Technische und Organisatorische Maßnahmen einfach erklärt
Das Thema Dokumentation und Prüfung der technischen und organisatorischen Maßnahmen klingt nach einem Berg Arbeit und vor allem klingt es kompliziert. Aber ganz so schlimm ist es gar nicht, eigentlich sind die meisten Schritte ziemlich logisch. In diesem Beitrag versuchen wir das Prinzip mal ganz simpel darzustellen.
Ganz Grundsätzlich – worum geht es eigentlich
Mit den technischen und organisatorischen Maßnahmen soll sichergestellt werden, dass personenbezogene Daten – ganz pauschal gesagt – sicher sind. Also dass kein Unbefugter an die Daten kommt und die rechtlichen Bestimmungen eingehalten werden. Dazu hat der Gesetzgeber verschiedene Aspekte definiert, die beachtet werden müssen.
Für das Verständnis ist es am einfachsten, wenn man sich das dahintersteckende Prinzip bildlich vorstellt.
Worum es bei der Zutrittskontrolle geht
Logisch eigentlich, dass die Zutrittskontrolle an erster Stelle steht. Schließlich muss ein Unbefugter erstmal in ein Gebäude reinkommen. Wenn der Unbefugte trotz Vorkehrungen ins Gebäude gelangt, verwehren weitere Maßnahmen im Gebäude den Zutritt zu sensiblen Bereichen. Übrigens – auch nicht befugte Mitarbeiter haben in sensiblen Bereichen, wie der Personalabteilung oder dem Rechenzentrum nichts zu suchen – die Zutrittskontrolle soll auch hierfür sorgen.
1. Wie ist das Gebäude vor Fremdzutritt geschützt?
Technisch zum Beispiel durch
– ordentliche Türen und Schlösser
– elektronische Zutrittssysteme
– Alarmanlage und/oder Videoüberwachung
– Vergitterte Fenster
Organisatorisch zum Beispiel durch
– Restriktive Schlüssel-/Tranponder-Ausgabe
– Dokumentation der Schlüssel/Transponder-Ausgabe
– Besucheranmeldung und Besucherbegleitung
– Wachdienst
2. Wie sind sensible Bereiche im Gebäude geschützt?
Wer trotzdem ins Gebäude gelangen sollte, muss nicht zwangsläufig damit schon Zugang zu sensiblen Bereichen haben. Schließlich muss ein Unbefugter erstmal in die Räumlichkeiten kommen, daher sind nachfolgende beispielhafte Maßnahmen sinnvoll.
Technisch zum Beispiel durch
– abschließbare Büros
– Bewegungsmelder im Serverraum
– vergitterte Fenster im Serverraum
Organisatorisch zum Beispiel durch
– Abschließen von Büros nach Dienstschluss
– Zutrittsverbote für fachfremde Mitarbeiter in sensible Bereiche
– Sensibilisierung für die Thematik
Worum es bei der Zugangskontrolle geht
Wer im Gebäude und in sensible Bereiche gelangt ist, hat die erste Hürde überwunden. Jetzt kommt die zweite Hürde, die Zugangskontrolle. Hier geht es darum, Unbefugte an dem tatsächlichen Zugang zu sensiblen Daten zu hindern. Egal um welche Art von Daten es sich handelt – elektronisch gespeichert oder Papier – der Gesetzgeber will sinnvollerweise, dass der Zugang zu diesen erschwert wird.
Hier kommen auch elektronische Hindernisse ins Spiel, die gegen unbefugten Datenzugang schützen.
