DSGVO erfordert für sensible Daten die Sicherstellung der Vertraulichkeit, Integrität und Belastbarkeit der elektronischen Speichersysteme Bild: mauritius images / iSpice / Alamy

Die DSGVO verpflichtet besonders Berufsgeheimnisträger zu angemessenen technischen und organisatorischen Maßnahmen, die gewährleisten, dass gespeicherte persönliche Daten in den Geschäftsräumen sicher sind und nicht in falsche Hände geraten. Auch in diesem Punkt sollte jeder Freiberufler seine Kanzlei oder Praxis sorgfältig vorbereiten.  

Die Verpflichtung, die Sicherheit der Datenverarbeitung zu gewährleisten, folgt aus Art. 32 DSGVO. Hiernach hat jede Kanzlei oder Praxis unter Berücksichtigung des Standes der Technik durch geeignete technische und organisatorische Maßnahmen ein angemessenes Schutzniveau der gespeicherten Daten zu gewährleisten.

Höheres Datenschutzniveau bei sensiblen Daten

Höhe und Art des geforderten Schutzniveaus richten sich nach der Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen. Da es sich bei Mandantendaten und Patientendaten in der Regel um besonders sensible Daten handelt, sollten die Anforderungen gerade auch von kleineren Kanzleien und Praxen diesem Punkt nicht unterschätzt werden.

Berufsgeheimnisrelevante Daten sind besonders zu schützen

 Der Erwägungsgrund 75 zur DSGVO weist auf die besonderen Risiken für die Rechte und Freiheiten von Personen hin, deren personenbezogene Daten verarbeitet werden. Insbesondere wenn die Verarbeitung zu einem

  • physischen, materiellen und immateriellen Schaden führen kann,
  • die Verarbeitung zu Diskriminierung, Identitätsdiebstahl oder einen finanziellen Verlust,
  • zu Rufschädigung,
  • zum Verlust der Vertraulichkeit von Berufsgeheimnissen führen,

sind besondere Anforderungen an die Datensicherheit zu stellen. Dies gilt also gerade auch z.b. für Mandantendaten in Anwaltskanzleien oder Patientendaten bei Heilberufen, denn hier werden häufig Daten gespeichert, deren Missbrauch zu gesellschaftlichen Nachteilen, z.B. auch im arbeitsrechtlichen Bereich führen kann.

Datensicherungs-Vorgaben der DSGVO

Art. 32 DSGVO sowie Erwägungsgrund 28 umschreiben konkrete Maßnahmen, die zum Schutz gespeicherter personenbezogener Daten zu treffen sind. Hierzu gehören insbesondere Maßnahmen

  • zur Sicherstellung der Vertraulichkeit, Integrität und Belastbarkeit der elektronischen Speichersysteme,
  • systemtechnische Maßnahmen (data protection by disign),
  • datenschutzfreundliche Voreinstellungen (data protection by default),
  • Minimierung der Verarbeitung personenbezogener Daten,
  • Pseudonymisierung und Verschlüsselung so schnell als möglich,
  • Transparenz der Verarbeitung,
  • Überwachung der Verarbeitung,
  • ständige Verbesserung der Sicherheitsfunktionen,
  • ständige Anpassung der Speichersysteme an den neuesten Stand der Technik.
  • eine regelmäßige Überprüfung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen.
  • Art. 32 nennt die Einhaltung genehmigter Verfahrensregeln nach Art. 40 DSGVO oder eines genehmigten Zertifizierungsverfahrens gem. Art. 42 DSGVO als empfehlenswerte Maßnahmen.

Dokumentation der Sicherungsmaßnahmen sinnvoll

Sowohl der Verantwortliche als auch der Auftragsverarbeiter haben darüber hinaus sicherzustellen, dass ihnen unterstellte natürliche Personen personenbezogene Daten nur auf Anweisung des Verantwortlichen verarbeiten. Dies sowie die Implementierung geeigneter Maßnahmen sind im Zweifelsfall nachzuweisen durch entsprechende Dokumentationen (Erwägungsgrund 78).

