Hauptinhalt

Technischer und organisatorischer Datenschutz

Die Datenschutz-Grundverordnung (DSGVO) enthält vor allem in Artikel 5 und Artikel 32 die Vorgaben zur «Sicherheit der Verarbeitung». Außerdem sind weitere Vorgaben hierzu in Artikel 24, 25 sowie 36 DSGVO normiert.

  • Vor Festlegung der technischen und organisatorischen Maßnahmen hat eine risikobasierte Abwägung zu erfolgen. Diese beinhaltet, dass alle möglichen Bedrohungen und Schwachstellen mit ihrer jeweiligen Eintrittswahrscheinlichkeit und der potentiellen Schwere des Schadens für die Rechte und Freiheiten betroffener Personen identifiziert werden.
  • Die Prinzipien der Datenvermeidung und -sparsamkeit werden durch Artikel 25 Absatz 1 und der 2 Datenschutz-Grundverordnung konkretisiert und fordern Datenschutz durch Technikgestaltung und durch datenschutzrechtliche Voreinstellungen (Privacy by design und Privacy by default).
  • Der Verantwortliche muss die technischen und organisatorischen Maßnahmen, die er getroffen hat, nachweisen und aktuell halten. Gemäß Artikel 32 Absatz 1 Buchstabe d Datenschutz-Grundverordnung muss auch die Wirksamkeit der umgesetzten technischen und organisatorischen Maßnahmen getestet und gegebenenfalls nachgesteuert werden.
  • Nach der Datenschutz-Grundverordnung müssen sowohl Verantwortliche als auch Auftragsverarbeiter ein Verzeichnis führen, das alle Verarbeitungstätigkeiten mit personenbezogenen Daten enthält. Dieses Verzeichnis betrifft sämtliche, insbesondere auch nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

  • Der Verantwortliche hat die technischen und organisatorischen Maßnahmen zu dokumentieren. Dies sollte im Rahmen eines Datenschutz- und Informationssicherheitskonzeptes erfolgen.
  • Die öffentliche Stelle hat ein Verfahren zu etablieren, das regelmäßig die Wirksamkeit der technischen und organisatorischen Maßnahmen bewertet und evaluiert. Hierfür empfiehlt sich die Einführung eines Datenschutz-Managementsystems.
  • Es wird empfohlen, das Prinzip Privacy by default bereits im Zuge der vergaberechtskonformen Ausschreibung von IT-Produkten zu beachten.
  • Das Verarbeitungsverzeichnis muss die Anforderungen nach Artikel 30 Absatz 1 Datenschutz-Grundverordnung erfüllen.

Sicherheit der Verarbeitung (Artikel 32 DSGVO)

Artikel 32 DSGVO kommt eine zentrale Bedeutung zu. Demnach sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Datenschutzniveau zu gewährleisten. Die »Angemessenheit« orientiert sich dabei an dem Stand der Technik, den Implementierungskosten, der Art und dem Umfang der Umstände, dem Zweck der Verarbeitung sowie an den unterschiedlichen Eintrittswahrscheinlichkeiten und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen. Ausdrücklich aufgeführt werden als Maßnahmen in Artikel 32 Absatz 1 Buchstabe a Datenschutz-Grundverordnung lediglich Pseudonymisierung und Verschlüsselung der Daten.

Diese in Artikel 32 Absatz 1 DSGVO enthaltene Vorgabe enthält keine Aussagen, was unter dem »Stand der Technik« zu verstehen ist. Bewährt hat sich jedoch eine Interpretation, die nicht auf die Neuigkeit aus Wissenschaft und Forschung abzielt, sondern eher auf Maßnahmen abstellt, die gängig, verfügbar und ausgereift sind, in der Praxis ihre Wirksamkeit bereits nachgewiesen haben und einen beabsichtigten Sicherheitsstand ausreichend gewährleisten. Orientierung geben dazu eine Vielzahl technischer Richtlinien (TR) des Bundesamtes für die Sicherheit in der Informationstechnik (BSI), zum Beispiel hinsichtlich der Verwendung von Verschlüsselungsalgorithmen. Der Begriff »Stand der Technik« impliziert außerdem, dass es sich um eine gegenwärtige Bewertung handelt und der Stand der Technik immer wieder geprüft werden muss, um die Datensicherheit gewährleisten zu können.

