IT-Sicherheitskonzept als wichtige Rolle im Datenschutz

Datenschutz ist untrennbar mit IT-Sicherheit verknüpft. Nur wer IT-Sicherheit ernst nimmt, kann auch die DSGVO einhalten. Der Grund hierfür ist einfach: Personenbezogene Daten werden zu einem großen Teil im digitalen Raum verarbeitet.

Viele Unternehmen sehen in der Umsetzung der Bestimmungen der Datenschutz-Grundverordnung eine besondere Herausforderung. Sie betrifft nicht nur die Dokumentation über die Verarbeitung personenbezogener Daten, sondern auch das IT-Sicherheitskonzept. Denn nur wenn alle technischen Maßnahmen im IT-Bereich auf dem aktuellen Stand sind, ist die verantwortliche Stelle dazu in der Lage, die Sicherheit der verarbeiteten Daten zu garantieren.

Rechtskonformes IT-Sicherheitskonzept

Hierbei spielt insbesondere der Stand der Technik, der Umfang und Zweck der Verarbeitung des jeweiligen Unternehmens, die Eintrittswahrscheinlichkeit und Schwere des Risikos eine erhebliche Rolle. Diese sind jedoch von Unternehmen zu Unternehmen unterschiedlich.

Daher sieht Art. 32 der DSGVO (Sicherheit und Verarbeitung) gegebenenfalls unter anderem Folgendes vor:

a) Pseudonymisierung und Verschlüsselung personenbezogener Daten

b) Fähigkeit, die Vertraulichkeit, Integrität und Belastbarkeit der Systeme auf Dauer sicherzustellen

c) Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem (drohenden) Datenverlust wiederherzustellen

d) Verfahren, welche durch regelmäßige Überprüfungen die oben genannten Eigenschaften gewährleisten

Die verantwortliche Stelle beziehungsweise der Auftragsverarbeiter haben entsprechende technische und organisatorische Maßnahmen (TOMs) zu ergreifen, um das Schutzniveau der verarbeiteten Daten zu gewährleisten.

Festlegen von Schutzzielen und Verantwortlichkeiten

In diesem Zusammenhang sind auch Artikel 33 und 34 DSGVO zu nennen. Diese behandeln die Meldungen bei der Aufsichtsbehörde beziehungsweise die Benachrichtigung der betroffenen Personen im Fall von Datenschutzverstößen. Die Vorschriften hinsichtlich der Sicherheit und Verarbeitung sind immer in Kombination mit Artikel 5 DSGVO zu nennen, der die Grundsätze für alle Verarbeitungsvorgänge aufstellt. Das IT-Sicherheitskonzept ist somit als integraler Bestandteil des Unternehmens zu behandeln. Verantwortlich sind neben der Geschäftsleitung die IT-Administratoren aber auch alle Mitarbeiter, die täglich personenbezogene Daten verarbeiten. Ein rechtskonformes IT-Sicherheitskonzept legt Schutzziele und Verantwortlichkeiten fest und konkretisiert die dazu passende Richtlinie.

Festlegen von Richtlinien

Neben einer auf die ganze Organisation anzuwendenden Richtlinie, sind auch Einzel- und Rahmenrichtlinien für verschiedene Bereiche und aktuelle Sicherheitsbedrohungen zu erarbeiten. Diese sind in regelmäßigen Abständen zu überprüfen, um festzustellen, inwieweit sie noch mit den bestehenden Vorschriften der Datenschutz-Grundverordnung übereinstimmen.

Wie genau sieht ein IT-Konzept aus?

Verantwortungsbewusste Unternehmen haben bereits vor Einführung der Datenschutz-Grundverordnung auf sichere IT-Standards gesetzt – auch im eigenen Interesse. Ein sicheres IT-Konzept ist daher unabhängig von der Datenschutz-Grundverordnung selbstverständlich. Dieses wendet Bedrohungen und Schäden im Bereich der Technik ab und gewährleistet die Vertraulichkeit der verarbeiteten personenbezogenen Daten. Ein Zugriff durch unberechtigte Dritte ist nicht möglich. So ist zum Beispiel die Verschlüsselung von Daten ein wichtiges Element eines IT-Sicherheitskonzepts, sowohl bei der Speicherung wie auch beim Versand von Daten.

Die besten Datenschutzrichtlinien nützen jedoch wenig, wenn das Verständnis für deren Anwendung im Unternehmen fehlt. Daher müssen Unternehmen ihre Mitarbeiter für dieses Thema sensibilisieren, Zuständigkeiten und Verantwortung festlegen und Datenschutzverstöße verfolgen. Um alle Mitarbeiter in die Lage zu versetzen, diese Vorschriften umzusetzen, müssen die Richtlinien durchführbar sein. Die Anforderungen sind klar und einfach zu beschreiben, Widersprüche der einzelnen Richtlinien zu vermeiden und die Einhaltung regelmäßig zu überprüfen.

Allen Mitarbeiter muss bewusst sein, dass nicht jede Situation die Anwendung aller Richtlinien und Maßnahmen erfordert. Vielmehr muss das Bewusstsein für das mögliche Risiko geschaffen werden. Entsprechend ist mit einem risikobasierten Ansatz zu arbeiten. Sollten einzelne Fälle es erfordern, von dem IT-Sicherheitskonzept abzuweichen, so ist dieser Schritt zu begründen und mit den verantwortlichen Stellen abzustimmen.

Ein IT-Sicherheitskonzept sollten zumindest alle in Art. 32 DSGVO genannten Eigenschaften enthalten und nicht nur den Zweck der Umsetzung, sondern vor allem die Umsetzung selbst regeln.

Hierbei ist zu empfehlen, dass Verantwortliche auf standardisierte und somit bekannte Hilfsmittel zurückgreifen. Diese sind weitläufig anerkannt und entsprechen den Anforderungen, welche vom Gesetzgeber aufgestellt werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat, da die Anforderungen mit den Faktoren wie Unternehmensgröße, Datensensibilität, sowie Schwere des Risikos wachsen, unterschiedliche Beispiel-Profile auf seiner Webseite veröffentlicht. Diese können als Ausgangspunkt für ein DSGVO-konformes IT-Sicherheitskonzept genutzt werden.

Tags
  • DSGVO
  • Datenschutz
  • Sicherheit
Über den Autor

DataGuard Redaktion

DataGuard

Hier schreibt für Sie die DataGuard Redaktion, bestehend aus einem Team von Journalisten und Datenschutz-Spezialisten. Alles dreht sich um den Datenschutz im Unternehmensumfeld. Sie finden uns ebenfalls bei Twitter und LinkedIn.

Unsere Empfehlung

Angebot erhalten
089 442 550 - 62649