daten zu schützen, für die Sie verantwortlich sind.

Maßnahmen aus Baustein »Firewall«

Innerhalb des jeweiligen Bausteines werden Maßnahmen im Bereich der Basis- und Standabsicherung definiert. Setzen Sie also auf der nächsten Ebene die Maßnahmen der Basisabsicherung einer Firewall um. Diese sind oftmals sehr praxisnah und daher auch so für die Umsetzung im Unternehmen sehr geeignet.

Je Maßnahme gibt es Vorgaben, wie z. B. der Notfallzugriff auf die Firewall zu erfolgen hat. Auszug (Quelle BSI).

NET.3.2.A7: „Es MUSS immer möglich sein, direkt auf die Firewall zugreifen zu können, sodass sie im Notfall auch dann lokal administriert werden kann, wenn das gesamte Netz ausfällt.“

Setzen Sie diese Maßnahme im Unternehmen um und dokumentieren Sie diese in der Übersicht der technischen und organisatorischen Maßnahmen. Holen Sie Ihren externen IT-Dienstleister hinzu, wenn Sie Unterstützung benötigen. Abweichungen von den Maßnahmen sind zu begründen.

Sie möchten mehr erfahren, um mehr für die Sicherheit in Ihrem Unternehmen tun? Nehmen Sie gerne Kontakt auf.

PFLICHT ZUR DOKUMENTATION FÜR JEDES UNTERNEHMEN

Um die Nachweispflichten der Datenschutz-Grundverordnung umzusetzen, müssen Sie nachweisen können, wie Sie die Daten in Ihrem Unternehmen pro Verarbeitungstätigkeit sichern. Typischerweise sind im Verzeichnis der Verarbeitungstätigkeiten die „allgemeinen technischen und organisatorischen Maßnahmen“ zu beschreiben. Dies sind typische Sicherheitsmaßnahmen, die maßgeblich für den Schutz der Daten sorgen sollen. Bei der Verwendung von IT-Systemen sind dies Regelungen, wie z. B. für den Zugang oder den Zugriff auf die IT-Systeme und die dort gespeicherten Informationen. Aber auch abgeschlossene Schränke, Verschlüsselungsmaßnahmen und Maßnahmen zur Datensicherung spielen dort eine Rolle.

Um aber darzustellen, wie die Maßnahmen konkret geplant und umgesetzt worden sind, müssen Sie die Massnahmen dokumentieren. Bei einer Prüfung müssen Sie darstellen können, dass die Sicherheit der Verarbeitung angemessen sind. Die Angemessenheit wird dabei von Größe und Art des Unternehmens und dem Risiko der Verarbeitung aus Sicht der betroffenen Personen festgemacht. Weiterhin muss jede Maßnahme auch geeignet und wirksam sein, um die Daten zu schützen. 

Sorgen Sie für ein solides Fundament!

Das Bundesamt für Sicherheit in der Informationstechnik hat mit dem IT-Grundschutz eine hervorragende und weltweit einzigartige Dokumentation geschaffen, um den Stand der Technik im Unternehmen zu etablieren. Zunächst erschlägt die Fülle der Dokumentation Unternehmen.

Mit etwas Übung oder unter Zuhilfenahme eines Experten, der in diesem Bereich schon diverse Projekte umgesetzt hat, kann Stück für Stück ein solides Fundament für die Sicherheit der Verarbeitung geschaffen werden. Die Maßnahmen sind in den meisten Fällen überwiegend praxisnah und gut umsetzbar. 

details-verzeichnis-der-verarbeitungstaetigkeiten

Kontinuierliche Verbesserung

Verbessern bedeutet vorrangig Probleme lösen. Probleme lösen wiederum heißt, Lernen und Anpassung.  Das PDCA-Modell (Plan – Do – Check – Act) stellt die Ist-Situation des Unter­nehmens permanent infrage und startet im Unternehmen einen wieder­kehrenden Regelkreis zur Verbess­erung der Abläufe und Prozesse. 

