Die Datenschutzgrundverordnung (DSGVO) wirft immer noch viele Fragen auf, dies auch gerade im Hinblick auf die Anforderungen an die IT-Sicherheit. Denn diese ist nun fester Bestandteil der datenschutzrechtlichen Vorgaben (Art. 5; Art. 32 DSGVO).
Was gilt es in jedem Fall zu beachten?
- Für jede Verarbeitung ist eine Risikobewertung durchzuführen.
- Der Stand der Technik ist zu berücksichtigen.
- Backups sind regelmäßig durchzuführen.
Was ist eigentlich der „Stand der Technik“?
Hierunter werden technische Maßnahmen verstanden, die sich bereits bewährt haben. Es liegen also bereits Erfahrungswerte vor und es geht explizit nicht um die allerneuesten Entwicklungen. Der Stand der Technik verändert sich aber beständig, eingesetzte Maßnahmen müssen also regelmäßig auf neue Entwicklungen geprüft und ggf. angepasst werden. Wichtig ist außerdem, dass bei der Auswahl geeigneter Maßnahmen die Implementierungskosten zu berücksichtigen sind. Hilfreich sind hier z.B. die Vorgaben zum Stand der Technik des Bundesamtes für Sicherheit in der Informationstechnik (BSI) (https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html)
Was ist bei der Risikobewertung zu beachten?
Die Risikobewertung wird nicht aus unternehmersicher Perspektive durchgeführt, da es in erster Linie nicht um Schäden geht, die das Unternehmen erleiden könnte. Vielmehr ist die Perspektive der Betroffenen einzunehmen und zu prüfen, welche Risiken diesen durch eine Datenpanne drohen könnten. Ein gutes Mittel ist z.B. das „Planning Poker“, welches dem ein oder anderen aus SCRUM bereits bekannt sein dürfte.
Was sind geeignete technische und organisatorische Maßnahmen (ToMs)?
Die Maßnahmen sind geeignet, wenn sie ein angemessenes Schutzniveau sicherstellen. Die DSGVO gibt eine Hilfestellung welche Maßnahmen dazu beitragen (Art. 32 DSGVO) : Verschlüsselung, Sicherstellen der Verfügbarkeit der Daten und des Zugangs zu den Daten bei technischen Zwischenfällen, Pseudonymisierung, Vertraulichkeit, Integrität, Belastbarkeit, regelmäßige Überprüfung der Wirksamkeit der ToMs.
Welche Rolle spielen die ToMs?
Die ToMs spielen eine ganz zentrale Rolle bei der Bewertung der vorhandenen IT-Sicherheit, da hierüber nachvollzogen werden kann wie die Verarbeitungen und somit die Daten der Betroffenen ganz konkret geschützt werden. Mithilfe der ToMs und deren ausführlicher Dokumentation kann bspw. bei Datenpannen nachgewiesen werden, dass angemessene Schutzmaßnahmen getroffen wurden.
Wann ist IT-Sicherheit „fertig“ im Unternehmen?
Das Thema IT-Sicherheit gehört zu denjenigen, die nie fertig werden und enden. Vielmehr besteht ein Kreislauf aus: Schutzbedarfsfeststellung – Risikobewertung – Maßnahmendurchführung – Nachweiserbringung – Prozess- und/oder Technikanpassung.
Prüfen Sie also regelmäßig ihre ToMs auf Aktualität, testen Sie regelmäßig das Wiedereinspielen von Backups und lassen Sie Ihre Systeme auch extern durch z.B. Pentests prüfen.