Brandmauer-it-security_Verlauf_heller_1920-x-600-px-Banner.jpg

BRANDMAUER IT Security Blog

So bleiben Sie in Sachen IT und IT Sicherheit stets auf dem neuesten Stand

Das gehört in ein gutes Datenschutzkonzept (Teil 1)

Eric Weis | 08.08.2018 13:08:15 | Lesezeit ca. 2,5 Minuten

In einem Datenschutzkonzept wird schriftlich festgehalten, wie der Datenschutz im Unternehmen umzusetzen ist. Da Sie als Geschäftsführer für den Datenschutz verantwortlich sind, sollte Ihnen an einem vernünftigen Datenschutzkonzept gelegen sein. Aktuell haben wir Ihnen auf unserem Blog einige Informationen zu Auftragsverarbeitungsverträgen zusammengestellt. Und gerade bei diesen kommt es immer wieder auf ein gutes Datenschutzkonzept an. Daher erfahren Sie nun, was in Ihr Datenschutzkonzept gehört.

 

Vertraulichkeit, Integrität und Verfügbarkeit

Diese drei Eigenschaften kennen Sie vielleicht auch als Schutzziele der Informationssicherheit. Zudem finden sie sich in der Datenschutz-Grundverordnung (DSGVO) wieder, weshalb sie natürlich auch für ein gutes Datenschutzkonzept essentiell sind.

Vertraulichkeit:

Zuerst sollten Sie sich um eine Zutrittskontrolle kümmern. Sorgen Sie dafür, dass Räume, in denen personenbezogene Daten verarbeitet oder gelagert werden, nicht frei zugänglich sind. Vor allem Räume wie z.B. der Serverraum sollten besonders geschützt sein. Auch gilt es, eine geeignete Besucherregelung zu finden.

Folgende beispielhafte Punkte sind zu prüfen:

  • Dokumentierte Schlüsselausgabe
  • Besucherregistrierung
  • Verschlossene Serverräume
  • Verschlossene Serverschränke
  • Alarmanlage für Gebäude / Büros
  • Alarmanlage für Serverraum

Als nächstes empfiehlt es sich, eine Zugangskontrolle einzuführen. Dabei ist darauf zu achten, dass jeder Netzwerkbenutzer ein geeignetes Passwort benutzt und die erteilten Berechtigungen regelmäßig auf Ihre Erforderlichkeit hin überprüft werden. Allgemein muss dafür gesorgt werden, dass Ihre Systeme nur den Personen zugänglich sind, denen es auch erlaubt ist.

Folgende beispielhafte Punkte sind zu prüfen:

  • Passwortkonvention mit komplexem Passwort und mindestens 10 Zeichen
  • Einsatz von Antiviren-Software
  • Verschlüsselte Notebook-Festplatten
  • Sichere Leitungsverbindung bei Zugang von Extern via VPN oder SSL Sicherheit
  • Einsatz von Intrusion Detection Systemen
  • Einsatz von Intrusion Protection Systemen

Ferner gehört in ein gutes Datenschutzkonzept auch eine Zugriffskontrolle. Das heißt, es muss geregelt sein, wer Zugriff auf welche Daten hat. Es empfiehlt sich, ein dokumentiertes rollenbasiertes Berechtigungskonzept einzuführen. Jeder sollte nur Zugriff auf die Daten haben, die er auch für seine Arbeit benötigt. Dieses „Minimum-Prinzip“ gilt auch für administrative Konten. Halten Sie die Anzahl solcher Konten so klein wie möglich!

Welche Gefahren zu viele administrative Konten darstellen, erfahren Sie hier.

Folgende beispielhafte Punkte sind zu prüfen:

  • Rollenbasiertes Berechtigungskonzept
  • Anwendungsbezogene Authentifikation mit Benutzername und Passwort
  • Vergabe der Berechtigungen nur nach Freigabe durch den Dateneigner
  • Technisch erzwungene Passwortrichtlinie
  • Datenschutzkonforme Vernichtung von Papierdokumenten

Um den Unterpunkt Vertraulichkeit abzuschließen, sollten Sie noch die Kriterien Pseudonymisierung und Trennungskontrolle beachten. Pseudonymisierung bedeutet, dass Auswertungen keinen Personenbezug haben, sofern dieser nicht notwendig und erlaubt ist. Außerdem sollten eventuelle Testsysteme, in denen personenbezogene Daten verarbeitet werden, stets getrennt von den Produktivsystemen betrieben werden. Das heißt, es sind beispielsweise getrennte Speicherorte einzurichten und die Zugriffe darauf sind zu dokumentieren.

Auch interessant: "Wer haftet für die IT Sicherheit im Unternehmen?"

 

Fazit

Ihr Datenschutzkonzept muss Ihre Daten schützen! Deshalb sollte man darauf achten, dass das Datenschutzkonzept auch entsprechende Regelungen und Maßnahmen vorsieht, die dem Datenschutz dienen. Es reicht keineswegs, einfach ohne durchdachten Plan irgendwelche Datenschutzmaßnahmen umzusetzen. Am besten verschaffen Sie sich einen Überblick über die im Unternehmen vorhandenen Datenbestände, und analysieren wie gut diese zu schützen sind. Anschließend können Sie, möglicherweise auch in Zusammenarbeit mit einem Experten, geeignete Maßnahmen in Ihr Datenschutzkonzept aufnehmen. Wenn Ihr Unternehmen dann das erstellte Datenschutzkonzept vernünftig umsetzt, werden Ihre Datenbestände deutlich besser geschützt sein!

 

In einem unserer nächsten Artikel widmen wir uns Teil 2. Darin werden dann die Punkte Integrität, Verfügbarkeit und noch einige weitere wichtige Punkte erläutert.

 

BRANDMAUER IT DSGVO Ratgeber

Themen: Datenschutz

Autor: Eric Weis

Eric Weis startete 2005 seine Karriere im IT-Business. Ein klassischer Start als IT-Systemadministrator legte dabei den fachlichen Grundstein, um später in nationalen und internationalen IT-Sicherheitsprojekten als Projektleiter zu agieren. Seit 2015 ist der IT-Experte außerdem Chief Information Security Officer und Auditor der ISO/IEC 27001. Weitere Zertifizierungen nach ITQ13 und VDS zeugen von seiner Leidenschaft für die IT Sicherheit. Seine tiefgehenden IT-Kenntnisse, gepaart mit seinen kommunikativen Fähigkeiten, machen Ihn zum Bindeglied zwischen der IT Organisation und dem Management. Eric Weis kann komplexe IT-Themen verständlich in alle Zielgruppen transportieren!

Telefon: (+49) 7272 92975 200
E-Mail: e.weis@brandmauer.de