18. Januar 2016 - Vorbereitung auf die Grundverordnung

DSGVO: So überprüfen Sie Ihr Konzept zur Datensicherheit

Passen Sie Ihr Konzept für die Datensicherheit rechtzeitig auf die kommende EU-Datenschutz-Grundverordnung an. Ein wichtiger Schritt dazu ist es, die bestehenden Datenschutz-Kontrollen zu prüfen.

Datenschutz-Grundverordnung erfordert einige Anpassungen Die Datenschutz-Grundverordnung hat wie das BDSG einige Regelungen zur Datensicherheit (Bild: Sergey Nivens / iStock / Thinkstock)

Sicherheit der Datenverarbeitung gewährleisten

Ein zentraler Punkt im Datenschutz ist und bleibt die Aufgabe, für die notwendige Datensicherheit zu sorgen. Bekanntlich muss das Konzept für die Datensicherheit regelmäßig angepasst werden, allerdings nicht nur wegen der technischen Entwicklung und der dynamischen Bedrohungslage. Auch rechtliche Anforderungen können Änderungen erforderlich machen.

Unternehmen sollten deshalb die nächste Zeit nutzen, um die Auswirkungen der EU-DSGVO auch auf die internen Sicherheitsmaßnahmen zu untersuchen. Denn lange erwartet und diskutiert, ist die EU-Datenschutz-Grundverordnung nun so weit, dass sich konkrete Maßnahmenpakete ableiten lassen.

Was sagt die GVO zur Datensicherheit?

An zahlreichen Stellen in der EU-Datenschutz-Grundverordnung finden sich Aufgaben für die Datensicherheit, deren Umsetzung und Wirksamkeit in den Datenschutz-Kontrollen zu überwachen sind. Bereits ein Blick auf Artikel 30 (Security of Processing) der kommenden DSGVO zeigt eine Liste von IT-Sicherheitsverfahren, die für den Datenschutz von Bedeutung sind. Zu nennen sind hier

  • Pseudonymisierung personenbezogener Daten,
  • Verschlüsselung personenbezogener Daten,
  • Maßnahmen zur Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten und Verarbeitungssysteme,
  • Fehlertoleranz und Widerstandsfähigkeit gegenüber Störungen,
  • die Fähigkeit zur Wiederherstellung der Daten und Systeme in der erforderlichen Zeit und
  • ein regelmäßiger Prozess zur Überprüfung der ergriffenen Datensicherheitsmaßnahmen.

Gerade im Bereich der Pseudonymisierung, Integrität, Fehlertoleranz und Widerstandsfähigkeit sowie bei der Wiederherstellung der Daten und Systeme gibt es in vielen Unternehmen spürbare Lücken. Wirken Sie als Datenschutzbeauftragter darauf hin, dass sie umgehend geschlossen werden – nicht nur zur Vorbereitung auf die Grundverordnung. Denn die meisten Punkte finden sich auch bisher im Bundesdatenschutzgesetz.

Passende konkrete IT-Sicherheitsmaßnahmen auswählen

Die Datensicherheit muss dabei die Risiken für die personenbezogenen Daten, aber auch die Verhältnismäßigkeit berücksichtigen sowie vor allem Gefahren durch ungewollte oder unerlaubte Zerstörung, Verlust, Manipulation und ungewollte Offenlegung der Daten abwehren.

Wie das geschieht, darf ein Sicherheitskonzept aber nicht nur abstrakt beantworten. Es muss konkrete IT-Sicherheitsmaßnahmen und passende Lösungen aufführen. Die Aufsichtsbehörden für den Datenschutz haben bereits in der Vergangenheit zu abstrakte Datensicherheitskonzepte bemängelt und geahndet. Das dürfte sich auch in Zukunft nicht ändern.

Technischer Datenschutz braucht Updates

Erstellen Sie sich als Datenschutzbeauftragter daher eine Liste mit den geforderten Maßnahmen. Versehen Sie sie dann mit den konkreten Lösungen, die im Unternehmen oder in der Behörde bereits realisiert sind. Ziel muss es dann sein, verbleibende Lücken zu füllen. Nutzen Sie für die Ist-Analyse zum Beispiel den folgenden Download:


Download: Checkliste Vorbereitung Datensicherheitskonzept auf EU-DSGVO


Überprüfen Sie zudem die Schutzmaßnahmen fortlaufend auf Umsetzung und Erfolg. Sorgen Sie außerdem dafür, dass neue Risiken und rechtliche Anforderungen berücksichtigt werden.

Denn es zeigt sich: Im technischen Datenschutz sind nicht nur Updates bei Betriebssystemen und Anwendungen erforderlich – es muss auch einen Update-Prozess für die Datensicherheit selbst geben.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker (Universität Bonn), Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen.

Anzeige

Tiefergehende Informationen zu den Auswirkungen der Datenschutz-Grundverordnung finden Sie in der Zeitschrift Datenschutz PRAXIS. Nutzen Sie das kostenlose Probeabo, um die Datenschutz PRAXIS zu testen!

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln