Intro: Was ist mit technisch und organisatorischen Maßnahmen gemeint, welche Funktion haben diese und was muss bei der Umsetzung beachtet werden?
To-Dos: Wie ist bei der Umsetzung der Maßnahmen und damit zusammenhängender Pflichten konkret vorzugehen?
Statements: Welche Hilfestellungen haben die Datenschutzaufsichtsbehörden zum Thema technisch und organisatorische Maßnahmen veröffentlicht?
Eine zentrale Anforderung der DSGVO ist die Umsetzung von Schutzmaßnahmen. Das Gesetz unterscheidet zwischen technischen und organisatorischen Maßnahmen.
Zu den technischen Maßnahmen gehören Maßnahmen, die den unberechtigten Zutritt zu Räumen und den unberechtigten Zugang zu Systemen sowie den Zugriff auf darauf befindliche Daten verhindern (z.B. Passwortschutz mit Berechtigungskonzept). Neben solchen Maßnahmen, die auf den Schutz der Vertraulichkeit der Daten abzielen, dient etwa die Kontrolle der Eingabe von Daten (Logging) dem Schutz der Integrität, stellen also sicher, dass Daten nicht unbemerkt manipuliert werden können. Ein wiederum anderer Schutzzwecke - die Verfügbarkeit von Daten - wird u.a. mithilfe von Backups erfüllt. Schließlich kann die Belastbarkeit von Systemen und Diensten mithilfe entsprechendem Angriffsschutz erfolgen, etwa gegen DoS-Attacken.
Neben technischen Maßnahmen verlangt die DSGVO organisatorische Schutzmaßnahmen. Hierzu gehört des Verteilen von Zuständigkeiten hinsichtlich der Implementierung und Aufrechterhaltung technischer Maßnahmen, aber auch die Sensibilisierung von Mitarbeitern und deren Verpflichtung auf den Datenschutz.
Sowohl technische und organisatorische Maßnahmen müssen dem individuellen Risiko gerecht werden, das von einer Datenverarbeitung ausgeht. Es ist also nicht damit getan, einen "Standard-Katalog" von Maßnahmen abzuarbeiten; vielmehr müssen einzelfallbezogen unter Berücksichtigung des Stands der Technik und der Implementierungskosten risikoadequate Maßnahmen definiert und umgesetzt werden.
Risikoidentifikation: Alle internen und externen Datenschutzrisiken müssen identifiziert werden, um ermitteln zu können, ob ausreichende technische und organisatorische Maßnahmen umgesetzt wurden.
Konzept zur Etablierung und Aufrechterhaltung angemessener Datensicherheit: Es sollte definiert werden, welche technischen und / oder organisatorischen Schutzmaßnahmen unter welchen Umständen vorzuhalten sind.
Implementierung und Aufrechterhaltung angemessener Sicherheitsvorkehrungen: Der Verantwortliche muss geeignete technische und organisatorische Maßnahmen ergreifen, um ein Sicherheitsniveau zu gewährleisten, das den festgestellten Datenschutzrisiken entspricht.
Verfahren zur Überwachung der Wirksamkeit der implementierten Sicherheitsmaßnahmen: Nach der Umsetzung ist die Wirksamkeit der Schutzmaßnahmen regelmäßig zu überprüfen und gegebenenfalls zu aktualisieren, um neuen Risiken oder Mängeln zu begegnen.
Definition und Dokumentation eines Verfahrens zur Vergabe von Zugriffsrechten: Nach dem "Need-to-know-Prinzip" müssen die Zugriffsrechte einer bestimmten Stelle im Unternehmen auf den Umfang beschränkt werden, der für die Erfüllung der Aufgaben der Stelle erforderlich ist. Es muss festgelegt werden, von wem und unter welchen Bedingungen die Zugriffsrechte verteilt werden. Das Verfahren könnte in einer Datensicherheitsrichtlinie festgelegt werden.
>> Finde heraus, welche anderen Datenschutzpflichten im Einzelfall ggf. zu beachten sind.
vertraut mit Eingenarten kleiner und großer Unternehmen
erfahren in der Kommunikation mit Datenschutzbehörden
seit über 10 Jahren im Datenschutz aktiv.
.png){kind=small}
.png){kind=small}
.png){kind=small}
.png){kind=small}
