Das DPcert * Sicherheitskonzept
Was wir tun, um Ihre Daten sicherer zu machen
Es gibt eine Vielzahl von Maßnahmen, die man zum Schutz Ihrer Daten treffen kann. Dies können sowohl technische als auch organisatorische Lösungen sein. In jeden Fall beachten wir dabei, in welchem Verhältnis dies bei Ihnen Sinn macht.
Im Artikel 32 beschreibt die DSGVO bereits sehr genau, was man unter einer sicheren Datenverarbeitung versteht. Man spricht auch dort von einer Verhältnismäßigkeit, ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Der §64 des BDSG-neu liefert hier eine hilfreiche Übersicht. Gemeinsam mit Ihnen erarbeiten wir ein Konzept, das ihr Geschäft und ihren Bedarf berücksichtigt und die maximale Sicherheit für die verarbeiteten Daten bietet.
Zugang kontrollieren
Unbefugten den Zugang zu DV-Anlagen verwehren – das können verschlossene Serverräume sein, oder das Wegschließen eines Laptops im Schrank.
Datenträger kontrollieren
Unbefugtes Lesen, Kopieren, Verändern oder Löschen von Datenträgern verhindern – also keine USB-Sticks herumliegen lassen, auf denen wichtige Daten gespeichert sind.
Speicher kontrollieren
Verhinderung der unbefugten Eingabe, Kenntnisnahme, Veränderung oder Löschung von gespeicherten personenbezogenen Daten – die Auswahl eines geeigneten Speichermediums.
Benutzer kontrollieren
Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte – das könnte ein geeigneter Passwortschutz sein.
Zugriffe kontrollieren
Nur die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten haben Zugang, und auch nur zu den Daten, auf die sie Zugang haben müssen – also ein Berechtigungskonzept mit geteilten Verantwortlichkeiten.
Übertragungen kontrollieren
Es kann überprüft und festgestellt werden, an welche Stellen personenbezogene Daten übermittelt oder zur Verfügung gestellt werden – also durch Verschlüsselung sicherstellen, dass Daten nur den vorgesehenen Empfänger erreichen.
Eingaben kontrollieren
Es kann nachträglich überprüft und festgestellt werden, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind – eine Software loggt entsprechende Vorgänge.
Transport kontrollieren
beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten schützen – z.B. mit einer Anweisung, was auf einem mobilen Datenträger gespeichert werden darf (und was nicht), oder eine Geheimhaltungsvereinbarung, wenn Daten an Dritte gegeben werden müssen.
Wiederherstellen können
Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können. Hierzu gehören nicht nur Backups, sondern auch, dass man sicherstellt, damit im Notfall auch etwas anfangen zu können.
Zuverlässigkeit
Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden. Es werden notwendige Updates installiert und es gibt einen Virenschutz.
Datenintegrität
Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können. Hardware wird erneuert bevor sie versagt und eine Redundanz für lebensnotwendige Systeme.
Auftragnehmer verpflichten
Personenbezogene Daten, die im Auftrag verarbeitet werden, werden durch einen Vertrag nur entsprechend den Weisungen des Auftraggebers verarbeitet.
Verfügbarkeit sichern
Personenbezogene Daten sind gegen Zerstörung oder Verlust zu schützen – ein Brandschutz, eine USV oder Klimatisierung sorgen dafür, dass Daten erreichbar sind, wenn man sie braucht.
Daten trennen können
Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können. Achten Sie darauf, dass nur die für den Zweck erforderlichen Daten verarbeitet werden können, und es nicht “eine große Datenbank für alles” gibt. Dies ist umso schwerer, je kleiner ein Unternehmen ist.
Muss ich so viel beachten?
Die hier genannten Gebote überschneiden sich teilweise und lassen sich durch wenige technische und organisatorische Maßnahmen sicherstellen. Im Vordergrund steht in jedem Fall, wie hoch das Risiko ist, und welche Maßnahmen angemessen sind. Wir erstellen für Sie ein individuelles Sicherheitskonzept und helfen bei der Umsetzung. Fragen Sie uns!