Die Schutzziele werden in Artikel 32 Absatz 1 Buchstabe b DSGVO zusammengefasst. Ausdrücklich genannt werden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit. Während die ersten drei Schutzziele aus der ISO 27001 und dem BSI Grundschutz bekannt sind, bedarf das Schutzziel der Belastbarkeit mangels konkreter Vorgaben in der Datenschutz-Grundverordnung der Interpretation. Am naheliegendsten erscheint, die Belastbarkeit von Diensten und Systemen hinsichtlich ihrer Widerstandsfähigkeit auszulegen, so dass diese also auch noch »unter Last / starker Beanspruchung« funktionieren sollen, was gegebenenfalls in einem entsprechenden Notfallmanagement zu berücksichtigen wäre. Außerdem besteht gemäß Artikel 32 Absatz 1 Buchstabe c DSGVO die Forderung, dass personenbezogene Daten bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden sollen. Die Wiederherstellung der Daten muss somit regelmäßig getestet werden.

Bei der Abwägung der geeigneten Maßnahmen hat eine risikobasierte Betrachtung zu erfolgen. Diese beinhaltet, dass alle möglichen Bedrohungen und Schwachstellen mit ihrer jeweiligen Eintrittswahrscheinlichkeit und der potentiellen Schwere des Schadens für die Rechte und Freiheiten betroffener Personen identifiziert werden. Dies entspricht der Vorgehensweise im IT-Risikomanagement, bei dem aber auch Informationen betrachtet werden, die nicht personenbezogen sind. Das Ergebnis der Risikobetrachtung ist auch für die Datenschutz-Folgenabschätzung wichtig.

Um nach erfolgter Risikobemessung geeignete Maßnahmen zu identifizieren, sollte eine Schutzbedarfsfeststellung durchgeführt werden, indem der jeweilige Schutzbedarf der personenbezogenen Daten ermittelt wird. Dabei werden zunächst typische Schadensszenarien ermittelt und anschließend der Schutzbedarf für die einzelnen personenbezogenen Daten abgeleitet. Bewährt hat sich eine Einteilung in die Schutzbedarfskategorien »normal, »hoch« und »sehr hoch«.

Empfehlung: Unterstützende Orientierung kann das Standard-Datenschutzmodell (SDM) geben, das hierzu eine strukturierte Herangehensweise anbietet.

Die Verantwortung für das Ergreifen von geeigneten Maßnahmen obliegt dem Verantwortlichen gemäß Artikel 24 Absatz 1 DSGVO. Die Maßnahmen muss er nachweisen und aktuell halten. Artikel 32 Absatz 1 Buchstabe d DSGVO sieht dahingehend vor, dass die Wirksamkeit der umgesetzten technischen und organisatorischen Maßnahmen getestet wird. Dabei muss der Verantwortliche bzw. Auftragsverarbeiter ein Verfahren etablieren, das regelmäßig die Wirksamkeit der Maßnahmen bewertet und evaluiert.

Datenschutz durch Technikgestaltung und durch datenschutzrechtliche Voreinstellungen (Artikel 25 DSGVO)

Das Prinzip der Datenvermeidung und Datensparsamkeit ist in der Datenschutz-Grundverordnung verankert. Mit der Einführung des »Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen« (Artikel 25 Datenschutz-Grundverordnung) werden ausdrücklich Anforderungen an die Entwicklung und Implementierung von IT-Produkten gestellt, um eine wirksame Umsetzung dieser Datenschutzgrundsätze zu erreichen. Damit wird dem Gedanken Rechnung getragen, dass sich Datenschutzverstöße von vornherein vermeiden lassen, wenn die Belange des Datenschutzes bereits im Entwicklungsprozess produktseitig aufgenommen werden. Artikel 25 Datenschutz-Grundverordnung richtet sich an den Verantwortlichen. Die beiden Anforderungen beinhalten im Einzelnen Folgendes:

Datenschutz und Datensicherheit sollen bereits in der Planung und Entwicklung von IT-Systemen berücksichtigt werden. Dadurch soll erreicht werden, dass die Vorgaben nach dem Datenschutz und der Datensicherheit nicht erst nach dem Bereitstellen von IT-Systemen durch teure und zeitaufwendige Anpassungen umgesetzt werden. Bereits bei der Herstellung sollten Möglichkeiten wie Deaktivierung von Funktionalitäten, Anonymisierung oder Pseudonymisierung aber auch Authentifizierung oder Verschlüsselungen berücksichtigt werden.

