Belastbarkeit der Systeme

Die Sicherheit der Verarbeitung wie in Art. 32 Abs. 1 lit. b DSGVO vorgegeben, gibt verantwortlichen Stellen Aufgaben über die Belastbarkeit ihrer Systeme und Dienste vor. Es geht hierbei um die Verarbeitung von Daten auf Dauer sicherzustellen. Die Belastbarkeit ist eine recht neue Forderung der Sicherheit der Verarbeitung. Sie taucht das erste Mal in der Datenschutz-Grundverordnung auf. Im alten Bundesdatenschutzgesetz (BDSG) wurde die Belastbarkeit von Systemen und Diensten noch nicht als Schutzziel genannt.
Suchen Sie im Internet nach „Belastbarkeit“ und „DSGVO“. Sie werden oft auf „Verfügbarkeit und Belastbarkeit von Systemen“ stoßen, denn die Belastbarkeit steht im Datenschutz in engem Zusammenhang mit dem Schutzziel der Verfügbarkeit. Weil eine Abgrenzung zwischen diesen beiden Forderungen etwas schwierig ist, werden beide Schutzziele oft in einem Atemzug genannt.
Die Belastbarkeit Ihrer Systeme als Schutzziel stellen Sie durch Ihre technischen und organisatorischen Maßnahmen (TOMs) sicher.

Das ist Ihnen zu viel Text / zu viel zu lesen?

Sie hätten aber trotzdem gerne die enthaltenen Informationen und Hintergründe?

Fragen Sie uns doch einfach direkt.

Kontakt aufnehmen

Der Begriff Belastbarkeit

Sie verstehen unter dem Begriff Belastbarkeit vielleicht, dass man etwas aushält bzw. aushalten kann. Wie im Arbeitsalltag. Sie halten den täglich anfallenden Aufgaben und Anforderungen stand, und sind ihnen gewachsen.
Der Vergleich zur Belastbarkeit im Datenschutz ist hier schon ziemlich nah dran. In der englischen Fasseng der DSGVO wird übrigens der Begriff „resilience“ verwendet. Das kann man ganz einfach mit Resilienz, bzw. Widerstandsfähigkeit übersetzen.

Belastbarkeit und Widerstandsfähigkeit

Die DSGVO gibt Systemen mit denen Sie personenbezogene Daten verarbeiten Belastbarkeit und Widerstandsfähigkeit vor. Die Systeme sollen Widrigkeiten aushalten. So wie im täglichen Leben: Die Systeme müssen Stress, viele Termine, Aufgaben oder Anfragen unter einen Hut bringen können. Sie dürfen unter deren Last nicht zusammenbrechen. Die Funktionsfähigkeit bleibt bei belastbaren Systemen erhalten.
Das gilt nicht nur für nette, sondern auch für kritische Aktionen. Also nicht nur vielen Bestellungen, sondern auch Ausfällen und Angriffen gegenüber müssen Sie widerstandsfähig sein. Ein Webserver darf nicht gleich ein „Burnout“ bekommen, wenn mal viel los ist. Solche Spitzen müssen die Systeme verkraften und aushalten.
Hier schließt sich dann der Kreis mit der Verfügbarkeit: bricht ein System unter Last zusammen, sind Daten möglicherweise nicht mehr verfügbar…

So sieht Belastbarkeit im Datenschutz aus

Ihre Systeme und Dienste sollen trotz möglicher Störungen oder Fehler bei hohen Belastungen stets funktionsfähig sein und bleiben. Besonders in Hinblick auf die personenbezogenen Daten müssen ihre Systeme und Dienste weiterhin auch die geforderte Sicherheit gewähren. Die Sicherheit, besser gesagt die Sicherheit der Verarbeitung ist auch hier wie im technischen Datenschutz üblich das zentrale Thema. Das bedeutet, alle Systeme mit denen Sie personenbezogene Daten verarbeiten, müssen dem Stand der Technik entsprechen. Denken Sie dabei an interne Zugriffe von Unbefugten, eine Belastung durch einen Angriff von außen, oder einen unbeabsichtigten Verlust. Die Sicherheit der personenbezogenen Daten steht immer im Fokus der DSGVO – Vertraulichkeit, Integrität und Verfügbarkeit werden ergänzt durch Belastbarkeit.