Auch beim Sicherheit der Verarbeitung gibt es einen stetigen Verbesserungsprozess durch regel­mäßige Aktualisierungen und feste Einbindung im Gestaltungsprozess von Geschäftsprozessen.

Bleiben SIe aktuell!

Erstellen auch Sie einen Regelkreis, damit Ihre etablierten technischen und organisatorischen Maßnahmen (TOMs) korrekt geplant und umgesetzt werden, den richtigen Detailgrad haben und aktuell gehalten werden.

Sie benötigen Unterstützung bei Ihren TOMs?

Plan

Festlegung von Art, Umfang und Form der Sicherheitsmaßnahmen

Do

Umsetzung und Dokumentation der Maßnahmen, Planung und Priorisierung offener Themen 

Act

Aktualisierung und Anpassung der technischen und organisatorischen Maßnahmen

Check

Prüfung auf Angemessenheit, Wirksamkeit und dem Stand der Technik

Leistungen

Bei den meisten Geschäftsprozessen werden personenbezogene Daten verarbeitet. Finden Sie hier meine Dienstleistungen, die ich Unternehmen auch in Norddeutschland seit vielen Jahren zur Verfügung stelle. 

Daten­schutz­berater DSGVO

Mit einer modernen Beratung im Bereich Daten­­schutz und Informations­sicherheit sparen Sie interne Ressourcen und setzen Ihr Projekt zeitnah um.

Daten­schutz­beauftragter DSGVO

Als externer Datenschutz­­­beauftragter bietet ich Ihnen einen Rund-um-Support nach den gesetz­lichen Vorgaben. Nutzen Sie vom ersten Tag an meine lang­jährige Erfahrung.

Infor­mations­sicher­heits­beauf­tragter

Ich berate Sie in allen Bereichen der Informations­­sicherheit. Schützen Sie Ihre Daten vor den Gefähr­dungen dieser Zeit nach dem Stand der Technik.

Datenschutz-Schulungen DSGVO

Praxisnahe Schulungen im Datenschutz sind unerlässlich. Ich biete passende Präsenz­-Veranstaltungen, Webinare und E-Learning-Kurse.

Clever sein – Technische und organisatorische Maßnahmen effizient und praxisnah umsetzen

Ich unterstütze Sie bei der Erstellung Ihrer Sicherheitsmaßnahmen. Nutzen Sie meine mehrjährige Expertise, um zügig eine erste Dokumentation zu erstellen. Setzen Sie Maßnahmen um, die angemessen und wirksam sind und dem Stand der Technik entsprechen.

Buchen Sie ein entsprechendes Modul oder eine punktuelle Unterstützung. Ich biete Ihnen die Dokumentation in Ihrem Zielsystem. Nach meiner Erfahrung ist die Interviewtechnik die effizienteste Methode, um zügig zu der ersten Version zu kommen. Die Beratung kann bei Ihnen vor Ort oder per Videokonferenz erfolgen. 

Als Datenschutzbeauftragter ist die Unterstützung bei der Erstellung des Sicherheit der Verarbeitung fester Bestandteil.

10 Fragen zur Sicherheit der Verarbeitung im Datenschutz und IT-Grundschutz

Jedes Unter­nehmen, welches personenbezogene Daten regelmäßig verarbeitet, hat die gesetzliche Pflicht, ein Maßnahmen zur Sicherheit der Verarbeitung zu erstellen. Da immer noch viel Unsicherheit in diesem Thema besteht, finden Sie hier ein paar Antworten auf die häufigsten Fragen:

Der Verantwortliche des Unternehmens ist für die Umsetzung der Datenverarbeitung und damit auch für die Sicherheitsmaßnahmen verantwortlich. Art. 24 DSGVO beschreibt dabei:

 

"Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert."

Technische und organisatorische Maßnahmen sind Sicherheitsmaßnahmen, die unter der Berücksichtigung von diversen Faktoren einzurichten sind: Hierzu gehören der aktuelle Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung von personenbezogenen Daten.

