Die Datenschutz-Grundverordnung sieht umfassende Schutzmaßnahmen vor

Vergleichbar mit den Vorgaben zur Gestaltung von Technik und datenschutzfreundlichen Voreinstellungen legt die DS-GVO auch für die Verarbeitungstätigkeiten selbst Vorgaben fest. Das sogenannte „angemessenes Schutzniveau“ ist eine Frage der Abwägung des Verantwortlichen bzw. Auftragsverarbeiters anhand verschiedener Kriterien. So wird eine konkrete Ausgestaltung umgangen und auf die Bewertung des Einzelfall abgestellt. Dies schafft in der aktuellen Datenschutz-Praxis häufig Unsicherheit über umzusetzende Maßnahmen, bzw. deren Ausgestaltung.

Der Verantwortliche bzw. Auftragsverarbeiter muss auf Basis des Standes der Technik und der Implementierungskosten geeignete technische und organisatorische Maßnahmen treffen, um und ein Niveau an Schutz zu erreichen, dass der Verarbeitung gerecht wird. Die Beurteilung der Angemessenheit erfolgt anhand der Art, Umstände und Zwecke der Verarbeitung sowie der Risiken, die eine Verarbeitung für die Rechte und Freiheiten betroffener Personen mit sich bringt.

Es sollten vor allem folgende Maßnahmen berücksichtigt werden:

  • Pseudonymisierung und Verschlüsselung
  • Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitung (System und Dienste)
  • Wiederherstellung von personenbezogenen Daten nach einem Zwischenfall, ggf. aus einem Backup
  • Evaluierung vorhandener Maßnahmen auf deren Wirksamkeit und Aktualität

Beurteilung des Schutzniveaus

Beurteilung des Datenschutzes auf Konformität mit der Datenschutz-Grundverordnung

Neben der Anwendung von Datenschutzgrundsätzen (z.B. Datenminimierung, Pseudonymisierung, etc.) und z.B. regelmäßigen Backups muss ein Konzept zum Datenschutz nach DS-GVO die eigene Wirksamkeit in regelmäßigen Abständen prüfen. Der Fokus liegt hierbei auf den Risiken für die Rechte und Freiheiten betroffener Personen durch Vernichtung, Verlust, Veränderung oder Offenlegung personenbezogener Daten. Dabei spielt es keine Rolle, ob diese unbeabsichtigt oder unrechtmäßig erfolgt, also z.B. durch Angriffe von Außen auf verwundbare IT-Systeme.

Ein wichtiger Faktor in der IT-Sicherheit ist die Schulung und Weiterbildung von Mitarbeitern zum DS-GVO konformen Verhalten. Hierbei müssen grundlegende Sicherheitskonzept geschult werden, wie das Verwenden sicherer Passwörter oder auch verschiedene Formen von Phishing-Angriffen. Nicht zuletzt muss auch das Berechtigungskonzept vorsehen, dass Mitarbeiter nur auf Weisung des Verantwortlichen Daten für vorgesehende Zwecke verarbeiten.

Weitere lesenswerte Artikel finden sie im übergeordneten Bereich DS-GVO Basics