Belastbarkeit umsetzen / so fangen sie am besten an

Damit Sie die Anforderungen an die Belastbarkeit umsetzen können, prüfen Sie zunächst auf welchen Systemen und Diensten Sie in Ihrem Unternehmen personenbezogene Daten verarbeiten. Hierbei hilft ein Blick in das Verzeichnis von Verarbeitungstätigkeiten. Das brauchen Sie nach den Vorgaben der DSGVO ohnehin. Wenn Sie keins haben, erstellen Sie eins.
Als nächstes sehen Sie sich auch die technischen und organisatorischen Maßnahmen an. Diese sind schließlich dazu da, die Anforderungen an die Sicherheit der Verarbeitung, die Schutzziele, zu erfüllen.
Stellen Sie sich dann die Frage, ob die getroffenen Maßnahmen ausreichend sind. Wichtig ist vor allem, dass sie dem Stand der Technik entsprechen und aktuell sind. Berücksichtigen Sie eine mögliche Eintrittswahrscheinlichkeit und wie schwer das Risiko für die Recht und Freiheiten von natürlichen Personen (Menschen) ausfallen könnte.
All das gleichen Sie miteinander ab. Ist das Schutzniveau (TOMs) in Anbetracht der Risiken ausreichend sein. Falls nicht, ergreifen Sie weitere Maßnahmen – so lange, bis es reicht.

Relevante Systeme und Dienste prüfen Sie vor allem regelmäßig.
Für die Prüfung auf die Belastbarkeit von Systemen und Diensten gibt es verschiedene Werkzeuge und Möglichkeiten. Beispielsweise ein sogenannter Stresstest bzw. Belastungstest. Sie finden wahrscheinlich auch oft Pentest, oder Penetrationstest. Zusammengefasst handelt es sich um umfassende Sicherheitstests. Lassen Sie das vom Profi erledigen und nehmen Sie sich ausreichend Zeit für Beratung und Durchführung.
Richten Sie besondere Aufmerksamkeit auf Firewalls, Hardware- und Softwarevarianten, und wählen Sie Ihre IT-Dienstleister sorgfältig aus.
Wie immer benötigen Sie im Datenschutz eine Dokumentation Ihrer Mühen als Nachweis. Schreiben Sie also alles auf und machen Ihre Entscheidungen nachvollziehbar.

Senden Sie uns Ihre Nachricht

Immer Up-to-date?

Abonnieren Sie unseren Newsletter!


Brandaktuelle Entwicklungen und Insiderwissen aus den Bereichen Datenschutz, Informationssicherheit und Hinweisgeberschutz liefern wir Ihnen 1x monatlich frei Haus in Ihr Mail-Postfach.


Jetzt für den Newsletter eintragen:

Mit dem Klick auf ‚E-Mail Newsletter abonnieren‘ erklären Sie sich mit dem regelmäßigen Empfang unseres Newsletters mit Informationen zu Datenschutz-, Informationssicherheits- und Compliancethemen sowie mit dessen Analyse durch individuelle Messung, Speicherung und Auswertung von Öffnungsraten und der Klickraten in Empfängerprofilen zu Zwecken der Gestaltung künftiger Newsletter entsprechend den Interessen unserer Leser einverstanden. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unseren Datenschutzhinweisen.

Unser Angebot – passgenau für die Anforderungen in Ihrem Unternehmen


Was ist beim Thema Datenschutz und Informationssicherheit in Ihrem Unternehmen wirklich zu tun? Ob Sie Ihren Datenschutz selbst organisieren, vorhandene Strukturen optimieren möchten oder Ihr Datenschutzmanagement auf professionelle Beine stellen wollen – wir sind Ihr Partner!

Gerne prüfen wir Ihren Status quo und erstellen Ihnen daraufhin ein passgenaues Angebot, das die oben genannten Bausteine beinhalten kann.

Unsere Zusammenarbeit gestalten wir nach Ihren Wünschen vor Ort im Raum München oder remote in ganz Deutschland.


DSK360 GmbH
Alpenblickstr. 9
82386 Oberhausen

Nutzen Sie unser Kontaktformular:

Ich freue mich darauf, Sie persönlich kennenzulernen.

Christian Schröder ist GDD Mitglied

Rechtliches

Impressum

Datenschutzhinweise

Grundsätze der Datenverarbeitung

Onlinemeetings mit Zoom

VertraulichkeitVertraulichkeitVerfügbarkeitVerfügbarkeit