IT-Systeme sollen datenschutzfreundlich voreingestellt sein, so dass nur die personenbezogenen Daten verarbeitet werden, die für den verfolgten Zweck erforderlich sind. Hintergrund dieser Regelung ist, dass viele Nutzer nicht über ausreichende IT-Kenntnisse verfügen und somit keine Einstellungen zum Schutz personenbezogener Daten vornehmen können. Darüber hinaus müssen dem Nutzer Funktionen zur Verfügung gestellt werden, mit denen er die Privatsphäre betroffener Personen schützen kann (zum Beispiel Verschlüsselung).

Diese Regelungen wirken sich auf sämtliche Produkte, Systeme und Prozesse des Verantwortlichen aus. Im Gegensatz zu den oben genannten Vorgaben sind viele eingesetzte Systeme bisher in der Grundeinstellung so konzipiert, dass der Nutzer nur mit großem Aufwand eine datenschutzfreundliche Konfiguration vornehmen kann.

Empfehlung: Die datenschutzrechtlich angepasste Voreinstellung sollte bereits im Zuge der vergaberechtskonformen Ausschreibung von IT-Produkten beachtet werden.

Einführung eines Datenschutzmanagement-Systems

Um die oben beschriebenen Nachweis- und Rechenschaftspflichten zu erfüllen, empfiehlt sich ein Datenschutz-Managementsystem. Ähnlich wie bei anderen Managementsystemen (BSI-Grundschutz, ISO 27001) bietet sich hier das bewährte Verfahren nach dem PDCA-Zyklus an.

Mit diesem Verfahren soll ein kontinuierlicher Verbesserungsprozess etabliert werden. Im Rahmen dieses Verfahrens werden die technischen und organisatorischen Maßnahmen erst erdacht und geplant (»plan«), im »Kleinen Kreis« getestet (»do«), die Wirksamkeit überprüft (»check«), gegebenenfalls angepasst und dann im »Großen« eingeführt (»act«). Da es sich bei diesem Verfahren um einen Kreislauf handelt, wird sichergestellt, dass nach jeder Verbesserung der Maßnahmen stets eine erneute Überprüfung zu erfolgen hat.

Sofern das Vorgehen im Rahmen des PDCA-Zyklus ausreichend detailliert dokumentiert wird, sollte damit die durch die Datenschutz-Grundverordnung festgelegte Nachweis- und Rechenschaftspflicht gesetzeskonform umgesetzt werden können.

Durch die Implementierung des Datenschutzmanagement-Systems können die folgenden Ziele erreicht werden:

  • Verringerung der Eintrittswahrscheinlichkeit für Datenschutzverstöße oder Datenpannen,
  • im Falle des Eintritts eines Datenschutzverstoßes, Begrenzung des Schadens und des Risikos für die betroffenen Personen,
  • Nachweis der datenschutzkonformen Umsetzung der Anforderungen der Datenschutz-Grundverordnung.

Pflicht zur Nachweisbarkeit (Dokumentationspflichten)

Grundlegendes Instrument für die Datenschutzorganisation eines Verantwortlichen ist ein Datenschutz- und Informationssicherheitskonzept. Das Datenschutzkonzept sollte gut strukturiert sein und die Aufgaben für die verschiedenen Organisationseinheiten in einem Unternehmen oder einer Organisation sauber trennen. Nur dann ist für jeden nachvollziehbar, welche Maßnahmen er für den Datenschutz zu ergreifen hat.

