IT-Sicherheit und EU Datenschutz-Grundverordnung
Die EU Datenschutz-Grundverordnung (DS-GVO)
und das neue Bundesdatenschutzgesetz (BDSG-neu)
werden ab dem 25.05.2018 anzuwenden sein. Hinsichtlich der
IT-Sicherheit wird sich einiges ändern.
Aus diesem Grund beschäftigt sich der PrivazyPlan® ausführlich mit der Informationssicherheit - und allen Themen, die damit zusammenhängen.
Als IT-Dienstleister (bzw. Administratror) sollten Sie die Geschäftsführung zumindest auf die folgenden sechs Punkte hinweisen:
1.) Informations-Sicherheits-Managementsystem (ISMS)
Der Verantwortliche muss gemäß Artikel 32 die Sicherheit der Verarbeitung risikobasiert planen und dauerhaft sicherstellen und regelmäßig überprüfen. Es ist also ein ISMS notwendig.
Hierfür gibt es unter anderem die folgenden Möglichkeiten:
- Der knappe ISA+-Fragebogen, der wohl bald zertifizierbar ist
- VdS Quickcheck
- ISIS12
- VdS 3473
- IT-Grundschutz gemäß BSI
- ISO 27001
Im Kapitel 13.4 des PrivazyPlan® werden verschiedenste Ansätze eines ISMS beschrieben. Aufgrund dieser Informationen kann der Verantwortliche eine fundierte Entscheidung für ein konkretes ISMS treffen. Die Benennung eines Informations-Sicherheitsbeauftragten ist empfehlenswert.
2.) Dokumentation der Schutzmaßnahmen
Für jede einzelne Verarbeitung (!) müssen gemäß Artikel 30 (1g) die technisch-organisatorischen Maßnahmen in allgemeiner Form beschrieben werden.
Auch diese Art der Dokumentation ist im PrivazyPlan® vorgesehen. Im "Verarbeitungs-Meldebogen" werden diese Informationen abgefragt.
3.) Risikopotential-Analyse, Datenschutz-Folgenabschätzung und Konsultation
Jede Verarbeitung personenbezogener Daten muss hinsichtlich ihrer Risiken eingeschätzt werden. Bei einem erhöhten Risikopotential muss gemäß Artikel 32 eine Datenschutz-Folgenabschätzung durchgeführt werden. Falls sich herausstellen sollte, dass z.B. die IT-Sicherheitsmaßnahmen nicht ausreichen sollten, so ist gemäß Artikel 33 die Datenschutz-Aufsichtsbehörde zu konsultieren.
Diese Schrittte sind im PrivazyPlan® ausführlich beschrieben und mit passenden Checklisten unterlegt.
4.) Mitarbeiter in die Schutzmaßnahmen einbeziehen
Gemäß Artikel 32 (4) sollen die Beschäftigten nur "auf Anweisung" mit personenbezogenen Daten arbeiten. Dies betrifft natürlich auch die Einhaltung der Sicherheitsmaßnahmen. Dementsprechend reichen die Sicherheitsmaßnahmen allein nicht aus... sie müssen auch nachweisbar geschult werden.
Ein entsprechendes Konzept wird im PrivazyPlan® vorgeschlagen.
5.) Datenschutzverletzung und Meldepflichten
Und wenn doch mal etwas schief geht? Was ist zu tun, wenn personenbezogene Daten in unbefugte Hände geraten? Im Vergleich zum § 42a BDSG (anwendbar bis 25.05.2018) hat sich einiges geändert; so ist beispielsweise auch der innerbetriebliche Datenverlust zu thematisieren.
Ab dem 25.05.2018 muss gemäß Artikel 33 jede Datenschutzverletzung gewissenhaft dokumentiert und ggf. der Datenschutz-Aufsichtsbehörde gemeldet werden. In schwerwiegenden Fällen muss gemäß Artikel 34 auch die betroffene Person informiert werden.
Auch diese Pflichten sind im PrivazyPlan® ausführlich beschrieben.
6.) Besondere Sicherheitsmaßnahmen bei sensiblen Daten
Der § 22 Abs. 2 BDSG-neu fordert 10 Maßnahmen zum Schutz von besonders sensiblen Daten (also z.B. Gesundheitsdaten). Hier ist der Stand der Technik zu beachten.
Die obigen Punkte verdeutlichen, dass der Datenschutz und die Informationssicherheit zukünftig noch stärker verwoben sein werden. Die Geschäftsleitung wird sich mehr um IT-Sicherheit kümmern müssen... und der IT-Administrator mehr um Datenschutz.
Nutzen Sie
den PrivazyPlan®, um dieser Herausforderung
zu begegnen.
SecureDataService, Dipl.
Ing. (FH) Nicholas Vollmer
Datenschutz
/ Impressum