Datenschutz – Bedeutung der Technisch Organisatorischen Maßnahmen

Beitrag teilen
Ein Bild von einer Grünen Holztür, welche von einer Metallkette mit Schloss zugehalten wird. Die ist ein Symbol von Geheimnissen und Sicherheit.

Technisch organisatorische Maßnahmen – ein Begriff mit dem man sich beim Thema Datenschutz und DSGVO immer wieder auseinandersetzen muss.

Europäische Datenschutz Grundverordnung

Mit dem Inkrafttreten der Europäischen Datenschutz Grundverordnung – kurz DSGVO – am 25.05.2018 ist im Bereich Datenschutz eine neue Ära angebrochen. Nach einer zweijährigen Übergangszeit ersetzt die DSGVO alle bisher geltenden nationalen Datenschutzgesetze der EU-Mitgliedstaaten. Der Fokus der neuen Datenschutzreform liegt auf einem einheitlich hohen

Datenschutzniveau. Zudem wurde das Gesetzt modernisiert und an die stetig wachsenden globalen und digitalen Herausforderungen angepasst. Die neuen Regeln führen zu einem höheren Grad der Harmonisierung und sorgen für gleiche Wettbewerbsbedingungen für alle Unternehmen, die Waren oder Dienstleistungen auf dem europäischen Binnenmarkt anbieten. Dies bedeutet aber nicht, dass sich seit der Einführung der DSGVO die wesentlichen Ziele des Datenschutzes grundlegend geändert haben. Seit über 40 Jahren gibt es in Deutschland bereits Gesetze zum Datenschutz. Diese waren bzw. sind immer noch im Bundesdatenschutzgesetz – kurz BDSG- verankert. Sofern sich in der DSGVO keine abschließenden Regelungen finden lassen und der Erlass mitgliedstaatlichen Rechts erlaubt ist, so greifen in Deutschland die Gesetze des BDSG.

Technisch Organisatorische Maßnahmen

Die DSGVO setzt voraus, dass Unternehmen die personenbezogene Daten verarbeiten, geeignete Maßnahmen treffen, um diese Daten zu schützen. Festgehalten ist dies im Artikel 32 der DSGVO. Die Auflistung dient als Leitfaden und ist nicht als unabänderlich zu sehen. Es liegt im Ermessen des Verantwortlichen die Ausführung so vorzunehmen, wie es für das Unternehmen erforderlich ist. Lediglich die Umsetzung der Maßnahmen muss sichergestellt und nachgewiesen werden können. Die Dokumentation ist essenziell, um im Schadensfall die getroffenen Vorkehrungen vorweisen zu können. Insbesondere der ggfs. notwendigen Datenschutzfolgenabschätzung kommt dabei eine hohe Bedeutung zu. Sollten bei den technisch organisatorischen Maßnahmen Versäumnisse und Verstöße durch die Aufsichtsbehörde nachgewiesen werden, so drohen hohe Bußgelder. Bis zu 10 Millionen Euro oder 2% des weltweit erzielten Jahresumsatzes können als Geldbußen anfallen. Der Datenschutzbeauftragte trägt dafür Sorge, dass alle Maßnahmen in Abstimmung mit den Verantwortlichen ordnungsgemäß umgesetzt werden.

 