  • Ziel und Gültigkeitsbereich
  • übergreifende Leitlinie zum Datenschutz
  • Festlegungen zur Verantwortlichkeit für den Datenschutz (übergreifend und in Spezialfragen), zum Beispiel Festlegung der Abteilung, des Sachgebietes etc. welches für die Verarbeitung der Daten zuständig ist, Zuständigkeit für die Bearbeitung von Beschwerden oder Auskunftsersuchen, evtl. Festlegungen zur Auftragsdatenverarbeitung, frühzeitige Einbeziehung des Datenschutzbeauftragten in die Verfahrenseinführung bzw. bereits zum Zeitpunkt der Verfahrensausschreibung
  • Verhalten bei Datenschutzpannen (Meldewege, Zuständigkeiten)
  • Datenschutzbeauftragter, Aufgaben usw.
  • Verzeichnis von Verarbeitungstätigkeiten
  • Datenschutz-Folgenabschätzungen
  • Erläuterungen zum Schutzbedarf und Verfahren, um den Schutzbedarf zu bestimmen
  • Maßnahmen für die Sicherheit der Verarbeitung, übergreifend und für spezielle Datenkategorien
  • organisatorische Richtlinien (wie Backup, Virenschutz, Protokollierung)
  • Regelungen für den Fall der Auftragsverarbeitung
  • Datenschutz-Unterweisungen
  • regelmäßige Datenschutz-Kontrollen und Audits

Weitere praktische Hinweise zur Erstellung von Datenschutz- und Informationssicherheitskonzepten für öffentliche Stellen sind auch im Handlungsleitfaden zum Sächsischen E-Government-Gesetz zu finden.

Verzeichnis von Verarbeitungstätigkeiten

Nach Artikel 30 DSGVO hat jeder Verantwortliche und gegebenenfalls sein Vertreter ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, zu führen. Dieses Verzeichnis hat sämtliche folgenden Angaben:

a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

b) die Zwecke der Verarbeitung;

c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO zu enthalten.

Das Verzeichnis betrifft sämtliche – auch teilweise – automatisierten Verarbeitungen sowie nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Grundsätzlich ist jeder Verantwortlicher und auch jeder Auftragsverarbeiter zur Erstellung und Führung eines solchen Verzeichnisses verpflichtet. Nur Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, müssen keine Verzeichnisse führen (Artikel 30 Absatz 5 DSGVO). Dies gilt jedoch wiederum nicht, falls

  • die von ihnen vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt oder
  • die Verarbeitung nicht nur gelegentlich erfolgt oder
  • die Verarbeitung besondere Datenkategorien gemäß Artikel 9 Absatz 1 DSGVO (zum Beispiel Gesundheitsdaten, Daten zur Religionszugehörigkeit) oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO betrifft.

Die Pflicht zum Führen des Verarbeitungsverzeichnisses besteht bereits dann, wenn eine der genannten Bedingungen erfüllt ist (»oder«).

Dies ist in aller Regel der Fall, da es nicht (wie bei der Datenschutz-Folgenabschätzung) darauf ankommt, dass es sich voraussichtlich um ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen handelt, sondern dem Wortlaut der Vorschrift nach jedes Risiko für die Rechte und Freiheiten bezüglich der Verarbeitung ausreicht. Außerdem wird auch die Verarbeitung in den meisten Fällen nicht nur gelegentlich erfolgen. Es sollte also in der Praxis davon ausgegangen werden, dass eine Pflicht zur Führung eines Verarbeitungsverzeichnisses besteht. Die Erstellung eines vollständigen Verzeichnisses von Verarbeitungstätigkeiten ist übrigens auch im eigenen Interesse, denn es dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gemäß Artikel 5 Absatz 2 DSGVO nachweisen zu können, dass die Vorgaben aus der Datenschutz-Grundverordnung eingehalten werden (Rechenschaftspflicht).

Artikel 30 Absatz 1 Buchstabe g und Artikel 30 Absatz 2 Buchstabe d DSGVO geben vor, dass das Verzeichnis, wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO enthalten soll. Wie detailliert diese Beschreibung sein muss, lässt sich der Datenschutz-Grundverordnung nicht unmittelbar entnehmen. Jedenfalls sollte die Beschreibung der Maßnahmen nach Artikel 32 DSGVO so konkret erfolgen, dass die Sächsische Datenschutzbeauftragte eine erste Rechtmäßigkeitsüberprüfung vornehmen kann. Unterstützende Orientierung kann das Standard-Datenschutzmodell geben, das hierzu eine strukturierte Herangehensweise anbietet.

Weitere Informationen

Eine Muster-Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DSGVO finden Sie nachfolgend:

Technische und organisatorische Maßnahmen für ausgewählte Fälle

Die Tatsache, dass ein Ransomware-Angriff stattfinden konnte, ist in der Regel ein Zeichen für eine oder mehrere Schwachstellen im System des Verantwortlichen. Dies gilt auch für Ransomware-Fälle, in denen personenbezogene Daten zwar verschlüsselt, aber nicht exfiltriert wurden. Unabhängig vom Ausgang und den Folgen des Angriffs kann die Bedeutung einer umfassenden Evaluierung des Datensicherheitssystems – unter besonderer Berücksichtigung der IT-Sicherheit – nicht genug betont werden. Die festgestellten Schwachstellen und Sicherheitslücken sind unverzüglich zu dokumentieren und zu beheben.

