Das DPcert * Sicherheitskonzept

Was wir tun, um Ihre Daten sicherer zu machen

Es gibt eine Vielzahl von Maßnahmen, die man zum Schutz Ihrer Daten treffen kann. Dies können sowohl technische als auch organisatorische Lösungen sein. In jeden Fall beachten wir dabei, in welchem Verhältnis dies bei Ihnen Sinn macht.

Im Artikel 32 beschreibt die DSGVO bereits sehr genau, was man unter einer sicheren Datenverarbeitung versteht. Man spricht auch dort von einer Verhältnismäßigkeit, ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Der §64 des BDSG-neu liefert hier eine hilfreiche Übersicht. Gemeinsam mit Ihnen erarbeiten wir ein Konzept, das ihr Geschäft und ihren Bedarf berücksichtigt und die maximale Sicherheit für die verarbeiteten Daten bietet.

Zugang kontrollieren

Unbefugten den Zugang zu DV-Anlagen verwehren – das können verschlossene Serverräume sein, oder das Wegschließen eines Laptops im Schrank.

Datenträger kontrollieren

Unbefugtes Lesen, Kopieren, Verändern oder Löschen von Datenträgern verhindern – also keine USB-Sticks herumliegen lassen, auf denen wichtige Daten gespeichert sind.

Speicher kontrollieren

Verhinderung der unbefugten Eingabe, Kenntnisnahme, Veränderung oder Löschung von gespeicherten personenbezogenen Daten – die Auswahl eines geeigneten Speichermediums.

Benutzer kontrollieren

Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte – das könnte ein geeigneter Passwortschutz sein.

Zugriffe kontrollieren

Nur die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten haben Zugang, und auch nur zu  den Daten, auf die sie Zugang haben müssen – also ein Berechtigungskonzept mit geteilten Verantwortlichkeiten.

Übertragungen kontrollieren

Es kann überprüft und festgestellt werden, an welche Stellen personenbezogene Daten übermittelt oder zur Verfügung gestellt werden – also durch Verschlüsselung sicherstellen, dass Daten nur den vorgesehenen Empfänger erreichen.

Eingaben kontrollieren

Es kann nachträglich überprüft und festgestellt werden, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind – eine Software loggt entsprechende Vorgänge.

Transport kontrollieren

beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten schützen – z.B. mit einer Anweisung, was auf einem mobilen Datenträger gespeichert werden darf (und was nicht), oder eine Geheimhaltungsvereinbarung, wenn Daten an Dritte gegeben werden müssen.

Wiederherstellen können

Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können. Hierzu gehören nicht nur Backups, sondern auch, dass man sicherstellt, damit im Notfall auch etwas anfangen zu können.

Zuverlässigkeit

Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden. Es werden notwendige Updates installiert und es gibt einen Virenschutz.

Datenintegrität

Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können. Hardware wird erneuert bevor sie versagt und eine Redundanz für lebensnotwendige Systeme.

Auftragnehmer verpflichten

Personenbezogene Daten, die im Auftrag verarbeitet werden, werden durch einen Vertrag nur entsprechend den Weisungen des Auftraggebers verarbeitet.

Verfügbarkeit sichern

Personenbezogene Daten sind gegen Zerstörung oder Verlust zu schützen – ein Brandschutz, eine USV oder Klimatisierung sorgen dafür, dass Daten erreichbar sind, wenn man sie braucht.

Daten trennen können

Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können. Achten Sie darauf, dass nur die für den Zweck erforderlichen Daten verarbeitet werden können, und es nicht “eine große Datenbank für alles” gibt. Dies ist umso schwerer, je kleiner ein Unternehmen ist.

Muss ich so viel beachten?

Die hier genannten Gebote überschneiden sich teilweise und lassen sich durch wenige technische und organisatorische  Maßnahmen sicherstellen. Im Vordergrund steht in jedem Fall, wie hoch das Risiko ist, und welche Maßnahmen angemessen sind. Wir erstellen für Sie  ein individuelles Sicherheitskonzept und helfen bei der Umsetzung. Fragen Sie uns!