Checkliste des DAV

Berufsverbände wie der deutsche Anwaltverein haben Checklisten zur Überprüfung der technischen und organisatorischen Maßnahmen herausgegeben: Er bietet sie mit verschiedenen anderen  Downloads zur Vorbereitung der Kanzlei auf die DSGVO an. Hier wird nach räumlichen, personellen und technischen Sicherungsmaßnahmen differenziert.

Zu den raumbezogenen Maßnahmen zählen:

  • Alarmanlage,
  • moderne Schließsysteme,
  • abschließbare Serverschränke,
  • Sicherheitsschlösser,
  • Feuer- und Rauchmelder

Personelle Maßnahmen sind:

  • sorgfältige Auswahl des Personals einschließlich der Reinigungskräfte,
  • eine sorgfältige Unerrichtung und Einweisung der Mitarbeiter in die Anforderungen des Datenschutzes,
  • eine klare Benutzerkontrolle durch Festlegung zugangsberechtigter Mitarbeiter,
  • eine regelmäßige Kontrolle der Berechtigungen z.B. durch Passwortsysteme,
  • Zuverlässigkeitskontrollen.

Technische Maßnahmen:

  • eine hinreichende Datenträgerkontrolle durch sichere Aufbewahrung von Datenträgern,
  • Verschlüsselungen und ordnungsgemäße Vernichtungstechniken,
  • eine angemessene Speicherkontrolle, die verhindert, dass Unbefugte von gespeicherten Daten Kenntnis nehmen oder diese verändern können,
  • sichere Übertragungswege,
  • Sicherung der Wiederherstellung bei Verlust von Daten (Backup-Systeme),
  • Alarmeinrichtungen bei unrechtmäßigem Zugriff.

Auch hinsichtlich der technischen, organisatorischen und personellen Erfordernisse an die Sicherung der gespeicherten Daten gegen unberechtigte Zugriffe sollte der Umfang der Vorbereitungsmaßnahmen, die erforderlich sind, um die Anforderungen der DSGVO zu erfüllen, nicht unterschätzt werden.

Weitere News zum Thema:

Welche DSGVO-Vorgaben müssen Heilberufe ab 25.5.2018 erfüllen?

DSGVO: Vorbereitungen der Anwaltskanzlei für das Verarbeitungsverzeichnis

Meldung des Datenschutzbeauftragten

 

Download zu IT-Verschlüsselungsverfahren

Im vom Wirtschaftsministerium in Auftrag gegebenen "Kompass IT-Verschlüsselung", der hat deshalb einen Leitfaden zum Thema Verschlüsselungsverfahren veröffentlicht der von der Goldmedia GmbH, dem Institut für Internet-Sicherheit an der Westfälischen Hochschule Gelsenkirchen und dem Institut für das Recht der Netzwirtschaften, Informations- und Kommunikationstechnologie (IRNIK) erstellt wurde, findet sich ein umfassender Überblick zu den verschiedensten Verschlüsselungstechniken. Behandelt werden etwa Themen wie:

  • E-Mail-Verschlüsselung mit unterschiedlichen Verfahren wie S/MIME oder PGP sowie manuellen Verfahren
  • Gateway-Lösungen für verschlüsselte E-Mails
  • De-Mail für die rechtsverbindliche Zustellung von E-Mails
  • Einsatz von E-Mail-Verschlüsselung auf Smartphones
  • Verschlüsselung bei der Internet-Telefonie (VoIP)
  • Verschlüsselung bei der Nutzung von Messenger-Lösungen
  • Verschlüsselung von Datenträgern
  • Verschlüsselung von Daten in der Cloud
  • Verschlüsselung bei der Internetnutzung (HTTPS, VPN)

Das Thema ist nicht zuletzt im Hinblick auf den 25. Mai und die DSGVO brisant. Der Kompass IT-Verschlüsselung steht auf der Website des Bundeswirtschaftsministeriums zum Download zur Verfügung.

Schlagworte zum Thema:  Kanzleimanagement, Recht, Kanzleiorganisation, Kanzleisoftware, Datenschutzerklärung, Datenschutz-Grundverordnung, Datenschutz

Aktuell
Meistgelesen