Empfehlenswerte Maßnahmen:

Hinweis: Die Aufzählung der folgenden Maßnahmen ist keineswegs erschöpfend oder vollständig. Ziel ist es vielmehr, Ideen zur Vorbeugung und mögliche Lösungen aufzuzeigen. Jede Verarbeitungstätigkeit ist anders, daher sollte der Verantwortliche entscheiden, welche Maßnahmen für die jeweilige Situation am besten geeignet sind.

  • Gewährleistung der Aktualität der Firmware, des Betriebssystems und der Anwendungssoftware auf den Servern, Client-Rechnern, aktiven Netzwerkkomponenten und allen anderen Rechnern im selben lokalen Netz (einschließlich Wi-Fi-Geräten). Sicherstellung, dass geeignete IT-Sicherheitsmaßnahmen vorhanden sind, dass sie wirksam sind und dass sie regelmäßig aktualisiert werden, wenn sich die Verarbeitung oder die Umstände ändern oder weiterentwickeln. Dazu gehört auch die Führung detaillierter Protokolle darüber, welche Patches zu welchem Zeitpunkt angewendet wurden,
  • Entwurf und Organisation von Verarbeitungssystemen und Infrastrukturen zur Segmentierung oder Isolierung von Datensystemen und Netzwerken, um die Ausbreitung von Schadprogrammen innerhalb des Unternehmens und auf externe Systeme zu verhindern,
  • Vorhandensein eines aktuellen, sicheren und getesteten Sicherungsverfahrens. Medien für mittel- und langfristige Sicherungskopien sollten von der betrieblichen Datenspeicherung getrennt und auch im Falle eines erfolgreichen Angriffs für Dritte unzugänglich aufbewahrt werden (z. B. tägliche stufenweise Sicherung und wöchentliche Vollsicherung),
  • Besitz/Beschaffung einer angemessenen, aktuellen, wirksamen und integrierten Anti-Malware-Software,
  • Vorhandensein einer angemessenen, aktuellen, wirksamen und integrierten Firewall sowie eines Angriffserkennungs- und -präventionssystems sowie Leitung des Netzwerkverkehrs durch die Firewall bzw. das Angriffserkennungssystem, auch im Fall von Arbeit im Home Office oder von mobiler Arbeit (z. B. durch Nutzung von VPN-Verbindungen zu organisatorischen Sicherheitsmechanismen beim Internetzugriff),
  • Schulung der Mitarbeiter in den Methoden zur Erkennung und Abwehr von IT-Angriffen. Der Verantwortliche sollte Mittel zur Verfügung stellen, um festzustellen, ob die über andere Kommunikationsmittel erhaltenen E-Mails und Nachrichten authentisch und vertrauenswürdig sind. Die Mitarbeiter sollten darin geschult werden, zu erkennen, wann ein solcher Angriff stattgefunden hat, wie das Endgerät aus dem Netz genommen werden kann und dass sie verpflichtet sind, dies unverzüglich dem Sicherheitsbeauftragten zu melden,
  • Betonung der Notwendigkeit, den Typ des Schadprogramms zu identifizieren, um die Folgen des Angriffs zu erkennen und die richtigen Maßnahmen zur Minderung des Risikos zu finden. Sollte ein Ransomware- Angriff erfolgreich gewesen sein und keine Sicherheitskopie vorhanden sein, können Tools wie die des Projekts »no more ransom« (nomoreransom.org) eingesetzt werden, um Daten wiederherzustellen. Sollte jedoch eine Sicherungskopie vorhanden sein, ist es ratsam, die Daten daraus wiederherzustellen,
  • Weiterleitung oder Replikation aller Protokolle an einen zentralen Protokollserver (möglicherweise einschließlich der Signierung oder kryptografischen Zeitstempelung von Protokolleinträgen),
  • starke Verschlüsselung und mehrstufige Authentifizierung, insbesondere für den administrativen Zugang zu IT-Systemen, angemessene Schlüssel- und Passwortverwaltung,
  • regelmäßige Schwachstellen- und Penetrationstests,
  • Einrichtung eines Computer-Notfallteams (Computer Security Incident Response Team, CSIRT) oder eines Reaktionsteams für IT-Sicherheitsvorfälle (Computer Emergency Response Team, CERT) innerhalb der Organisation oder Beitritt zu einem gemeinsamen CSIRT/CERT. Erstellung eines Reaktionsplans für Cybervorfälle, eines Plans für die Datenwiederherstellung im Falle eines Systemabsturzes und eines Plans zur Aufrechterhaltung des Geschäftsbetriebs sowie Sicherstellung, dass diese sorgfältig getestet werden,
  • bei der Bewertung von Gegenmaßnahmen sollte die Risikoanalyse überprüft, getestet und aktualisiert werden.