Vertraulichkeit, Integrität, Verfügbarkeit

Die Greenlight Consulting GmbH legt großen Wert auf die Umsetzung der Sicherheitsmaßnahmen und den Schutz der personenbezogenen Daten. Um dieses Schutzniveau aufrecht zu erhalten, werden die Gewährleistungsziele Vertraulichkeit, Integrität und Verfügbarkeit kontinuierlich umgesetzt und angepasst. Im Folgenden werden einige der Maßnahmen unseres Unternehmens aufgezeigt. Vertraulichkeit: Der Zugriff auf die Laufwerke erfolgt nach einem definierten Rechte- und Rollenkonzept. Dabei gilt das Erforderlichkeits-Prinzip. Die einzelnen Rollen müssen im internen Tickettool über einen Workflow eingesteuert werden. Erst nach Genehmigung durch den Verantwortlichen erfolgt die Freischaltung des Mitarbeiters. Integrität: Dies bedeutet, dass die Richtigkeit und Eindeutigkeit der digitalen Daten über den gesamten Aufbewahrungszeitraum sichergestellt werden muss. Ziel ist der Schutz vor internen oder externen Verstößen. Daher werden bei der Greenlight die Schreib- und Änderungsrechte bei bestimmten Dokumenten eingeschränkt. Eine Dokumentation der Änderungen verhindert, dass Daten unberechtigt angepasst werden können. Verfügbarkeit: Um zu jedem Zeitpunkt den Zugriff auf die Daten gewährleisten zu können, werden regelmäßig Sicherheitskopien der Daten, Prozesszustände, Konfigurationen und Datenstrukturen durchgeführt. Zudem legt unsere IT größten Wert auf den Schutz vor äußeren Einflüssen, wie Schadsoftware, Sabotage und höhere Gewalt und trifft die dafür notwendigen Maßnahmen. Der Einsatz von Anti-Virenprogrammen oder die Klimatisierung und der Brandschutz im Serverraum sind Beispiele dafür. Die Redundanz von Hard- und Software, sowie der Infrastruktur steht an oberster Stelle.

 

Weitere Maßnahmen

Nachfolgend wird auf weitere Aspekte eingegangen, die bei der Umsetzung der technisch organisatorischen Maßnahmen beachten werden müssen.

Zutrittskontrolle: Maßnahmen, die Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren. Die physisch gespeicherten Daten werden in verschließbaren Schränken aufbewahrt. Die Schlüsselvergabe dafür ist genau definiert und nur einem sehr kleinen ausgewählten Kreis an Mitarbeitern vorbehalten.

Zugriffskontrolle: Maßnahmen, die Sicherstellen, dass Berechtigte nur auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können. Ein Berechtigungskonzept, die Verwaltung der Rechte durch den Systemadministrator und die Passwortrichtlinie unterstützen bei dieser Umsetzung.

Zugangskontrolle: Maßnahmen, die Unbefugten die Nutzung von Systemen mit personenbezogenen Daten verweigern. Dies wird durch den Einsatz der VPN-Technologie, eine klar definierte Passwortrichtlinie und die Authentifikation mit Benutzername erreicht.

Weitergabekontrolle: Maßnahmen, die sicherstellen, dass personenbezogene Daten bei der elektronischen Übertragung oder während eines physischen Transports nicht unbefugt entfernt, gelesen, kopiert oder verändert werden. Ein wesentlicher Teil zur Erreichung dieses Ziels ist die E-Mail-Verschlüsselung. Ebenso sollten sensible Daten immer in anonymisierter oder pseudonymisierter Form weitergegeben werden.

Technische und organisatorische Maßnahmen (TOM) sollen personenbezogene Daten, die von Unternehmen erhoben, verarbeitet, gespeichert und gelöscht werden, auf optimale Weise schützen. Jeder Verantwortliche muss sicherstellen, dass ein Zugriff unberechtigter Personen sowie eine unbefugte Löschung oder Kopie verhindert wird. Die TOM sind Bestandteil der DSGVO und setzten den Fokus auf die Sicherheit von personenbezogenen Daten. Unabhängig von der Unternehmensgröße müssen technisch organisatorische Maßnahmen im Unternehmen verankert sein, sobald personenbezogene Daten verarbeitet werden. Jedes Unternehmen erstellt und entwickelt jedoch seinen eigenen Maßnahmenkatalog. Die Kriterien dafür richten sich nach dem Stand der Technik, der Implementierungskosten und der Art des Umfangs, dem Zweck der Verarbeitung, der Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen natürlichen Personen. Die Maßnahmen sind dynamisch und müssen fortlaufend optimiert, angepasst und aktualisiert werden. Bei der Greenlight Consulting GmbH funktioniert dies durch eine enge Zusammenarbeit zwischen IT, Datenschutzbeauftragten und den Verantwortlichen. Wir können nur empfehlen, setzten Sie sich mit Ihrem Datenschutzbeauftragten zusammen und gehen Sie dieses wichtige Thema auch für Ihr Unternehmen an!

Das könnte Sie auch interessieren

Suche