Schlagwort-Archive: Pseudonymisierung

DSGVO

Datenschutzgrundverordnung (DSGVO) und IT-Sicherheit

Die Datenschutzgrundverordnung (DSGVO) regelt den richtigen Umgang mit personenbezogenen Daten. Da es sich hierbei um einen weitreichenden Begriff handelt, begegnen uns personenbezogene Daten in fast allen Bereichen des Arbeitsalltags. Anonyme Daten wie reine Statistiken oder Maschinendaten fallen nicht in den Anwendungsbereich der DSGVO. Sobald jedoch ein Personenbezug besteht, greifen die datenschutzrechtlichen Vorgaben.

Ein zentraler Aspekt der DSGVO ist der Schutz der Daten durch angemessene Maßnahmen. Besonders relevant ist hier Artikel 32 DSGVO, der technische und organisatorische Maßnahmen (TOMs) zur Absicherung der Datenverarbeitung fordert. Ziel ist es, ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Technische und organisatorische Maßnahmen (TOMs) nach Artikel 32 DSGVO

Artikel 32, Absatz 1 DSGVO beschreibt verschiedene Schutzmaßnahmen, die Unternehmen und Organisationen umsetzen müssen:

  1. Pseudonymisierung und Verschlüsselung von Daten.
  2. Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste zur Datenverarbeitung.
  3. Schnelle Wiederherstellung der Verfügbarkeit der Daten und des Zugangs zu ihnen bei einem physischen oder technischen Zwischenfall.
  4. Regelmäßige Überprüfung, Bewertung und Evaluierung der TOMs, um deren Wirksamkeit sicherzustellen.

Allerdings enthält die DSGVO – abgesehen von Pseudonymisierung und Verschlüsselung – keine konkreten Maßnahmen, sondern beschreibt allgemeine Gewährleistungsziele. Jede verantwortliche Stelle muss selbst entscheiden, welche spezifischen TOMs erforderlich sind.

Risikobasierter Ansatz für IT-Sicherheit

Gemäß Artikel 32 DSGVO müssen verschiedene Faktoren bei der Auswahl und Implementierung der TOMs berücksichtigt werden:

  • Stand der Technik
  • Implementierungskosten
  • Art, Umfang, Umstände und Zwecke der Datenverarbeitung
  • Eintrittswahrscheinlichkeit und Schwere des Risikos

Dabei steht nicht das Risiko des Unternehmens im Vordergrund, sondern das Risiko für die betroffenen Personen, deren Daten verarbeitet werden. Es gilt zu verhindern, dass Daten verloren gehen, verändert werden oder unbefugten Dritten zugänglich sind.

Praktische Beispiele für TOMs

Folgende Maßnahmen können zur Umsetzung der Anforderungen aus Artikel 32 DSGVO beitragen:

  • Aktuelle Betriebssysteme und regelmäßige Updates
  • Antivirus-Software und Firewalls
  • Sichere Backup-Strategien
  • Passwortrichtlinien und Multi-Faktor-Authentifizierung
  • Physische Schutzmaßnahmen (Alarmanlagen, Überwachungskameras, Zugangskontrollen)
  • Schulungen und Sensibilisierung der Mitarbeiter
  • Datenschutzrichtlinien und Betriebsvereinbarungen

Die konkrete Auswahl und Umsetzung dieser Maßnahmen sollte auf einem risikobasierten Ansatz beruhen:

  1. Welche Werte müssen geschützt werden?
  2. Welche Risiken bestehen?
  3. Welche Maßnahmen sind erforderlich?
  4. Wie wird die Wirksamkeit der Maßnahmen überprüft?

Unterstützung durch etablierte Standards

Unternehmen müssen nicht alle Sicherheitsmaßnahmen selbst definieren, sondern können sich an bewährten Sicherheitsstandards orientieren:

  • IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
  • Standard-Datenschutzmodell (SDM) der deutschen Datenschutzaufsichtsbehörden
  • ISO 27001 (Informationssicherheitsmanagement)
  • ISO 27701 (Datenschutzmanagementsystem als Ergänzung zur ISO 27001)

Datenschutz und IT-Sicherheit – Ein gemeinsames Ziel

Die Einhaltung der DSGVO führt nicht nur zur Erfüllung gesetzlicher Vorgaben, sondern trägt auch zur allgemeinen IT-Sicherheit eines Unternehmens bei. Sichere personenbezogene Daten bedeuten auch besseren Schutz für Geschäftsgeheimnisse und andere sensible Informationen. Neben der DSGVO gibt es hierzu ergänzende gesetzliche Regelungen wie das Geschäftsgeheimnisgesetz (GeschGehG).

Fazit

Unternehmen, Behörden und Vereine müssen die Anforderungen von Artikel 32 DSGVO einhalten und geeignete TOMs zur Absicherung personenbezogener Daten implementieren. Ein umfassender, risikobasierter Ansatz und die Nutzung etablierter Sicherheitsstandards sind essenziell, um Datenschutz und IT-Sicherheit wirksam umzusetzen.