Regula Heinzelmann

Nach Art. 4 Ziff. 12 DSGVO versteht man unter einer Datenpanne, bzw. "Verletzung des Schutzes personenbezogener Daten" eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Art. 32 Abs. 1 DSGVO bestimmt, dass das Unternehmen technische und organisatorische Sicherheitsmaßnahmen treffen muss. Dabei ist folgendes zu berücksichtigen:

  • der Stand der Technik,
  • die Implementierungskosten,
  • die Art, der Umfang, die Umstände,
  • die Zwecke der Verarbeitung sowie
  • die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen

Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung, bzw. unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.[1]

Besonders vorgeschrieben sind folgende Maßnahmen:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung, und zwar auf Dauer
  • Möglichkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Der Verantwortliche sowie Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der EU oder der Mitgliedstaaten zur Verarbeitung verpflichtet.[2]

Technisch und organisatorisch sind folgende Maßnahmen als Schutz vor Pannen dieser Art zu empfehlen:

  • Richtlinien für das Unternehmen ausarbeiten und ein Kontrollsystem integrieren, die Initiative hat die Geschäftsleitung zu ergreifen, zu beauftragen sind qualifizierte IT-Spezialisten.
  • Absicherung und Minimierung von Netzübergängen, Firewall, IDS, Proxyserver usw. und laufende Kontrolle
  • Dezentraler und regelmäßiger Anti-Virus Scan auf einzelnen Clients und Servern, dieser sollte automatisiert sein.
  • Zentraler Anti-Virus Scan am Mailserver, Gateway usw.
  • Regelmäßige Prüfung von Logdaten auf Cyber-Angriffe
  • Verschlüsselung von E-Mail-Kommunikation und von Datenträgern
  • Verschickt man eine E-Mail an mehrere Personen außerhalb der eigenen Organisation, richtet man sie am besten an eine Vertrauensperson innerhalb der Firma und an alle anderen Personen unter BCC (Blind Carbon Copy). Benützt man den Versand unter CC (Carbon Copy), so sind die Empfänger für alle anderen ersichtlich und man riskiert so ein Bußgeld.
  • Strukturiertes oder zentralisiertes Patchmanagement, sowie Netzsegmentierung
  • Mitarbeitende über Straftatbestände und Praktiken der Cyberkriminalität informieren und laufend weiterbilden
  • Sensible Daten nur von bestimmten Personen an Computern in geschlossenen Räumen bearbeiten lassen, die keinen Kontakt zum Internet haben und versiegelte USB-Zugänge.
  • Nach Beendigung des Arbeitsverhältnisses Zugänge und Passwörter für die betreffende Person sofort sperren.

Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene beiträge