<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=286961978467565&amp;ev=PageView&amp;noscript=1">
Skip to content
    Quick Links
    Jetzt Beratungstermin vereinbaren!

    Blogs

    Weitere Leistungen

    Engagement

    Sonstiges

    ,

    Das gehört in ein gutes Datenschutzkonzept (Teil 1)

    Picture of Eric Weis
    2
    min. read
    Das gehört in ein gutes Datenschutzkonzept (Teil 1)

    In einem Datenschutzkonzept wird schriftlich festgehalten, wie der Datenschutz im Unternehmen umzusetzen ist. Da Sie als Geschäftsführer für den Datenschutz verantwortlich sind, sollte Ihnen an einem vernünftigen Datenschutzkonzept gelegen sein. Aktuell haben wir Ihnen auf unserem Blog einige Informationen zu Auftragsverarbeitungsverträgen zusammengestellt. Und gerade bei diesen kommt es immer wieder auf ein gutes Datenschutzkonzept an. Daher erfahren Sie nun, was in Ihr Datenschutzkonzept gehört.

     

    Vertraulichkeit, Integrität und Verfügbarkeit

    Diese drei Eigenschaften kennen Sie vielleicht auch als Schutzziele der Informationssicherheit. Zudem finden sie sich in der Datenschutz-Grundverordnung (DSGVO) wieder, weshalb sie natürlich auch für ein gutes Datenschutzkonzept essentiell sind.

    Vertraulichkeit:

    Zuerst sollten Sie sich um eine Zutrittskontrolle kümmern. Sorgen Sie dafür, dass Räume, in denen personenbezogene Daten verarbeitet oder gelagert werden, nicht frei zugänglich sind. Vor allem Räume wie z.B. der Serverraum sollten besonders geschützt sein. Auch gilt es, eine geeignete Besucherregelung zu finden.

    Folgende beispielhafte Punkte sind zu prüfen:

    • Dokumentierte Schlüsselausgabe
    • Besucherregistrierung
    • Verschlossene Serverräume
    • Verschlossene Serverschränke
    • Alarmanlage für Gebäude / Büros
    • Alarmanlage für Serverraum

    Als nächstes empfiehlt es sich, eine Zugangskontrolle einzuführen. Dabei ist darauf zu achten, dass jeder Netzwerkbenutzer ein geeignetes Passwort benutzt und die erteilten Berechtigungen regelmäßig auf Ihre Erforderlichkeit hin überprüft werden. Allgemein muss dafür gesorgt werden, dass Ihre Systeme nur den Personen zugänglich sind, denen es auch erlaubt ist.

    Folgende beispielhafte Punkte sind zu prüfen:

    • Passwortkonvention mit komplexem Passwort und mindestens 10 Zeichen
    • Einsatz von Antiviren-Software
    • Verschlüsselte Notebook-Festplatten
    • Sichere Leitungsverbindung bei Zugang von Extern via VPN oder SSL Sicherheit
    • Einsatz von Intrusion Detection Systemen
    • Einsatz von Intrusion Protection Systemen

    Ferner gehört in ein gutes Datenschutzkonzept auch eine Zugriffskontrolle. Das heißt, es muss geregelt sein, wer Zugriff auf welche Daten hat. Es empfiehlt sich, ein dokumentiertes rollenbasiertes Berechtigungskonzept einzuführen. Jeder sollte nur Zugriff auf die Daten haben, die er auch für seine Arbeit benötigt. Dieses „Minimum-Prinzip“ gilt auch für administrative Konten. Halten Sie die Anzahl solcher Konten so klein wie möglich!

    Welche Gefahren zu viele administrative Konten darstellen, erfahren Sie hier.

    Folgende beispielhafte Punkte sind zu prüfen:

    • Rollenbasiertes Berechtigungskonzept
    • Anwendungsbezogene Authentifikation mit Benutzername und Passwort
    • Vergabe der Berechtigungen nur nach Freigabe durch den Dateneigner
    • Technisch erzwungene Passwortrichtlinie
    • Datenschutzkonforme Vernichtung von Papierdokumenten

    Um den Unterpunkt Vertraulichkeit abzuschließen, sollten Sie noch die Kriterien Pseudonymisierung und Trennungskontrolle beachten. Pseudonymisierung bedeutet, dass Auswertungen keinen Personenbezug haben, sofern dieser nicht notwendig und erlaubt ist. Außerdem sollten eventuelle Testsysteme, in denen personenbezogene Daten verarbeitet werden, stets getrennt von den Produktivsystemen betrieben werden. Das heißt, es sind beispielsweise getrennte Speicherorte einzurichten und die Zugriffe darauf sind zu dokumentieren.

     

    Fazit

    Ihr Datenschutzkonzept muss Ihre Daten schützen! Deshalb sollte man darauf achten, dass das Datenschutzkonzept auch entsprechende Regelungen und Maßnahmen vorsieht, die dem Datenschutz dienen. Es reicht keineswegs, einfach ohne durchdachten Plan irgendwelche Datenschutzmaßnahmen umzusetzen. Am besten verschaffen Sie sich einen Überblick über die im Unternehmen vorhandenen Datenbestände, und analysieren wie gut diese zu schützen sind. Anschließend können Sie, möglicherweise auch in Zusammenarbeit mit einem Experten, geeignete Maßnahmen in Ihr Datenschutzkonzept aufnehmen. Wenn Ihr Unternehmen dann das erstellte Datenschutzkonzept vernünftig umsetzt, werden Ihre Datenbestände deutlich besser geschützt sein!

    »Hier geht's zu Teil 2 zum Thema Datenschutzkonzept!

     

     

    Das könnte Sie auch interessieren:

    In unserem DSGVO Ratgeber erhalten Sie Antworten zu wichtigen Datenschutz-Fragen. 

    Jetzt kostenlos downloaden!