Checkliste zu technischen und organisatorischen Maßnahmen nach DSGVO
Ansatz des Bayerischen Landesamtes für Datenschutzaufsicht
– Klaus Reinhard –
Bislang waren die Vorgaben wie die technischen und organisatorischen Maßnahmen (kurz TOM`s) nicht exakt konzipiert. Es galt zwar immer der Hinweis auf die Vorgaben des BSI (Bundesamt für Sicherheit in der Informationstechnik) welcher auch heute noch gültig und richtig ist, aber die wenigsten Verantwortlichen hatten das Fachverständnis, um diese doch sehr umfangreichen und für viele Verantwortlichen nicht nachvollziehbaren Vorgaben umzusetzen.
Zahlreiche TOMs stark optimierungsbedürftig
Die im Unternehmen beschäftigten IT-Mitarbeiter sind überlastet, das Hinzuziehen eines externen Dienstleisters ist mit zeitlichem und finanziellem Aufwand verbunden. In der Folge wurden TOM`s definiert, die zwar sachlich korrekt sind, die aber in der Umsetzung und Dokumentation zu wünschen übrig lassen.
Dem Datenschutzbeauftragten obliegt es dann zu prüfen ob diese Ausführungen auch den Vorgaben des Art. 32 EU-DSGVO entsprechen. Dabei ist ebenfalls zu bedenken, ob die Implementierungskosten und der Aufwand dem Zweck der Verarbeitung entsprechen und dem Unternehmen zumutbar sind. Der Hinweis auf die zugehörigen Dokumentationen, die zu Richtlinien wie beispielsweise einer Datensicherungsrichtlinie gehören, fallen dann bei kleinen und mittleren Unternehmen oft unter den Tisch und werden aus Zeit- und Kostengründen gar nicht erst durchgeführt.
Optimale Orientierungshilfe: Checkliste zu technischen und organisatorischen Maßnahmen
Eine wünschenswerte Vorlage zur Umsetzung der Vorgaben gab es bisher nicht. Das Bayerische Landesamtes für Datenschutzaufsicht hat das geändert. Die neue Checkliste der BayLDA bietet nun eine optimale Orientierungshilfe für Unternehmen. Sie beinhaltet einen Selbst-Check zur Sicherheit der Verarbeitung nach Art. 32 DSGVO und geht ausführlich auf die folgenden 18 Punkte ein:
- Management und Organisation
- Physikalische Sicherheit der Infrastruktur
- Awareness der Mitarbeiter
- Authentifizierung
- Rollen-/Rechtekonzept
- Endgeräte (Clients)
- Mobile Datenspeicher
- Serversysteme
- Websites und Webanwendungen
- Serversysteme
- Netzwerk
- Archivierung
- Wartung durch Dienstleister
- Protokollierung
- Kryptographie
- Business Continuity
- Datentransfer
- Entwicklung und Auswahl von Software
- Auftragsverarbeiter
Die Umsetzung der technischen und organisatorischen Maßnahmen nach der Vorlage des Bayerischen Landesamtes für Datenschutzaufsicht wird deutlich erleichtert.
Hierbei spielt es übrigens keine große Rolle von welcher Aufsichtsbehörde diese Vorlage stammt.
Korrekte Umsetzung
Natürlich sollte der Verantwortliche in Zusammenarbeit mit seinem IT-Verantwortlichem und unter Rücksprache mit seinem Datenschutzbeauftragtem (sofern vorhanden) auch diese Vorgabe entsprechend anpassen. Grundsätzlich jedoch sehe ich diese Vorgabe auch bereits für kleine Firmen mit nur 2 Mitarbeitern relevant und auch zumutbar und umsetzbar.
Der Verantwortliche darf dabei nicht vergessen das es hier nur zum Teil um eine Umsetzung der EU-DSGVO und des BDSG geht. Sein primäres Augenmerk sollte sich darauf richten, dass es hier auch im Wesentlichen um den Schutz des Unternehmens und der Sicherung seiner Geschäftsgeheimnisse handelt.
Bleiben wir beim Beispiel der Datensicherung. Natürlich sorgt jeder verantwortungsvolle Geschäftsführer dafür, dass die geschäftlichen- und damit meist personenbezogenen Daten gesichert werden. Mit der Vorlage der Behörde hat er eine explizite und einfach zu handhabende Checkliste. Damit beispielsweise auch daran „gedacht“ wird, dass eine Richtlinie erstellt werden muss, dass eine Umsetzung und Prüfung regelmäßig durchgeführt und dokumentiert werden muss. Dass ein Konzept zur Wiederherstellung existieren sollte, ein Sicherheitskonzept, um zu verhindern, dass diese Sicherungen durch Viren oder andere Schadsoftware kompromittiert werden und noch viele andere Themen.
Fazit
Dieses Zusammenspiel von Informationssicherheit und Datenschutz sorgt nicht nur für Datenschutzkonformität, sondern sichert im Notfall auch das Fortbestehen des Unternehmens. Für mich als Datenschutz- und IT-Sicherheitsbeauftragter eine eindeutige Win-Win Situation.
Nutzen Sie als Verantwortlicher diese Vorlage und sorgen Sie für eine angemessene Umsetzung. Für sich als Unternehmer, für Ihre Angestellten und für alle Betroffenen, deren Daten Sie verarbeiten.
Weitere Links zu hilfreichen Checklisten der BayLDA: https://www.lda.bayern.de/de/checklisten.html
Benötigen Sie Unterstützung?
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!