Ebenso wie im Falle von Ransomware-Angriffen ist eine Neubewertung der IT-Sicherheit für Verantwortliche in ähnlichen Fällen unabhängig vom Ausgang und den Folgen des Angriffs obligatorisch.

Empfehlenswerte Maßnahmen:

Hinweis: Die Aufzählung der folgenden Maßnahmen ist keineswegs erschöpfend oder vollständig. Ziel ist es vielmehr, Ideen zur Vorbeugung und mögliche Lösungen aufzuzeigen. Jede Verarbeitungstätigkeit ist anders, daher sollte der Verantwortliche entscheiden, welche Maßnahmen für die jeweilige Situation am besten geeignet sind.

  • modernste Verschlüsselung und Schlüsselverwaltung, insbesondere bei der Verarbeitung von Passwörtern, sensiblen oder finanziellen Daten. Kryptographisches Hashing und Salting für geheime Informationen (Passwörter) ist immer der Verschlüsselung von Passwörtern vorzuziehen. Authentifizierungsmethoden, die eine Verarbeitung von Passwörtern auf der Serverseite überflüssig machen, sind zu bevorzugen,
  • Aufrechterhaltung der Aktualität des Systems (Software und Firmware). Sicherstellung, dass alle IT- Sicherheitsmaßnahmen vorhanden und wirksam sind und dass sie regelmäßig aktualisiert werden, wenn sich die Verarbeitung oder die Umstände ändern oder weiterentwickeln. Um die Einhaltung von Artikel 5 Absatz 1 Buchstabe f DSGVO im Einklang mit Artikel 5 Absatz 2 DSGVO nachweisen zu können, sollte der Verantwortliche Aufzeichnungen über alle durchgeführten Aktualisierungen führen, einschließlich des Zeitpunkts, zu dem sie durchgeführt wurden,
  • Verwendung starker Authentifizierungsmethoden wie Zwei-Faktor-Authentifizierung und Authentifizierungsserver, ergänzt durch eine moderne Passwortpolitik,
  • zu den Standards für eine sichere Entwicklung gehören die Filterung (soweit möglich unter Verwendung von Whitelists) und Maskierung von Benutzereingaben und Maßnahmen zur Verhinderung von Brute-Force-Eingaben (z. B. Begrenzung der maximalen Anzahl von Wiederholungsversuchen). »Web Application Firewalls« können bei der wirksamen Anwendung dieser Technik helfen,
  • starke Benutzerrechte und Zugangskontrollpolitik,
  • Einsatz angemessener, aktueller, wirksamer und integrierter Firewall-, Angriffserkennungs- und anderer Perimeterschutzsysteme, systematische IT-Sicherheitsprüfungen und Schwachstellenanalysen (Penetrationstests),
  • regelmäßige Überprüfungen und Tests, um sicherzustellen, dass Sicherungskopien zur Wiederherstellung von Daten, deren Integrität oder Verfügbarkeit beeinträchtigt wurde, verwendet werden können,
  • keine Sitzungs-ID in der URL im Klartext.

Eine Kombination der nachstehend genannten Maßnahmen, die je nach den Besonderheiten des Falles angewandt werden, sollte dazu beitragen, die Wahrscheinlichkeit einer ähnlichen Verletzung zu verringern.

