Das bayerische Landesamt für Datenschutzaufsicht hat eine Checkliste zu den technischen und organisatorischen Maßnahmen (TOM) veröffentlicht. In der Checkliste finden Sie Auswahlmöglichkeiten an Maßnahmen zur Sicherheit der Verarbeitung aus Art. 32 DSGVO.
Die Checkliste technische und organisatorische Maßnahmen stellt laut LDA keinen Anspruch auf Vollständigkeit dar. Sie bietet kleinen und mittleren Unternehmen (KMU) eine Auswahl an TOM an, die bei geläufigen Verarbeitungstätigkeiten innerhalb eines Betriebs verwendet werden können. Verantwortliche sollen also selbst prüfen, welche Maßnahmen im eigenen Betrieb sinnvoll und realistisch sind, um die technikneutralen Anforderungen DSGVO zu entsprechen.
Sie erhalten hierzu eine kurze Übersicht der enthaltenen Punkte.
Management und Organisation
Die Sicherheit der Verarbeitung ist dann ausreichend, wenn Sie auch nach Zwischenfällen normal weiterarbeiten können. Verteilen Sie die Aufgaben deshalb sinnvoll auf den IT-Verantwortlichen und den Datenschutzbeauftragten (DSB). Sensibilisieren Sie Ihre Mitarbeiter in Schulungen und mit regelmäßigen Informationen. Damit schaffen Sie im Unternehmen Kompetenzen und Feingefühl für Datensicherheit.
Physikalische Sicherheit der Infrastruktur
Schaffen Sie klare Regeln für den Zugang zum Betrieb, den Gebäuden, Arbeitsplätzen, den Umgang mit Besuchern, usw. Entwickeln Sie Sicherheitskonzepte damit Serverräume und andere wichtige Bereiche in Ihrem Unternehmen vor Unbefugten geschützt sind. Setzen Sie die Konzepte entsprechend um. Dadurch verhindern Sie den Zugang zu Ihren Daten.
Awareness der Mitarbeiter
Schulen Sie Ihre Mitarbeiter und geben Ihnen Tipps für den Umgang mit „Angriffen“. Vorgehen und Angriffsmöglichkeiten ändern sich genauso schnell wie die eingesetzte Technik.
Risiken begegnen Sie am besten durch kompetente Mitarbeiter. Nichtwissen ist ein hohes Risiko – nicht nur für personenbezogene Daten, sondern die gesamte Informationssicherheit.
Authentifizierung
Stellen Sie fest, wer warum welche Zugänge benötigt um seine Aufgaben zu erfüllen. Verwenden Sie Nutzerkennungen um nur Berechtigten Nutzern Zugang zu gestatten. Starke und vor allem geheime Passwörter sind ein Muss. Klären Sie Ihre Nutzer also darüber auf, was ein sicheres Passwort ausmacht, und wie die Nutzer damit am besten umgehen.
Rollen-/Rechtekonzepte
Berechtigungen steuern Sie am einfachsten über Rollen. Das ist übersichtlich und anpassbar. Ändern sich Voraussetzungen oder Details, passen Sie Rechte der Rolle, und damit die der Mitarbeiter an die neue Situation an. Dabei entsprechen die Rechte den Tätigkeiten der Mitarbeiter. Nicht mehr und nicht weniger nach dem „Need to Know Prinzip“.
Endgeräte (Clients)
Sichern Sie alle Endgeräte so ab, dass durch einzelne Schwachstellen keine Gefährdung des gesamten Netzwerks / der Organisation entsteht. Verwenden Sie dazu eine Geräteverwaltung und einheitliche Konzepte. Basis sind Anti-Viren-Software, Firewall und automatische Sperren.
Erstellen Sie für den Ernstfall einen Notfallplan und stellen ihn auf die Probe.
Mobile Datenspeicher
Sichern Sie nicht nur Clients, Server oder Drucker vor unberechtigtem Zugriff oder Verlust, sondern auch mobile Datenspeicher wie Smartphones, Tablets, Notebooks, USB Sticks, usw.
Eine starke Verschlüsselung ist ein erster Schritt. Regelmäßige Backups und Vorgaben zur der Nutzung erhöhen die Sicherheit zusätzlich, bzw. reduzieren Risiken.
Wichtig ist, dass Nutzer wissen, wie Sie mit den Geräten und Situationen richtig umgehen.
Serversysteme
Auf Ihren Servern liegt in der Regel alles, was wichtig ist – so sollten Sie sie auch behandeln.
Achten Sie auf kompetentes und geschultes Personal, das sich an die Vorgaben (Konzepte und Pläne) hält. Keinen anderen dürfen Zugriff und Zugang ermöglicht werden.
Überarbeiten Sie Ihre Konzepte regelmäßig. Denken Sie beispielsweise über eine 2-Faktoren-Authentifizierung und spezielle Einstellungen (Beschränkung auf notwendiger Funktionen) der genutzten Software nach.
