Technischer Datenschutz: 10 relevante Punkte

Die IT-Sicherheit hat mit der Einführung der neuen Regelungen der DSGVO (Datenschutzgrundverordnung) beim Thema Datenschutz stark an Bedeutung gewonnen.

Durch die Stärkung der IT-Sicherheit werden vor allem die Rechte und Freiheiten der Betroffenen besser geschützt.

Aber auch die Unternehmen profitieren von einer starken IT-Sicherheit.

Denn die Haftungsrisiken werden durch die Einhaltung der vorgegebenen Regelungen in Bezug auf den Umgang mit personenbezogenen Daten geschmälert.

Leider werden die Anforderungen in Hinsicht auf den technischen Datenschutz nur sehr abstrakt in der DSGVO beschrieben und werfen so immer wieder Fragen auf.

Viele Verantwortliche sind sich oftmals nicht sicher, wie sie dieses Thema konkret umsetzen sollen.

Im folgenden Beitrag werden wir Ihnen 10 relevante Punkte nahebringen, wie Sie die Anforderungen an die technische Ausgestaltung des Datenschutzes umsetzen können.

1.

Punkt – Erstellen eines Verarbeitungsverzeichnisses

Laut Artikel 30 DSGVO sind die meisten Unternehmen dazu verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten, das sogenannte Verarbeitungsverzeichnis zu führen. Die Datenschutzdokumentation wird so strukturiert aufgezeichnet. Der Verantwortliche kann so nachweisen, dass er entsprechend seiner in Artikel 5 Abs. 2 DSGVO auferlegten Rechenschaftspflicht handelt.

Um sich einiges an Aufwand bei der Erstellung des Verarbeitungsverzeichnisses zu ersparen, arbeiten viele Firmen mit einem Prozessmodell. Eine zusätzliche Vereinfachung bringt ein Informationssicherheitsmanagement.

Da im Verarbeitungsverzeichnis auf Beschreibungen und Konzepte der Informationssicherheit verwiesen werden kann, müssen lediglich zusätzliche oder abweichende technische und organisatorische Maßnahmen aufgenommen werden. Dies erleichtert die Arbeit und spart einiges an Zeit.

Es ist bedeutend dieses Verarbeitungsverzeichnis immer auf dem neuesten Stand zu halten, also es regelmäßig zu aktualisieren. Falls das Verzeichnis von einer Aufsichtsbehörde angefordert wird, muss die aktuelle Version aufgezeigt werden können.

Außerdem sollte eine Visionierung stattfinden, welche vergangene Verarbeitungen nachweist und die Prüfung von Bearbeitungen, wie zum Beispiel Betroffenenanfragen, vereinfacht.

2.

Punkt – Überblick über Daten und IT-Systeme verschaffen

Jedes Unternehmen sollte auch unabhängig vom Datenschutz immer genau darüber informiert sein, welche Daten auf welchen IT-Systemen verarbeitet werden und auch wie sie verarbeitet werden.

Daher sollten bestimmte Datenflussprogramme vorhanden sein, die in Verbindung mit der IT-Dokumentation eine Übersicht darüber liefern, welche Geschäftsprozesse durch welche IT-Systeme unterstützt werden.

3.

Punkt – Kennen des Unterschieds zwischen Informationssicherheit und IT-Sicherheit

Bei der Informationssicherheit geht es um den Schutz von Informationen durch die Sicherstellung ihrer Vertraulichkeit, Integrität und Verfügbarkeit.

Bei der IT-Sicherheit handelt es sich lediglich um einen Teilbereich der Informationssicherheit.

4.

Punkt – Risikomanagement betreiben

Externe Dienstleister werden von vielen Firmen engagiert, um ihnen bei der Erledigung bestimmter Aufgaben unter die Arme zu greifen oder diese zu übernehmen. Dadurch werden oft personenbezogene Daten verarbeitet.

Bedenken Sie immer, dass die datenschutzrechtlichen Vorgaben von Ihnen, also dem Verantwortlichen, eingehalten werden müssen und die Verantwortung nicht an den Dienstleister übertragen wird.

5.

Punkt – Vernichtung personenbezogener Daten

Wenn die Zwecke erfüllt sind, weswegen personenbezogene Daten erhoben und verarbeitet wurden, müssen diese vernichtet werden.

Der erfüllte Zweck entscheidet darüber, wie lange die Daten nach Erfüllung des Zwecks noch gespeichert werden dürfen. Wenn der Zweck entfällt, müssen die Daten sofort gelöscht werden, sofern keine Ausnahme wie eine gesetzliche Aufbewahrungspflicht besteht. Diese Löschpflichten sollten im Verarbeitungsverzeichnis vermerkt werden.

6.

Punkt – Berücksichtigung des risikobasierten Ansatzes

Ein Risiko ist im Sinne der DSGVO das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann.

Dieses Risiko sollte immer richtig erkannt und eingeschätzt werden.

7.

Punkt – Richtiger Umgang mit Datenpannen

Datenpannen sollten immer im Rahmen von Art. 33 und 34 geregelt werden.

Sobald es voraussichtlich zu einem Risiko für den Betroffenen führt, muss die Datenpanne immer der Aufsichtsbehörde gemeldet werden. Der Betroffene muss immer dann informiert werden, wenn ein hohes Risiko für die Rechte und Freiheiten seiner Person bestehen.

8.

Punkt – Einplanung von Audits

Laut Art. 5 Abs.2 der DSGVO muss der Verantwortliche Rechenschaft ablegen. Er muss nachweisen können, dass er die Grundsätze der Verarbeitung, also Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit die in Art 5. Abs. 1 DSGVO einhält.

Wie genau er diese Angaben nachweisen muss, ist nicht ausdrücklich geregelt. Außerdem soll eine regelmäßige und systematische Kontrolle in Form von Audits vom Verantwortlichen oder von externen Dienstleistern durchgeführt werden.

9.

Punkt – Durchführung einer Datenschutzfolgenabschätzung

Wenn eine Form der Verarbeitung aufgrund der Art des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, muss laut Art. 35 Abs. 1 der DSGVO eine Datenschutzfolgenabschätzung durchgeführt werden.

10.

Punkt – Berücksichtigung von Privacy by Design


Privacy by Design ist ein Grundsatz, der in Art. 25 der DSGVO festgelegt wurde.

Dieser zielt darauf ab, dass schon bei der Entwicklung oder dem Design eines Produkts oder ein Service der Datenschutz DSGVO-konform eingehalten wird.