1. Wie hindere ich einen Unbefugten daran, an elektronisch gespeicherte Daten zu kommen
Technisch zum Beispiel durch
– Einrichten von Benutzerkonten
– Anmelden an PCs nur mit Benutzername und Passwort
– Erzwungene Mindestanforderungen an Passwörter
– Verwendung von Firewall Systemen
– Verwendung von ordentlichen Virenscannern
– Automatische Bildschirmsperre
Technisch zum Beispiel durch
– Einrichten von Benutzerkonten
– Anmelden an PCs nur mit Benutzername und Passwort
– Erzwungene Mindestanforderungen an Passwörter
– Verwendung von Firewall Systemen
– Verwendung von ordentlichen Virenscannern
– Automatische Bildschirmsperre
2. Wie hindere ich einen Unbefugten am Zugang zu Daten auf Papier
Technisch zum Beispiel durch
– Abschließbare Büroschränke
– Tresor für Datensicherungen oder mobile Datenträger
Organisatorisch zum Beispiel durch
– Unterlagen wegschließen
– Dokumente shreddern
Worum es bei der Zugriffskontrolle geht
Bei der Zugriffskontrolle geht es darum, nur denjenigen Mitarbeitern Zugriff zu sensiblen Daten zu gewähren, die in Ihre weisungsgebunden Aufgabenbereich fallen. Wenn sich ein Mitarbeiter aus dem Marketing am PC anmeldet, sollte er keinen Zugriff auf Daten des Bereichs Personal haben, dafür wäre er nicht befugt. Außerdem sollen auch gänzlich Unbefugte Datenzugriffe unterbunden werden, aber das dürfte an dieser Stelle bereits klar sein.
Die Zugriffskontrolle regelt, wer auf welche Daten zugreifen darf und wie dies sichergestellt wird.
Welche Maßnahmen in den Bereich der Zugriffskontrolle fallen
Technisch zum Beispiel durch
– Benutzerrollen sinnvoll anlegen
– Vergabe von Laufwerksrechten
– Verschlüsselung sensibler Daten
– Sicheres Löschen von Daten
– Firewall
– Virenschutz
Organisatorisch zum Beispiel durch
– Berechtigungskonzept
– Schulung und Einweisung
– Anweisung zur Verschlüsselung mobiler Datenträger
– Keine privaten Datenträger verwenden
– Keine lokalen Laufwerke verwenden
– Minimale Anzahl an Admnistatoren
Worum es bei der Weitergabekontrolle geht
Alle bisherigen Maßnahmen verpuffen, wenn die Daten bei der Übertragung in unbefugte Hände fallen. Also muss auch hier sichergestellt sein, dass die Daten nicht auf dem elektronischen Transportweg ausgelesen oder anderweitig an Unbefugte gelangen können. Das gilt natürlich auch, wenn man Datenträger auf dem Postweg verschickt. Ein weiteres Themenfeld ist die Vernichtung von Akten und Datenträgern, auch hier Daten zum Zwecke der Vernichtung weitergegeben.
Die Weitergabekontrolle soll sicherstellen, dass Daten unterwegs nicht an die falschen geraten.
Welche Maßnahmen in den Bereich der Weitergabekontrolle fallen
Technisch zum Beispiel durch
– VPN Verbindungen
– Email Verschlüsselung oder
– Verschlüsselung von Emailanhängen
– Deaktivierung von Schnittstellen an PCs (z.B. USB)
– Sichere Transportbehälter
– Verschlüsselte Verbindungen wie sftp oder https
Organisatorisch zum Beispiel durch
– Sensibilisierung und Schulung Mitarbeiter
– Konkrete und verbindliche Anweisungen
– Dokumentation Datenempfänger
– Persönliche Übergabe mit Protokoll
– Beauftragung zertifizierter Entsorger
– Kontrolle von Verbindungslogs
Worum es bei der Eingabekontrolle geht
Der Gesetzgeber will sicherstellen, dass alle Datenverarbeitungsvorgänge nachvollzogen werden können. Das Ganze hat er Eingabekontrolle genannt, im Prinzip bedeutet es schlicht Nachvollziehbarkeit. Nicht alle Softwareanwendungen bieten eine derartige Funktionalität, im Einzelfall muss man mit dem Hersteller Rücksprache halten. Alternativ bieten sich dazu Hilfsprogramme an, die eine Auditierungsfunktion ergänzen.
Die Eingabekontrolle soll sicherstellen, dass die Datenverarbeitung jederzeit nachvollziehbar bleibt.
