Nachbericht IHK-Vortrag: Technische und organisatorische Maßnahmen

Jedes Unternehmen muss Maßnahmen zum Schutz personenbezogener Daten ergreifen, die insbesondere technischer und organisatorischer Natur sein sollen. Doch was heißt das genau und was ist zu tun? Zu diesen Fragen hielt Julian Häcker am 19. Januar 2018 knapp 4 Monate vor Geltung der Datenschutz-Grundverordnung (DS-GVO) einen Vortrag im Rahmen der IHK-Veranstaltung: „Die Datenschutz-Grundverordnung – was nun zu tun ist“.

 

Im ersten Teil der Veranstaltung gab Frau Dr. Sonja Kreß von BRP Renaud und Partner mbB Rechtsanwälte einen generellen Überblick über die wesentlichen Änderungen durch die DS-GVO. Unter anderem stellte sie die neuen Rechtsgrundlagen, Anforderungen bei der Übermittlung von Daten in Drittländer, Änderungen bei der Auftragsverarbeitung, die Bestellpflicht zum Datenschutzbeauftragten und zu Meldepflichten bei Datenschutzverletzungen sowie die Pflicht zur Führung eines Datenschutzmanagements vor.

 

Risikobasierte Prüfung von Datenverarbeitungsprozessen

Im zweiten Teil ging Julian Häcker dann detailliert auf die Sicherheit der Verarbeitung bzw. die technischen und organisatorischen Maßnahmen der Datenverarbeitung ein. Jedes Unternehmen muss seine Datenverarbeitungsprozesse risikobasiert überprüfen und dabei die Sensibilität und das Ausmaß der Datenverarbeitung prüfen und davon abgeleitet Schutzmaßnahmen treffen.

 

Auf ein Beispiel übertragen bedeutet dies, dass insbesondere für den Umgang mit Personaldaten in der Lohn- und Gehaltsabrechnung entlang der gesamten Prozesskette ein angemessener Schutz gewährleistet sein muss. Fahrlässig wäre somit die ungeschützte Übermittlung sensibler Daten an den Steuerberater ohne Verschlüsselung oder auf einem ungeschützten Speichermedium.

Ansätze zu Bewertung können z.B. vom Standard-Datenschutzmodell oder von der Risikobetrachtung beim IT-Grundschutz abgeleitet werden. Insbesondere die Sachverhalte bei denen der Schutzbedarf sehr hoch ist, sind durch zusätzliche Risikoprüfungen zu bewerten. Auf Basis von Praxiserfahrungen sind für Unternehmen die Personalverfahren von großer Bedeutung, je nach Aktivitätsbereich des Unternehmens könnten auch medizinische Daten, Verbrauchs- oder Verhaltensdaten hierunter fallen oder auch Verfahren zur Videoüberwachung oder einer anlasslosen und permanenten Leistungskontrolle.

 

Umsetzen von technischen und organisatorischen Maßnahmen

In einem weiteren Schritt werden dann die Schutzmaßnahmen zur Absicherung der Prozesse geprüft und sofern erforderlich weiter verstärkt. Neben den bereits bisher bekannten Kontrollarten (Zutritt, Zugang, Zugriff, Trennung, Weitergabe, Eingabe, Verfügbarkeit und rasche Wiederherstellbarkeit) orientiert sich die DS-GVO an den klassischen Zielen der IT-Sicherheit (Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit). Davon abgeleitet erhält die Pseudonymisierung, das Datenschutzmanagement, das Incident-Reponse-Management und Datenschutz durch Technik bzw. Datenschutz durch Voreinstellungen neue Bedeutung.

 

Angewendet auf das obige Beispiel könnten z.B. spezielle Meldeprozesse bei Unregelmäßigkeiten im Umgang mit den Lohn- und Gehaltsdaten etabliert werden. Man könnte definieren, welche Ansprechpartner bei Vorkommnissen zu informieren sind, um die Unregelmäßigkeit zu prüfen. Denkbar wäre auch, dass Auswertungen zu einzelnen Mitarbeitern durch den Ersatz von Nummern für Mitarbeiternamen pseudonymisiert werden, so dass im Falle einer Panne ein Rückschluss auf personenbezogene Daten erschwert oder vielleicht sogar unmöglich gemacht wird.

 

 

Wie ist die Vorgehensweise zur Bewertung und Umsetzung von technischen und organisatorischen Maßnahmen?

Eine mögliche Vorgehensweise zur Umsetzung der technischen und organisatorischen Maßnahmen könnte wie folgt aussehen:

  1. Auswahl des zu prüfenden Verarbeitungsverfahrens
  2. Dokumentation des Verfahrens (Informationssammlung)
  3. Risikoanalyse
  4. Risikobewertung
  5. Umsetzen von Maßnahmen
  6. Regelmäßige Kontrolle

 

Im Folgenden stellte Julian Häcker abschließend zwei Praxisbeispiele anhand des bitkom Leitfadens „Risk Assessment & Datenschutz-Folgenabschätzung“ und ein weiteres zur Regelung von Zugriffberechtigungen nach dem Need-to-Know-Prinzip vor.