Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI Rechenschaftspflicht TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 10/23

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI Rechenschaftspflicht TTDSG Urteil Vorlagen
17. Februar 2020

So entwickeln Sie ein Datensicherheitskonzept

So entwickeln Sie ein Datensicherheitskonzept
Bild: Sergey Nivens / iStock/ Thinkstock
0,00 (0)
drucken
Standard-Datenschutzmodell
Viele Unternehmen haben ein Datensicherheitskonzept, das die Risiken nicht genau genug berücksichtigt. Oft finden sich nur allgemeine Aussagen zum Datenschutz. Das neue Standard-Datenschutzmodell (SDM 2.0) hilft dabei, die Schutzmaßnahmen zu konkretisieren.

Datensicherheitskonzept muss dynamisch sein

Wann haben Sie sich zuletzt das Datensicherheitskonzept Ihres Unternehmens angesehen? Müssen Sie länger überlegen, macht das schon eine Schwachstelle sichtbar: Das Sicherheitskonzept Ihres Unternehmens lebt nicht.

Es muss jedoch dynamisch sein, sich mit der Risikolage entwickeln. Dazu gehört beispielsweise, dass das Konzept neue Angriffsverfahren und neue IT-Technologien berücksichtigt.

Wie die Aufsichtsbehörden bei Kontrollen festgestellt haben, füllen viele Unternehmen ihre Konzepte für die IT-Sicherheit und die Datensicherheit mit allgemeinen Aussagen zum Datenschutz. Finden sich genaue Vorgaben und Richtlinien, aktualisieren die Unternehmen sie häufig nicht.

Das führt zu einer lückenhaften IT-Sicherheits-Infrastruktur und begünstigt Datenpannen.

Datensicherheit nach Standard-Datenschutzmodell entwickeln

Es ist nicht einfach, ein aktuelles Konzept für die technisch-organisatorischen Maßnahmen (TOMs) des Datenschutzes zu erstellen: Entweder die geplanten Maßnahmen reichen nicht aus oder sie sind übertrieben aufwändig.

Der wirkliche Schutzbedarf hängt nicht nur von der jeweiligen Datenkategorie ab. Also davon, ob es sich etwa um besondere Kategorien personenbezogener Daten handelt oder nicht.

Auch die aktuelle Gefahrenlage spielt eine Rolle. So ist der Schutzbedarf höher, wenn Angreifer gegenwärtig massiv bestimmte Arten von Daten stehlen.

Die Aufsichtsbehörden für den Datenschutz haben nun ein wichtiges Instrument veröffentlicht. Es hilft Unternehmen und Behörden, geeignete technisch-organisatorische Maßnahmen auszuwählen: die grundlegend überarbeitete Version des Standard-Datenschutzmodelles (SDM).

Das PDF der Datenschutzkonferenz (DSK) finden Sie unter https://www.datenschutzzentrum.de/uploads/sdm/SDM-Methode.pdf.

Mit dem SDM stellt die DSK ein Werkzeug bereit, um die technischen und organisatorischen Maßnahmen, die die Datenschutz-Grundverordung (DSGVO) fordert, angepasst an das Risiko auszuwählen und rechtlich zu bewerten.

Das SDM bietet mit den sogenannten Gewährleistungszielen ein Bindeglied zwischen Recht und Technik. Außerdem unterstützt es damit einen ständigen Dialog zwischen Beteiligten aus den juristischen und technisch-organisatorischen Bereichen.

Das Datensicherheitskonzept auf Basis von SDM 2.0

Das SDM 2.0 geht von Gewährleistungszielen aus, die sich von den Grundsätzen der Verarbeitung personenbezogener Daten (Artikel 5 DSGVO) ableiten.

Die Gewährleistungsziele sind

  • Sicherung der Verfügbarkeit,
  • Integrität,
  • Vertraulichkeit,
  • Transparenz,
  • Intervenierbarkeit,
  • Nicht-Verkettung von personenbezogenen Verfahren,
  • Datenminimierung und
  • Belastbarkeit, wobei sich die Belastbarkeit aus den Forderungen in Artikel 32 DSGVO (Sicherheit der Verarbeitung) ergibt.

Diese Gewährleistungsziele ergänzt das Modell um Schutzbedarfs-Feststellungen. So erreicht es eine angemessene Auswahl und Wirksamkeit der Schutzmaßnahmen.

Der Schutzbedarf ist abhängig vom zu erwartenden Schaden, der sich aus dem Risikoniveau einer Verarbeitung herleitet. Dabei nimmt das SDM die Sicht des Betroffenen ein.

Bei der Risikobeurteilung lässt sich auf die Datenschutz-Folgenabschätzung (Artikel 35 DSGVO) zurückgreifen. In bestimmten Fällen schreibt dies die DSGVO vor.

Maßnahmen auswählen

In einem zweiten Schritt müssen die Verantwortlichen dann die Datenschutz-Verletzungen, die durch eine mangelhafte IT-Sicherheit entstehen können, beurteilen und durch Maßnahmen eindämmen.

Für den letzten Punkt bietet das SDM 2.0 einen Katalog mit Schutzmaßnahmen.

Zudem ist das SDM 2.0 mit dem IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) kompatibel. So können Unternehmen und Behörden auch geeignete Maßnahmen aus dem IT-Grundschutz nehmen, wenn sie dabei die Gewährleistungsziele des Datenschutzes beachten.

Die Datenschutzkonferenz empfiehlt den Verantwortlichen in Wirtschaft und Verwaltung, das SDM bei Planung, Einführung und Betrieb von personenbezogenen Verarbeitungen anzuwenden.

Die Aufsichtsbehörden planen, das SDM kontinuierlich weiterzuentwickeln. Anwenderinnen und Anwender sind eingeladen, den Datenschutz-Aufsichtsbehörden ihre Erfahrungen bei der Nutzung des SDM mitzuteilen. So tragen sie dazu bei, das Modell stetig zu verbessern.

Die Checkliste hilft Ihnen ebenfalls, die Arbeit an Ihrem Datensicherheitskonzept zu optimieren.

Download:

Oliver Schonschek

Oliver Schonschek
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
IT-Sicherheit
drucken
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
Verwandte Beiträge
04. August 2023
IT-Grundschutz: Praxis-Leitlinien für Datensicherheit
Bild: NicoElNino / iStock / Thinkstock

IT-Grundschutz: Praxis-Leitlinien für Datensicherheit

Ratgeber
IT-Sicherheit
11. Juli 2023
Cryptshare steht als verschlüsselungstoll über ein Plug-in für Outlook und Notes zur Verfügung
Bild: Screenshot Thomas Joos

Verschlüsselte Datenübertragung mit Cryptshare

Ratgeber
IT-Sicherheit
29. Juni 2023
Eine zentrale Rolle bei der Datenschutz-Prüfung spielt, welche Daten die App für welche Zwecke verarbeitet
Bild: iStock.com / scyther5

Apps: Welche Anforderungen müssen DSB prüfen?

Praxisbericht
IT-Sicherheit
31. Mai 2023
Ein ISMS ist auch für Datenschutzbeauftragte wichtig
Bild: iStock.com / greenbutterfly

Das bringt ein ISMS für den Datenschutz

Hintergrund
IT-Sicherheit
02. Mai 2023
Die Zugangskontrolle verwehrt Unberechtigten den Zugriff auf die IT-Systeme
Bild: lekkyjustdoit / iStock / Thinkstock

Zugangskontrolle: So setzen Sie sie nach DSGVO um

Ratgeber
IT-Sicherheit
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.