Datenschutz

“IT-Sicherheit”: Checkliste der Datenschutz-Aufsicht Bayern

16.10.2020

IITR Information[IITR – 16.10.20] Das Bayerische Landesamt für Datenschutzaufsicht (Datenschutz-Aufsichtsbehörde für Unternehmen in Bayern) hat eine lesenswerte Checkliste für kleine und mittlere Unternehmen veröffentlicht, welche technischen und organisatorischen Maßnahmen zur Erfüllung der DSGVO-Vorgaben an die Informationssicherheit (Art. 32 DSGVO – Sicherheit der Verarbeitung) geprüft werden sollten.

Die Unterlagen orientieren sich an Vorveröffentlichungen der französischen Aufsichtsbehörde CNIL. In dem Vorwort heißt es dazu:

“Von der Struktur der Gliederung dieses Papier findet eine starke Orientierung an der Veröffentlichung zur Sicherheit personenbezogener Daten der französischen Datenschutzaufsichtsbehörde statt. Diesen Ansatz, der sich vom Prinzip auch in internationalen Normen zur Informationssicherheit wiederfindet, betrachten wir gerade für klassische Verarbeitungen bei kleinen und mittleren Unternehmen als einen möglichen und interessanten Weg.”

Die Checkliste selbst unterteilt die Themen wie folgt:

  1. Management und Organisation
  2. Physikalische Sicherheit der Infrastruktur
  3. Awareness der Mitarbeiter
  4. Authentifizierung
  5. Rollen-/Rechtekonzept
  6. Endgeräte (Clients)
  7. Mobile Datenspeicher
  8. Serversysteme
  9. Websites und Webanwendungen
  10. Netzwerk
  11. Archivierung
  12. Wartung durch Dienstleister
  13. Protokollierung
  14. Business Continuity
  15. Kryptographie
  16. Datentransfer
  17. Entwicklung und Auswahl von Software
  18. Auftragsverarbeiter

Best Practice

Checkliste des Bayerischen Landesamts für Datenschutzaufsicht zur technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO.

In den einleitenden Hinweisen heißt es:

“Die in diesem Papier dargestellten TOM stellen keinesfalls einen Anspruch auf Vollständigkeit dar, sondern sollen als Empfehlung eines gelebten Good-Practice verstanden werden. (…) Diese Checkliste dient deshalb insbesondere dazu, kleinen und mittleren Unternehmen eine Auswahl an TOM anzubieten, die bei geläufigen Verarbeitungstätigkeiten innerhalb eines Betriebs verwendet werden können. (…) Das Abstraktionsniveau der Maßnahmen dieser Liste unterscheidet sich insgesamt sehr stark – teilweise sind z. B. sehr wirksame technische Einstellungen bei Systemen im Detail aufgeführt, teilweise auch grundsätzliches Vorgehen auf Konzeptebene.”

Die Datenschutzgrundverordnung fordert von Unternehmen an sich, die eigenen technischen und organisatorischen Maßnahmen im Rahmen eines strukturierten Prozesses laufend auf ihre Tauglichkeit gemessen an der Risiko-Situation zu prüfen und anzupassen. Neben der in der Unternehmenspraxis dazu bei größeren Organisationen weit verbreiteten Norm zur Informationssicherheit (ISO 27001/27002 und der darauf aufbauenden Norm ISO27701 für das Datenschutz-Management; vgl. dazu auch unser Compliance-Kit 2.0) steht kleineren Unternehmen und Kommunen der Zertifizierungs-Standard ISIS12 zur Verfügung. Der öffentliche Bereich im Bund orientiert sich am IT-Grundschutz-Kompendium des BSI (und dem daran methodisch angelehnten Standard-Datenschutzmodell SDM, dessen Ansatz im Gegensatz zur ISO27001/27002 nicht die Risiko-Perspektive des Unternehmens sondern des Betroffenen einnimmt).

Die Checkliste kann also kein strukturiertes Informationssicherheits-Management ersetzen (und will dies explizit auch nicht), gibt aber gerade kleineren (mit der Befassung beim Thema Informationssicherheit fachlich häufig überforderten) Unternehmen eine praxistaugliche Übersicht an die Hand, welche Themen im Bereich Informationssicherheit adressiert bzw. geprüft werden sollten.

Ergänzend können Unternehmen ihre eigene Datenschutz-Situation über unser webbasiertes Audit-Werkzeug PSE prüfen lassen. Weitere Informationen…

Die Checkliste des Bayerischen Landesamts für Datenschutzaufsicht zu den technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO können Sie hier einsehen.

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Rechtsanwalt Dr. Sebastian Kraska

Über den Autor - Rechtsanwalt Dr. Sebastian Kraska

Herr Dr. Sebastian Kraska gründete die IITR Datenschutz GmbH, die auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und als Anbieter von Datenschutz-Management-Systemen mehr als 2.500 Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt.

Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie gemeinsam mit Regionalpartnern als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden. Er ist zudem Beirat der Zeitschrift ZD des Beck-Verlages.

Beitrag teilen:

1 Kommentar zu diesem Beitrag:

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

IITR Chatbot IITR Chatbot