BECKMANN Fachanwälte Menu ein-/ausblenden
Wir unterstützen KMUs mit unserem Know-how.

Datensicherheit/ IT-Sicherheit = Informationssicherheit

Stefan Runde
Stefan Runde
IT-Fachinformatiker
IT-Security Beauftragter
(TÜV-zertifiziert)
IT-Compliance Manager (TÜV-zertifiziert)


Aus der DS-GVO ergeben sich neue Anforderungen an die IT-Sicherheit im Unternehmen (§ 9 BDSG inklusive Anlage wird durch Art. 32 DSGVO ersetzt).

Die Einführung zu den Neureglungen der technischen und organisatorischen Maßnahmen (TOM´s) folgt u.a. aus Art. 32 Abs. 1 DS-GVO:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Sicherheitsmaßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; …“

Stand der Technik

  • Der Stand der Technik muss immer wieder geprüft werden!
  • Werden z.B. aktuelle, sichere und bewährte Verschlüsselungsstandards verwendet?
  • Orientierung am IT-Sicherheitsgesetz (IT-SiG).
  • Kosten und Nutzen sind angemessen zu berücksichtigen.

Technische und organisatorische Maßnahmen zu den Sicherheitszielen in Bezug auf ein risikoadäquates Schutzniveau/ Schutzstufen gemäß Art. 32 Abs. 1 DS-GVO:

  1. Vertraulichkeit
    Pseudonymisierung, Zutritts-, Zugangs-, Zugriffs-, Trennungs- u. Weitergabekontrolle.
  2. Integrität
    Eingabekontrolle (kein unbefugtes Lesen, Kopieren, Veränderung bei elektronischer Übertragung z.B. symmetrische/asymmetrische - bei Aufbewahrung und Transport etc., Schutz vor Verfälschung, z.B. Protokollierung etc.).
  3. Verfügbarkeit und Belastbarkeit
    Verfügbarkeitskontrolle (Backup-Plan, USV, Virenschutz, Notfallplan etc.).
    Rasche Wiederherstellbarkeit (bei einem physischen oder technischen Zwischenfall).
  4. Verfahren zur regelmäßigen Überprüfung, fachgerechte Bewertung der Wirksamkeit der o.g. Maßnahmen (Datenschutzmanagement, Vorfallreaktion).
    Datenschutzfreundliche Voreinstellungen (Verarbeitung der Daten nur für den jeweiligen bestimmten Verarbeitungszweck).
    Auftragskontrolle (Vertragsregelungen, keine Verarbeitung ohne Weisung, Sicherheitskonzept, Audits, Zertifizierung etc.).

TOM`s und Co.:
Die aktuelle TOM`s Checkliste wird zu einer TOM-Dokumentation. Diese ist angelehnt an den IT-Grundschutz und das IT-Sicherheitsgesetz nebst folgenden ISO-Standards:
DIN ISO 27001 + ISO 27552 (Erweiterung für Datenschutzmanagement);
DIN ISO 27002 (Leitfaden für Informationssicherheitsmaßnahmen)
DIN ISO 29151 (Leitfaden für den Schutz personenbezogener Daten)

Ratsam ist:

  • Die Erstellung einer Schutzbedarfsanalyse zur Bestimmung des Schutzniveaus der TOM´s.
  • Die Angleichung der TOM´s an den aktuellen Stand der Technik.

Empfehlung:
Die Anforderungen der DS-GVO umsetzen und den Standard nach ISO 2700X (Top-Down Ansatz -Sicherheit für alle wichtigen Geschäftsprozesse) ausbauen (DSGVO + ISMS).

Aussicht:
Derzeit laufen in Deutschland und auf EU-Ebene Vorbereitungen zur Entwicklung des Zertifizierungsstandards nach Art. 42, 43 DS-GVO. Bislang wurde noch kein einheitlicher Standard für die EU verabschiedet. Dementsprechend existiert auch in Deutschland bislang noch kein von der DAkkS akkreditiertes datenschutzrechtliches Zertifizierungsverfahren.

Wann ein gesetzlich anerkanntes Zertifizierungsangebot zur Verfügung steht, ist noch ungewiss.

Gleichwohl empfehlen wir die Ausrichtung der betrieblichen Abläufe an der ISO 27001 in Verbindung mit den gesetzlichen Vorgaben der DS-GVO.

Die Kosten einer ISO-konformen Zertifizierung sind allerdings hoch.
Zu berücksichtigen sind insoweit nach Ziffer 13 der Erwägungsgründe zu Art. 1 DS-GVO auch die Belange von Kleinstunternehmen und von kleinen und mittleren Unternehmen.
Hierzu müssen geeignete Verfahren entwickelt und akkreditiert werden, welche die Wirksamkeit der Maßnahmen mit angemessenem Aufwand verbinden.

Wir bereiten Sie schon heute auf eine geeignete und angemessene zukünftige Zertifizierung nach der DSGVO vor, die zu einem europäischen Datenschutzsiegel bzw. -prüfzeichen führt.

Datenschutz und IT-Sicherheit sind zwei Seiten ein und derselben Medaille.


Technische Richtlinien

Unsere Büroorganisation ist gemäß DIN EN ISO 9001:2015 zertifiziert. Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. Allianz für Cybersicherheit
Beckmann Fachanwälte   .   Heinrich-Hertz-Str. 11   .   D - 59423 Unna   .   Telefon: 02303 / 2555-0
Impressum   |   Datenschutz
Beckmann Fachanwälte . Heinrich-Hertz-Str. 11 . D - 59423 Unna . Telefon: 02303 / 2555-0
Home | Impressum | Datenschutz