Empfehlenswerte Maßnahmen:

Hinweis: Die Aufzählung der folgenden Maßnahmen ist keineswegs erschöpfend oder vollständig. Ziel ist es vielmehr, Ideen zur Vorbeugung und mögliche Lösungen aufzuzeigen. Jede Verarbeitungstätigkeit ist anders, daher sollte der Verantwortliche entscheiden, welche Maßnahmen für die jeweilige Situation am besten geeignet sind.

  • regelmäßige Durchführung von Schulungs-, Aufklärungs- und Sensibilisierungsprogrammen für Mitarbeiter in Bezug auf ihre Datenschutz- und Sicherheitspflichten sowie die Erkennung und Meldung von Bedrohungen für die Sicherheit personenbezogener Daten. Entwicklung eines Sensibilisierungsprogramms, um die Mitarbeiter an die häufigsten Fehler zu erinnern, die zu Verletzungen des Schutzes personenbezogener Daten führen, und daran, wie diese vermieden werden können,
  • Einführung robuster und wirksamer Praktiken, Verfahren und Systeme zum Schutz von Daten und Privatsphäre,
  • Bewertung der Praktiken, Verfahren und Systeme zum Schutz der Privatsphäre, um eine fortlaufende Wirksamkeit zu gewährleisten,
  • Erstellung angemessener Zugangskontrollstrategien und Erzwingen der Einhaltung der Regeln durch die Benutzer,
  • Anwendung von Techniken, die eine Benutzerauthentifizierung beim Zugriff auf sensible persönliche Daten erzwingen,
  • Deaktivierung des unternehmensbezogenen Kontos des Nutzers, sobald die Person das Unternehmen verlässt,
  • Überprüfung ungewöhnlicher Datenflüsse zwischen dem Dateiserver und den Arbeitsplätzen der Mitarbeiter,
  • Einrichtung der I/O-Schnittstellensicherheit im BIOS oder durch den Einsatz von Software, die die Nutzung von Computerschnittstellen kontrolliert (Sperren oder Entsperren von z. B. USB/CD/DVD usw.),
  • Überprüfung der Zugriffsrichtlinien der Mitarbeiter (z. B. Protokollierung des Zugriffs auf sensible Daten und Anforderung an den Nutzer, einen geschäftlichen Grund anzugeben, damit dieser für Audits zur Verfügung steht),
  • Deaktivierung offener Cloud-Dienste,
  • Verbieten und Verhindern des Zugriffs auf bekannte offene E-Mail-Dienste,
  • Deaktivierung der Bildschirmdruckfunktion im Betriebssystem,
  • Durchsetzung einer Strategie des aufgeräumten Schreibtisches,
  • automatisches Sperren aller Computer nach einer bestimmten Zeit der Inaktivität,
  • Verwendung von Mechanismen (z. B. (drahtlose) Token zur Anmeldung/zum Öffnen gesperrter Konten) für schnelle Benutzerwechsel in gemeinsam genutzten Umgebungen,
  • Verwendung spezieller Systeme für die Verwaltung personenbezogener Daten, die angemessene Zugangskontrollmechanismen anwenden und menschliche Fehler, wie etwa das Senden von Mitteilungen an die falsche Person, verhindern. Die Verwendung von Tabellenkalkulationen und anderen Bürodokumenten ist kein geeignetes Mittel für die Verwaltung von Kundendaten.

Eine Kombination der nachstehend genannten Maßnahmen, die je nach den Besonderheiten des Falles angewandt werden, sollte dazu beitragen, die Wahrscheinlichkeit einer ähnlichen Verletzung zu verringern.

Empfehlenswerte Maßnahmen:

Hinweis: Die Aufzählung der folgenden Maßnahmen ist keineswegs erschöpfend oder vollständig. Ziel ist es vielmehr, Ideen zur Vorbeugung und mögliche Lösungen aufzuzeigen. Jede Verarbeitungstätigkeit ist anders, daher sollte der Verantwortliche entscheiden, welche Maßnahmen für die jeweilige Situation am besten geeignet sind.