Welche Maßnahmen in den Bereich der Eingabekontrolle fallen
Technisch zum Beispiel durch
– Individuelle Benutzerkonten anlegen
– Automatisches Logging aktivieren
– Einsatz einer Auditierungssoftware
– Logging von VPN Verbindungen
Organisatorisch zum Beispiel durch
– Übersicht relevanter Programme führen
– Sinnvolle Vergabe von Leserechten und Schreibrechten
– Klare Zuständigkeiten
– Aufbewahrung Papierformulare
Worum es bei der Trennungskontrolle geht
Hier hat sich der Gesetzgeber gedacht, dass es nicht gut ist, wenn wir alle Daten in einen Topf werfen und einmal kräftig rühren, Daten sollen funktionsbezogen verarbeitet werden und nicht vermischt werden. Das heißt beispielsweise schlicht, dass Mitarbeiterdaten und Kundendaten nicht vermischt werden sollen. Sinnvollerweise stellt man für verschiedene Bereich logische oder physikalisch getrennte Bereiche zur Verfügung und behält den Überblick, auf welchen Laufwerken welche Daten gespeichert sind. Ebenfalls sollen Personen in Programmen als Mandanten angelegt werden und logisch voneinander getrennt werden. Oder dass Testumgebungen von Produktivsystemen getrennt werden.
Die Trennungskontrolle soll sicherstellen, dass Daten nicht wild vermischt werden.
Welche Maßnahmen in den Bereich der Trennungskontrolle fallen
Technisch zum Beispiel durch
– Physische Trennung von Datenbeständen
– Logische Trennung von Datenbeständen
– Testumgebung für neue Applikationen
– Mandantenfähigkeit in relevanten Anwendungen
Organisatorisch zum Beispiel durch
– Speicherkonzept erstellen
– Kontrolle Datenbestände
– Steuerung über Berechtigungskonzept
– Datensätze sind mit Zweckattributen versehen
Worum es bei der Verfügbarkeitskontrolle geht
Auch wenn bis hierhin alle Punkte abgehakt sind, kann das ganze Datenschutzkonzept ganz schnell den Bach runter gehen. Ein Datenverlust hat für ein Unternehmen natürlich nicht aus datenschutzrechtlicher Sicht Folgen, im schlimmsten Fall sind alle Daten unwiederbringlich weg oder müssen für viel Geld wiederhergestellt werden. Daher ist die Verfügbarkeitskontrolle in mehrfacher Hinsicht einer der wichtigsten Punkte, es geht schlicht um den Schutz gegen Datenverlust.
Die Verfügbarkeitskontrolle soll sicherstellen, dass Daten nicht unwiederbringlich verloren gehen.
Welche Maßnahmen in den Bereich der Verfügbarkeitskontrolle fallen
Technisch zum Beispiel durch
– NAS System in einem anderem Brandabschnitt
– Redundante Systeme
– Rauchmelder installieren
– Klimatisierung gegen unkontrollierte Überhitzung
– Unabhängige Stromversorgung
– Sicheres Cloudbackup
Organisatorisch zum Beispiel durch
– Backup Planung und Kontrolle
– Auswerten der Backup Logs
– Regelmäßige Tests zur Wiederherstellung
– Sichere Aufbewahrung von Sicherungsmedien
– Benennung Verantwortliche
– Sicherungskonzept für mobile Devices
Worum es bei der Auftragskontrolle geht
Fast jedes Unternehmen setzt Dienstleister für die Verarbeitung personenbezogener Daten ein, sei es der Hostinganbieter oder das Lohnbüro. Meist sind es eine Vielzahl von Dienstleistern, die personenbezogene Daten im Auftrag nach Weisung verarbeiten. In allen Fällen muss die Vertragsgestaltung für die Datenverarbeitung im Auftrag nach den Anforderungen der DSGVO umgesetzt und der Dienstleister entsprechend verpflichtet werden. Insbesondere ist zu kontrollieren, ob der Dienstleister seinerseits angemessene technische und organisatorische Maßnahmen getroffen hat und diese in der Anlage zum Vertrag nachvollziehbar beschreibt.
Die Auftragskontrolle soll sicherstellen, dass beauftragte Dienstleister Daten sicher und weisungsgebunden verarbeiten.
Welche Maßnahmen in den Bereich der Auftragskontrolle fallen
Technisch zum Beispiel durch
– Keine da es sich hier um Verträge handelt
Organisatorisch zum Beispiel durch
– Klare Anweisungen im Vertrag festhalten
– Kontrolle der TOMs des Dienstleisters
– Gesetzlich vorgeschriebene Inhalte beachten