Die Schutzziele, die oben im Text beschrieben werden, sollen dabei gewahrt bleiben, damit betroffene Personen keine Nachteile erlangen.

Im Verzeichnis der Verarbeitungstätigkeiten sind die allgemeinen technischen und organisatorischen Maßnahmen zu dokumentieren. Pro Verarbeitungstätigkeit werden hier die wesentlichen Maßnahmen zum Schutz der Daten dargestellt. Aufsichtsbehörden verschaffen sich einen ersten Überblick über die Schutzmaßnahmen. Der Verantwortliche soll darstellen, welche wesentlichen Maßnahmen zum Schutz der Daten er ergriffen  hat. Meist findet man hier Verweise auf das Konzept zur Informationssicherheit oder IT-Sicherheitskonzepte, um keine doppelte Dokumentation durchzuführen.

 

Mein Tipp: Dokumentieren Sie die wesentlichen Maßnahmen und verweisen Sie dann auf konkrete Konzepte, wie z. B. das Identitäts- und Berechtigungsmanagement. Hier sollten dann pro IT-System konkrete weiterführende Maßnahmen zur Sicherheit der Verarbeitung zu finden sein.

Es gibt tausende von Maßnahmen, um Daten zu schützen. Meist werden diese in technische und organisatorische Maßnahmen unterschieden. 

Technische Maßnahmen sind üblicherweise physische Schutzversuche, wie z. B. 

  • - Umzäunung des Unternehmens
  • - Fenster- und Türensicherungen (z. B. WK3)
  • - bauliche Maßnahmen, wie z. B. Brandschutztüren
  • - Alarmanlagen 
  • - Videoüberwachung

Bei IT-Systemen (Soft- und Hardware) gibt es weitere technische Maßnahmen, wie z. B: 

  • - Personalisiertes Benutzerkonto
  • - Passwortregelung jeglicher Art
  • - Protokollierung
  • - biometrische Benutzeridentifikation, wie z. B. Fingerabdruck

Organisatorische Maßnahmen sind üblicherweise Dienst- oder Handlungsanweisungen oder Leit- und Richtlinien, wie z. B. 

  • - Besucheranmeldung
  • - Arbeitsanweisung zum Umgang mit der Vernichtung von Papier
  • - Nutzung eines Vier-Augen-Prinzips
  • - Stichprobenartige Prüfungen von Prozessen oder IT-Systemen auf Wirksamkeit

Unabhängig davon, ob personenbezogene Daten oder Daten des Unternehmens verarbeitet werden: Jede Schutzmaßnahme, die dafür sorgt, dass die Schutzziele Vertraulichkeit, Integrität oder Verfügbarkeit gewahrt bleiben, sind auch für den Datenschutz geeignet.

 

Sofern die Maßnahmen auch geeignet sind, die Schutzziele Zweckbindung, Intervenierbarkeit, Datenminimierung und Nichtverkettung zu erfüllen, sollten auch diese Maßnahmen etabliert und dokumentiert werden.

Unter „Informationssicherheit“ wird der Schutz von Informationen vor Gefahren verstanden. Wird die Informations­sicherheit verletzt, können schwere Schäden für das Unternehmen oder auch Personen entstehen. Dazu gehört z. B. der unbefugte Zugriff, der unwiederbringliche Verlust oder die unbefugte Veränderung der Informationen.

 

Im Mittelpunkt der Informationssicherheit stehen vor allem die digitalen Informationen auf Computern, Servern oder mobilen Endgeräten.

 

Die IT-Sicherheit ist ein Teilbereich der Informationssicherheit. Hier konzentriert sich das Unternehmen auf den Schutz von Daten, die digital in IT-Systemen verarbeitet werden.

Um Informationen sicher im Unternehmen zu verarbeiteten, ist es jedoch auch erforderlich, nicht nur reine IT-Aspekte zu betrachten.  Dazu gehören auch diverse sonstige Maßnahmen, wie z. B. zur sicheren Aufbewahrung und Vernichtung von Akten, dem Schutz des Betriebsgeländes oder der ordnungsgemäßen Einarbeitung von Beschäftigten.