  • Aktivierung der Geräteverschlüsselung (z. B. Bitlocker, Veracrypt oder DM-Crypt),
  • Verwendung eines Passcodes/Passworts auf allen Geräten. Verschlüsselung aller mobilen elektronischen Geräte dahingehend, dass zur Entschlüsselung die Eingabe eines komplexen Passworts erforderlich ist,
  • Verwendung einer mehrstufigen Authentifizierung
  • Aktivierung von Lokalisierungsfunktionen für hochmobile Geräte, damit diese im Fall von Verlust oder Verlegen lokalisiert werden können,
  • Verwendung einer Software/Anwendung zur Verwaltung mobiler Geräte (Mobile Devices Management, MDM) und Lokalisierung. Einsatz von Blendschutzfiltern. Abschaltung aller unbeaufsichtigten Geräte,
  • soweit möglich und für die betreffende Datenverarbeitung geeignet, Speicherung der personenbezogenen Daten nicht auf einem mobilen Gerät, sondern auf einem zentralen Back-End- Server,
  • wenn der Arbeitsplatz mit dem Unternehmensnetzwerk verbunden ist, Durchführung einer automatischen Sicherung von den Arbeitsordnern, sofern es unvermeidbar ist, dass dort personenbezogene Daten gespeichert werden,
  • Verwendung eines sicheren VPN (das z. B. einen separaten zweiten Authentifizierungsschlüssel für den Aufbau einer sicheren Verbindung erfordert), um mobile Geräte mit Back-End-Servern zu verbinden,
  • Bereitstellung von physischen Schlössern für Mitarbeiter, damit diese die von ihnen verwendeten mobilen Geräte physisch sichern können, wenn sie unbeaufsichtigt sind,
  • angemessene Regulierung der Gerätenutzung außerhalb des Unternehmens,
  • angemessene Regulierung der Gerätenutzung innerhalb des Unternehmens,
  • Verwendung von MDM-Software/Anwendungen und Aktivierung der ferngesteuerten Löschfunktion,
  • Verwendung eines zentralisierten Geräteverwaltungssystems mit minimalen Rechten für die Endnutzer zur Installation von Software,
  • Installation von physischen Zugangskontrollen,
  • Vermeidung der Speicherung sensibler Informationen auf mobilen Geräten oder Festplatten. Wenn auf das interne System des Unternehmens zugegriffen werden muss, sollten sichere Kanäle verwendet werden, wie bereits erwähnt.

Eine Kombination der nachstehend genannten Maßnahmen, die je nach den Besonderheiten des Falles angewandt werden, sollte dazu beitragen, die Wahrscheinlichkeit einer ähnlichen Verletzung zu verringern.

Empfehlenswerte Maßnahmen:

Hinweis: Die Aufzählung der folgenden Maßnahmen ist keineswegs erschöpfend oder vollständig. Ziel ist es vielmehr, Ideen zur Vorbeugung und mögliche Lösungen aufzuzeigen. Jede Verarbeitungstätigkeit ist anders, daher sollte der Verantwortliche entscheiden, welche Maßnahmen für die jeweilige Situation am besten geeignet sind.

  • Festlegung genauer Vorgaben – ohne Interpretationsspielraum – für den Versand von Briefen/E- Mails,
  • angemessene Schulung des Personals für den Versand von Briefen/E-Mails,
  • standardmäßige Auflistung von Empfängern im Feld »Bcc« beim Versand von E-Mails an mehrere Empfänger,
  • erforderliche zusätzliche Bestätigung beim Versand von E-Mails an mehrere Empfänger, die nicht im Feld »Bcc« aufgeführt sind,
  • Anwendung des Vier-Augen-Prinzips,
  • automatische Adresseingabe anstelle der manuellen Eingabe, wobei die Daten aus einer verfügbaren und aktuellen Datenbank entnommen werden; das automatische Adressierungssystem sollte regelmäßig überprüft werden, damit versteckte Fehler und falsche Einstellungen erkannt werden,
  • Anwendung der Nachrichtenverzögerung (z. B. die Nachricht kann innerhalb einer bestimmten Zeitspanne nach Anklicken der Drucktaste gelöscht/bearbeitet werden),
  • Deaktivierung der automatischen Vervollständigung bei der Eingabe von E-Mail-Adressen,
  • Veranstaltungen zur Sensibilisierung für die häufigsten Fehler, die zu einer Verletzung des Schutzes personenbezogener Daten führen,
  • Schulungen und Handbücher über den Umgang mit Vorfällen, die zu einer Verletzung des Schutzes personenbezogener Daten führen, und darüber, wer zu benachrichtigen ist (Einbeziehung des behördlichen Datenschutzbeauftragten).

Weitere Informationen

zurück zum Seitenanfang