Welche Maßnahmen zur Datensicherheit gibt es?

Maßnahmen zur Datensicherheit sollen Datenmanipulation, Datenverlust oder unberechtigte Datenkenntnisnahme verhindern.

Mindestanforderungen an die Datensicherheit

Maßnahmen zur Datensicherheit sollen Datenmanipulation, Datenverlust oder unberechtigte Datenkenntnisnahme verhindern. Bereits im alten § 9 Bundesdatenschutzgesetz (inkl. Anlage), waren technische und organisatorische Maßnahmen (TOMs)vorgegeben, um die drei wichtigsten Schutzziele für Informations- und Datensicherheit: Vertraulichkeit, Integrität und Verfügbarkeit der Daten dauerhaft zu gewährleisten.

Am 25. Mai 2018 tritt zusammen mit der EU-Datenschutz-Grundverordnung (DSGVO) auch ein neues Bundesdatenschutzgesetz (BDSG-neu) in Kraft. Das alte BDSG wird vollständig abgelöst. Die bisherigen technischen und organisatorischen Maßnahmen zur Datensicherheit finden sich zwar im § 64 BDSG-neu weitestgehend wieder, wurden aber erheblich erweitert und teilweise neu formuliert. Zu den drei bereits genannten Schutzzielen kommt gemäß Art. 32 DSGVO als weiteres Schutzziel die Belastbarkeit der Systeme hinzu. Um diese Anforderung zu erfüllen sollten Unternehmen ein funktionierendes Notfallmanagement etablieren, um bei Systemstörungen angemessen und schnell reagieren zu können. Der Artikel 32 EU-DSGVO schreibt für Verarbeiter von personenbezogenen Daten generell die Verpflichtung fest, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko entsprechendes Schutzniveau der Daten zu gewährleisten. Als erste Orientierung für die Implementierung entsprechender Standards kann ein Arbeitspapier der deutschen Aufsichtsbehörden für den Datenschutz dienen, welches die von der EU-DSGVO geforderten Schutzziele stichwortartig aufführt, leider ohne sie zu konkretisieren.
Alle die im folgenden aufgeführten Schutzziele sind durch geeignete Maßnahmen zu gewährleisten bzw. sicherzustellen:

  • Datenpseudonymisierung
  • Datenverschlüsselung
  • Datenvertraulichkeit
  • Datenintegrität
  • Datenverfügbarkeit
  • Systembelastbarkeit

Neu gefordert sind desweiteren Datenwiederherstellungs-Verfahren die sicherstellen, das Daten die aufgrund eines Störfalls zerstört oder gelöscht wurden rekonstruiert werden können. Ein solcher Störfall kann z.B. eine Infizierung mit Computer-Viren sein. Dann hilft nur ein Recovery der Daten mittels vorher erstellter Datensicherungen oder Backups. Des Weiteren fordert die DSGVO, das die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig einer Risikoanalyse zu unterziehen und neu zu bewerten sind (z.B. durch Penetrationstests).

Die Sicherungsmaßnahmen nach DSGVO

Bei den in der DSGVO genannten Anforderungen handelt es sich um Schutzziele, die mit entsprechend geeigneten Maßnahmen erst erreicht werden müssen. Hilfreich ist dabei der Maßnahmenkatalog des § 64 Absatz 3 BDSG-neu, in welchem auf folgende technisch-organisatorische Maßnahmen zur Umsetzung der DSGVO verwiesen wird:
Zugangskontrolle: Verhindert das Nichtberechtigte Zutritt zu Datenverarbeitungsanlagen erhalten. Primärmaßnahmen: Pförtner, Schließsysteme, Videoüberwachung und Alarmanlagen.

  • Datenträgerkontrolle: Verhindert das Nichtberechtigte Datenträger lesen, kopieren, verändern oder löschen können. Primärmaßnahmen: sichere Aufbewahrung der Datenträger und Datenträgerverschlüsselung.
  • Speicherkontrolle: Verhindert das Nichtberechtigte personenbezogene Daten eingeben, gespeicherte Daten zur Kenntnis nehmen, verändern oder löschen können. Primärmaßnahmen: Benutzerauthentifizierung und -identifizierung.
  • Benutzerkontrolle: Verhindert das Nichtberechtigte automatisierte Datenverarbeitungssysteme mittels Datenübertragung nutzen können. Primärmaßnahmen: Sperrung von Schnittstellen, z.B. USB-Ports.
  • Zugriffskontrolle: stellt sicher das die Berechtigten zur Benutzung eines automatisierten Datenverarbeitungssystems ausschließlich auf Daten zugreifen können, auf die sie zugriffsberechtigt sind. Primärmaßnahmen: systemseitige Umsetzung von Berechtigungskonzepten und die Vergabe differenzierter Nutzungsberechtigungen.
  • Übertragungskontrolle: stellt die nachträgliche Überprüfung und Feststellung sicher, wohin personenbezogene Daten mittels Datenübertragung übermittelt oder zur Verfügung gestellt wurden und wo eine Übermittlung solcher Daten im DV-System vorgesehen ist. Primärmaßnahmen: Protokollierungsverfahren.
  • Eingabekontrolle: stellt die nachträgliche Überprüfung und Feststellung sicher, ob und von wem personenbezogene Daten eingegeben, verändert oder gelöscht worden sind. Primärmaßnahmen: Prüfsummenvalidierung, Protokollierungsverfahren und Logbücher.
  • Transportkontrolle: stellt sicher das bei der Übermittlung personenbezogener Daten oder beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt ist. Primärmaßnahmen: VPN, Firewall, verschlossene Transportbehälter, Versandnachweise, Anwendung digitaler Signaturen und Verschlüsselungsverfahren
  • Wiederherstellbarkeit: stellt sicher das Systeme und Daten im Störungsfall wiederhergestellt werden können. Primärmaßnahmen: Backupsysteme und Datensicherung.
  • Zuverlässigkeit: stellt sicher das Systemfunktionen vollständig zur Verfügung stehen und auftretende fehlerhafte Funktionen bemerkt werden. Primärmaßnahmen: Fernanzeige von Störungen.
  • Datenintegrität: stellt sicher das gespeicherte personenbezogene Daten nicht durch fehlerhafte Systemfunktionen beschädigt werden. Primärmaßnahmen: Einsatz redundanter Systeme (RAID).
  • Auftragskontrolle: stellt sicher das personenbezogene Daten die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden. Primärmaßnahmen: klare vertragliche Regelungen, Kontrollbefugnisse, Vor-Ort Kontrollen und Vertragsstrafen.
  • Verfügbarkeitskontrolle: verhindert das personenbezogene Daten zerstört werden oder verloren gehen. Primärmaßnahmen: Brandschutz, Überspannungsschutz, Virenschutz und unterbrechungsfreie Stromversorgung (USV).
  • Trennbarkeit: stellt sicher das personenbezogene Daten die zu unterschiedlichen Zwecken erhoben wurden, getrennt verarbeitet werden. Primärmaßnahmen: getrennte Datenbanken und Ordnerstrukturen.
Passende Artikel zum Thema:
Lösungen

Wir vervollständigen Ihre Datensicherheit.

Mit Cloony.co sind Sie auf der sicheren Seite und für jede datenschutzrelevante Situation im E-Mail Marketing vorbereitet.

Kundendaten Überwachung

Mehr erfahren

Missbrauchs Monitoring

Mehr erfahren

Beweissicherung

Mehr erfahren

Präventivschutz

Mehr erfahren

Notfallpaket

Mehr erfahren

Forensik Erweiterung

Mehr erfahren

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Mehr Infos