Durch die Informationssicherheit sollen Informationen geschützt werden. Dafür werden Schutzziele definiert (Verfügbarkeit, Vertraulichkeit und Integrität) und diese durch sinnvolle Maßnahmen geschützt.

Bei dem Schutzziel „Vertraulichkeit“ dürfen Informationen nur befugten Personen und IT-Systemen verarbeitet werden.

Bei dem Schutzziel „Integrität“ dürfen Informationen nicht unbemerkt verändert und manipuliert werden.

Das Schutzziel „Verfügbarkeit“ sorgt dafür, dass Informationen immer gemäß der vorab festgelegten Art und Weise verfügbar sind.

Weitere Schutzziele, die sich z. B. aus dem Datenschutz ergeben, werden nicht beschrieben.

Ein IT-Baustein ist ein Teil der IT -Grundschutz-Methodik. Er enthält Anforderungen und Empfehlungen zur Absicherung einzelner oder komplexer Systeme und Prozesse. Im IT-Grundschutz gibt es ca. 100 Bausteine, die stetig weiterentwickelt werden.

Dabei unterscheidet das Bundesamt für Sicherheit der Verarbeitung eigene und benutzerdefinierte Bausteine, die von Anwendern des IT-Grundschutzes eingebracht werden können.

Der IT Grundschutz wurde absichtlich so gestaltet, dass sogar technisch weniger versierte Personen die benötigten Maßnahmen identifizieren und umsetzen können.

 

Mit dem IT-Grundschutz wird der Schutzbedarf von IT-Anwendungen und -Systemen beschrieben und Best-Practice-Beispiele zur Verfügung gestellt. 

Die Umsetzung der IT-Grundschutz-Maßnahmen ist für die meisten Unternehmen nicht verpflichtend, sondern stellt eine Art Hilfe zur Selbsthilfe dar.

Unternehmen, die für kritische Infrastrukturen zuständig sind, müssen ein Management-System für die Informationssicherheit etablieren, um Risiken für die Bevölkerung zu vermeiden oder zu mindern.

 

Vorgaben gibt es hier nicht, jedoch müssen Methoden wie z. B. ISO 27001, BSI-IT-Grundschutz oder Branchenstandards verwenden, um die Anforderungen zu erfüllen.

 

Aufgrund der hohen Praxisnähe orientieren sich viele Unternehmen am IT-Grundschutz, weil die Praxisrelevanz deutlich höher ist, also z. B. bei der ISO 27001, wo der Verantwortliche wesentlich mehr Eigeninitiative und Kenntnisse einbringen muss.

Der Baustein Datenschutz enthält nur eine Maßnahme, die dann auf das SDM-Modell (Standard-Datenschutz­modell) der deutschen Datenschutz-Aufsichts­behörden verweist. Hier werden diverse technisch und organi­satorische Maßnahmen aufgeführt einschl. einer Vorgehens­weise zur Umsetzung.

Die recht­lichen Anforderungen der DSGVO werden erfasst und den Gewähr­leistungs­zielen Daten­minimierung,
Verfügbar­keit, Integrität, Vertraul­ichkeit, Trans­parenz, Nichtverkettung und
Inter­venier­barkeit zugeordnet. Es ist somit als Ergänzung gedacht, sinnvolle Maßnahmen zu etablieren, um die Gewähr­leistungs­ziele erfüllen zu können. Alle andere Pflichten für Unter­nehmen werden dort nicht hinter­legt.

Kontakt

Buchen Sie ein kostenfreies Erstgespräch und lassen Sie uns über Ihre Sicherheit der Verarbeitung sprechen.

kontakt-niehoff-systemberatung

Aktuelle News zum Thema Daten­schutz und Infor­mations­sicherheit

In diesem Bereich finden Sie Nachrichten und Hintergrundinformationen zum Thema Datenschutz und Informationssicherheit. Sie haben ein Thema, was einen Beitrag wert wäre? Melden Sie sich gerne.