Das gehört in ein gutes Datenschutzkonzept (Teil 2)

Dieser Artikel stellt die Fortsetzung zu „Das gehört in ein gutes Datenschutzkonzept (Teil 1)“ dar. Daher hier eine kurze Zusammenfassung von Teil 1: Grundsätzlich muss ein Datenschutzkonzept dafür sorgen, dass Ihre Datenbestände die Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) erreichen. In
Teil 1 habe ich mich hauptsächlich mit dem Punkt Vertraulichkeit beschäftigt. Dazu gehörte eine Zutrittskontrolle (z.B. verschlossene Serverräume), eine Zugangskontrolle (z.B. Passwortkonvention mit komplexem Passwort) und eine Zugriffskontrolle (z.B. Berechtigungskonzept).

Vertraulichkeit, Integrität und Verfügbarkeit

Integrität:

Hierbei sollten Sie zuerst eine Weitergabekontrolle einführen, damit personenbezogene Daten auch nur berechtigte Personen erreichen. Dazu gehört vor allem, die Daten bei Übertragung per Mail zu verschlüsseln, SSL-basierte Webservices bzw. Webseiten zu verwenden und VPN-Verbindungen einzurichten, damit Angestellte von außerhalb sicher auf Daten zugreifen können. Ferner sollten die Speicher von mobilen Geräten wie Laptops oder Tablets unbedingt verschlüsselt werden. Das gilt selbstverständlich auch für mobile Speichermedien wie z.B. USB-Sticks.

Lesen Sie hier: Welche Risiken birgt mobiles Arbeiten?

Folgende beispielhafte Punkte zur Sicherstellung der Integrität sind zu prüfen:

• E-Mail-Verschlüsselung
• Verbot des Einsatzes privater Speichermedien
• Besonderer Schutz beim Transport physischer Speichermedien
• VPN-Verbindungen

Der nächste Punkt nennt sich Eingabekontrolle. Hier geht es darum, dass die Änderung an personenbezogenen Daten bzw. deren Löschung eindeutig der Person zugeordnet werden kann, die sie durchgeführt hat. Das heißt, Sie müssen dafür sorgen, dass diese Änderungen nachvollziehbar werden. Ein funktionierendes Identitätsmanagement in allen Applikationen und im Netzwerk ist hierfür die Voraussetzung. Nicht vergessen sollten Sie auch Datenverarbeitungen, die via automatischer Verarbeitungsjobs durchgeführt werden.

Verfügbarkeit:

In diesem Kontext bedeutet Verfügbarkeit, dass Sie dafür sorgen müssen, dass personenbezogene Daten z.B. mittels einer funktionierenden Datensicherung geschützt werden. Ebenso müssen die Datenverarbeitungssysteme durch ein dokumentiertes Patch-Management gesichert werden. Vermeiden Sie unbedingt Systeme, die vom Hersteller nicht mehr gewartet werden! Weiterhin sollten Serverräume bzw. Rechenzentren speziell geschützt werden. Dazu gehört beispielsweise ein Brandschutz, eine USV oder eine spezielle Serverraumüberwachungseinheit.

Folgende beispielhafte Punkte sind zu prüfen:

• Dokumentiertes Patch-Management
• Unterbrechungsfreie Stromversorgung
• Klimatisierung der Server
• Brandschutz
• Implementiertes Backup- und Recovery-Konzept
• Notfallplan
• Aufbewahrung der Datensicherung an einem ausgelagerten, sicheren Ort

Regelmäßige Überprüfung und Überwachung:

Zuletzt sollte sichergestellt sein, dass der Datenschutz regelmäßig überprüft und bewertet wird. Das schließt die Schulung und Sensibilisierung der Mitarbeiter ein. Auch muss ein Meldeprozess bei Datenschutzverletzungen erstellt werden.

Fazit

Sie haben nun einige Punkte gesehen, anhand derer Sie Ihr Datenschutzkonzept bewerten können. Auch wenn wir nicht alle Punkte nennen konnten, sollten Sie ein Gefühl erhalten, ob Ihr Datenschutzkonzept leistungsfähig ist. Weist es schon bei den genannten Punkten größere Lücken auf, sollten Sie schnellstmöglich handeln und sich um das Thema Datenschutz kümmern! Schlussendlich kann aber natürlich jedes Unternehmen andere Prioritäten in seinem Datenschutzkonzept setzen. Wichtig ist, dass Sie den Datenschutz geregelt und dokumentiert haben und er nicht nur Ihren sondern auch den Ansprüchen Ihrer Kunden genügt. Es kann nicht zu viel Datenschutz geben!

Das könnte Sie auch interessieren:

In unserem DSGVO Ratgeber erhalten Sie Antworten zu wichtigen Datenschutz-Fragen.