Websites und Webanwendungen
Webseiten und Webanwendugnen sind in der Regel von außen erreichbar, oder sogar sichtbar. Achten Sie hier besonders auf den aktuellen Stand der Technik, denn dadurch verkleinern Sie die Angriffsfläche auf leicht zugängliche Bereiche.
Führen Sie regelmäßige Sicherheitschecks durch, nutzen Sie verschlüsselte Übertragung (SSH, TLS, VPN), halten Sie die Software auf dem neuesten Stand und sichern Datenbanken ab. Wenn nötig, holen Sie sich professionelle Hilfe.
Netzwerk
Halten Sie auch Ihr Netzwerk auf dem Stand der Technik und schützen Sie sich vor der Ausbreitung von Schadcode der unter Umständen zu einem völligen Stillstand führen kann.
Blockieren Sie u.a. nicht benötigte Dienste und regeln Sie genau, wer worüber Zugang erhält. So schützen Sie Ihr Unternehmen vor Angriffen.
Archivierung
Behalten Sie Ihre Archivdaten im Blick. (Archiv ist nicht Backup!) In Archivdateien liegen mindestens so viele Daten wie in Produktivsystemen. Die Sicherheitsanforderungen sind hier also gleich.
Planen Sie, wie lange Sie Daten aufheben müssen, wer darauf zugreifen darf, und wann Sie diese Löschen dürfen. Entwickeln Sie hierfür Konzepte.
Wartung durch Dienstleister
Regeln Sie die Zusammenarbeit mit externen Dienstleistern VOR der Auftragserteilung. Sie sind in der Regel auch bei Einsatz von Dienstleistern selbst in der Verantwortung. Dokumentieren Sie Tätigkeiten externer Dienstleister – auch wenn es nur um Wartung oder Support geht.
Protokollierung
Sicherheitsverletzungen (Datenpannen) nach Art. 33 DSGVO arbeiten Sie am Besten durch eine saubere Protokollierung auf. Versetzen Sie sich in die Lage Vorfälle hinterher nachvollziehen zu können.
Einfache Dinge, wie die Synchronisierung aller Uhren sind schnell erledigt. Mehr Aufwand bedeuten hingegen Überlegungen zum Umgang mit Log-Dateien und das Aufzeichnen von Nutzeraktivitäten und Systemereignissen.
Übrigens lassen sich so auch Fehlerquellen gut erkennen.
Business Continuity
Erstellen Sie für den Notfall Pläne um Ihre Systeme in Betrieb zu halten. Ihr unterschiedlichen Konzepte müssen ineinander greifen. Probieren Sie es aus.
Backupkonzepte müssen stimmig sein, damit Sie Daten wieder ins System einspielen können. Stellen Sie klare und verständliche Regeln für den Ernstfall auf. (Notfallplan mit Zuständigkeiten)
Kryptographie
Kryptographie ist die Verschlüsselung von Daten. Alle Passwörter und die Verschlüsselung müssen dem Stand der Technik entsprechen. Veraltete Verfahren dürfen Sie nicht mehr verwenden, denn sie sind oft nutzlos.
Mit Verschlüsselung sichern Sie die Vertraulichkeit, Integrität und Authentizität der Daten.
Vorsichtig sollten Sie allerdings bezüglich der Verfügbarkeit sein, denn verlieren Sie den Schlüssel, sperren Sie sich unter Umständen von Ihren eigenen Daten aus.
Datentransfer
Immer wenn Daten in Bewegung sind, erhöhen sich die Risiken.
Bei der Weitergabe oder dem Austausch von Daten verschlüsseln Sie diese so, dass Unbefugte nicht darauf zugreifen können. Es gilt immer der aktuelle Stand der Technik, ob bei mobilen Datenträgern, Messenger-Diensten oder Emails.
Eine Transport- und Inhaltsverschlüsselung der Daten ist fundamental.
Entwicklung und Auswahl von Software
Sobald Sie den Einsatz neuer Software planen, prüfen Sie diese schon vorab bezüglich Ihrer Anforderungen an Sicherheit und Datenschutzmöglichkeiten. Legen Sie diese fest, und überlegen Sie, welche Aufgaben sich ergeben könnten, falls Anforderungen nicht erfüllt werden.
Gerade mit Blick auf die jüngste Rechtsprechung können Sie sich unter Umständen viel Arbeit im Nachhinein sparen wenn Sie einen sauberen Auswahlprozess haben.
Auftragsverarbeiter
Beim Einsatz von Auftragsverarbeitern prüfen Sie, ob diese geeignet sind. Das bedeutet, Sie prüfen u.a., ob die technischen und organisatorischen Maßnahmen ausreichend sind, und der Dienstleister Ihre Anforderungen an die Sicherheit der Verarbeitung umsetzen kann.
Nutzen Sie dazu gerne auch die Checkliste technische und organisatorische Maßnahmen des Bayerischen Landesamtes für Datenschutzaufsicht.
Nur dann ist eine Zusammenarbeit sinnvoll und rechtlich möglich.