Kompaktes Wissen zu technischen und organisatorischen Maßnahmen
Der Verantwortliche ist nach Art. 32 Abs. 1 DSGVO verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Mit anderen Worten: Jeder Verantwortliche muss sich Gedanken um die Sicherheit der Verarbeitung machen, insbesondere
um die IT-Sicherheit.
Die von ihm getroffenen Maßnahmen sind zu dokumentieren. Auch hierfür stellen wir Muster bereit. Natürlich kann die
Dokumentation auch in unserer Datenschutz-Management-Software erfolgen, die Sie durch die einzelnen Punkte führt und
anleitet.
Was genau ein angemessenes Schutzniveau ist, ist eine Frage des Einzelfalls. Es gibt verschiedene
Abwägungskriterien, die in die Risikobewertung und in die Bewertung der ergriffenen Maßnahmen einfließen. Meist ist
es sinnvoll, den Aspekt der TOM gemeinsam mit der IT-Abteilung bzw. dem IT-Dienstleister zu erörtern. Häufig macht
es aber auch Sinn, sich in diesem Bereich nach Aufnahme des Ist-Zustandes externen Rat zu holen, um sein
IT-Sicherheitsniveau besser einschätzen zu können.
Denken Sie daran: IT-Sicherheit wird immer wichtiger und ist auch unabhängig von den Verpflichtungen aus der DSGVO
existenziell wichtig für Ihr Unternehmen. An dieser Stelle können Sie einen echten Mehrwert für Ihr Unternehmen
generieren, wenn Sie sich anlässlich der Umsetzung der DSGVO auch einmal mit Ihrer IT-Sicherheit beschäftigen. Haben
Sie bereits ein IT-Sicherheitskonzept? Dann prüfen Sie es auf Aktualität und Wirksamkeit. Andernfalls fangen Sie
heute noch damit an, ein IT-Sicherheitskonzept zu erstellen.
Zu den technischen Maßnahmen gehört übrigens auch ein Backup, um die Verfügbarkeit der Daten sicherzustellen. Nur
für den Fall, dass es da draußen immer noch Unternehmen gibt, die das Thema Backup nicht ernst nehmen: Eine
Backup-Strategie ist unverzichtbar. Wenn Sie kein Backup haben, machen Sie eins und zwar genau jetzt, bevor Sie
weiterlesen. Weitere Beispiele für in der Regel mögliche und angemessene Maßnahmen:
- Passwortschutz
- Virenscanner
- Firewall
- Transportverschlüsselung bei der E-Mail-Kommunikation
- Verwendung des Feldes BCC: statt CC: bei Rundmails
Neben den rein technischen Maßnahmen sollten Sie auch organisatorische Maßnahmen, wie Dienstanweisungen, Betriebsvereinbarungen etc. auf Anpassungsbedarf an die DSGVO prüfen.