Gratis
23. Oktober 2020 - Datenschutzaufsichtsbehörden

Checkliste technische & organisatorische Maßnahmen

Drucken

Wer personenbezogene Daten verarbeitet, muss sie mit wirksamen technischen und organisatorischen Maßnahmen schützen – das fordert die DSGVO. Wie das in der Praxis geht, zeigt eine Checkliste des Bayerischen Landesamts für Datenschutzaufsicht.

Um die DSGVO umzusetzen, müssen technische und organsiatorische Maßnahmen zusammenspielen Um die DSGVO umzusetzen, müssen technische und organisatorische Maßnahmen zusammenspielen (Bild: iStock.com / PavelVinnik)

Die Checkliste „Good Practice bei technischen und organisatorischen Maßnahmen“ des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) richtet sich vor allem an kleine und mittlere Unternehmen.

Auf acht Seiten gibt sie eine Vielzahl an Tipps in insgesamt 18 Kategorien. Wir haben die wichtigsten zusammengestellt.

Ist unsere Organisation sicher?

Ist eine geeignete Organisationstruktur für Informationssicherheit vorhanden? Ist die Informationssicherheit in die organisationsweiten Prozesse und Abläufe integriert?

Diese beiden Fragen sollten sich kleine und mittlere Unternehmen als erstes stellen, wenn es um wirksame technische und organisatorische Maßnahmen geht.

Zum Beispiel müssen Sicherheitsricht- und -leitlinien definiert, von der Geschäftsleitung genehmigt und an alle Beschäftigten klar kommuniziert werden. Darüber hinaus sollten die Rollen der einzelnen Mitarbeiter im Sicherheitsprozess eindeutig festgelegt sein.

Ist der Zugang zu unseren IT-Systemen sicher?

Wer hat alles Zugang zum IT-System, in dem die gesamten Daten verarbeitet werden? Gibt es ein umfassendes Gesamtkonzept zur Gebäudeabsicherung im Allgemeinen und ein Konzept zu Zutrittsregelungen im Besonderen?

Das Spektrum reicht von Zugangskontrollen am Eingang über Besucherausweise bis hin zu Sicherheitszonen mit klaren Zugangsregelungen – und Konzepten für den Umgang mit Elementargefahren wie Feuer, Rauch, Überschwemmungen, Stromausfälle, Explosionen und anderen Gefahrenlagen.

Sind unsere Mitarbeiter sich ihrer Verantwortung bewusst?

Sind alle Mitarbeiter in Sicherheitsfragen geschult? Kennen sie das Datenschutzhandbuch – und wenden sie es auch im Homeoffice an?

Die Checkliste gibt viele konkrete Tipps und macht klar, dass immer mehr Cyberattacken inzwischen über Beschäftige gehen. Durch zum Teil raffinierte Social-Engineering-Techniken sollen sie dazu verleitet werden, sicherheits-kritische Aktionen auszuführen.

Verwenden wir eindeutige Authentifizierungen?

Hat jeder Beschäftigte eine eindeutige Nutzerkennung? Kennen alle Mitarbeiter den richtigen Umgang mit Authentifizierungsverfahren und -mechanismen? Gibt es einen geregelten Prozess zur zentralen Verwaltung von Benutzeridentitäten – zum Beispiel für neue Mitarbeiter oder bei Namensänderungen nach einer Hochzeit?

Digitale Zugangsbeschränkungen helfen im Unternehmens-Alltag und müssen eindeutig und klar sein.

Sind Rollen und Rechte klar?

Gibt es ein Rollen- und Rechtekonzept im Unternehmen? Nutzer sollen nur auf die personenbezogenen Daten zugreifen können, die für ihre Tätigkeit erforderlich sind. Definierte Rollenprofile für alle Beschäftigten schützen vor Missbrauch.

Sind Endgeräte sicher?

Wer darf welche Geräte in welchem Bereich einsetzen? Dürfen alle Mitarbeiter alle Webseiten im Internet besuchen? Darf jeder alle Dateien drucken?

Unternehmen müssen alle Endgeräte, die Beschäftigte für ihre tägliche Arbeit nutzen, dauerhaft absichern. Sonst kommt es zu offenen Schwachstellen auf Clientsystemen, von denen dann eine erhebliche Gefährdung für die gesamte Organisation ausgehen kann.

Wie nutzen wir mobile Datenspeicher?

Sind Notebooks, Smartphones und USB-Datenträger geschützt? Oder kann sich – im Fall eines Verlusts oder bei Diebstahl – jeder ohne großen Aufwand einloggen und unbefugt auf sensible Daten zugreifen?

Hier hilft eine starke Verschlüsselung der mobilen Endgeräte ebenso wie Backup– und Synchronisierungsmechanismen.

Was müssen wir sonst noch beachten?

Weitere technische und organisatorische Maßnahmen, um die sich kleine und mittlere Unternehmen kümmern sollten, sind:

  • Serversysteme
  • Webseiten und Webanwendungen
  • Netzwerk
  • Archivierung
  • Wartung durch Dienstleister
  • Protokollierung
  • Business Continuity
  • Kryptografie
  • Datentransfer
  • Entwicklung und Auswahl von Software

Für all diese Bereiche gibt das Bayerische Landesamt für Datenschutzaufsicht konkrete Tipps in der Checkliste „Good Practice bei technischen und organisatorischen Maßnahmen“.

Elke Zapf