Technisch-Organisatorische Maßnahmen

Anforderungen

Was muss ich tun?

Privacy by design / default

Einer der Grundsätze der Datenschutz-Grundverordnung ist die Datenminimierung. Es sollen so wenig Daten wie möglich und nur so viel wie unbedingt notwendig verarbeitet werden. Auch die Dauer ist auf ein Minimum zu reduzieren.

Bereits bei der Abfrage von Informationen müssen Voreinstellungen so gewählt werden, dass nur ein Mindestmaß an Daten erhoben bzw. an Zustimmungen erteilt wird (Opt-in).

Unter Berücksichtigung von Stand der Technik / Aufwand / Risiko

Der Umgang mit personenbezogenen Daten muss unter passender Sorgfalt erfolgen. Parameter dafür sind unter anderem aktuelle technische Entwicklungen (die sich im Laufe der Zeit ändern), die Zumutbarkeit des Aufwandes sowie das durch die Datenverarbeitung entstehende Risiko für die Betroffenen.

Dokumentation

Alle Maßnahmen, Ereignisse, Entscheidungen, etc… rund um die Verarbeitung personenbezogener Daten müssen entsprechend dokumentiert und im Anlassfall vorgelegt werden können! Ähnlich wie die Buchhaltung eines Unternehmens handelt es sich dabei um einen laufenden Prozess, der kontinuierlicher Re-Evaluierung und Änderung bedarf. Logischerweise kann diese Dokumentation (wie eine Buchhaltung) nicht erst im Anlassfall erstellt werden.

Umsetzung

Wie gehe ich vor?

Pseudonymisierung und Verschlüsselung

Durch geeignete Maßnahmen kann die Zuordnungsbarkeit von Informationen zu einer Person sowie deren Lesbarkeit verhindert werden.

Vertraulichkeit

Je nach Klassifizierung der Daten kann der Zugang eingeschränkt oder verhindert werden. Im Sinne der Minimierung sollen nur berechtigte Personen Zugriff auf Informationen erhalten.

Integrität

Die unberechtigte Manipulation oder ungewollte Veränderung von Daten muss verhindert werden.

Verfügbarkeit und Belastbarkeit

Die Verarbeitung von Daten muss immer einem Zweck dienen. Die Erfüllbarkeit dieses Zwecks muss bestmöglich gesichert sein (z.B. das Patienteninformationssystem in einem Krankenhaus). Dies gilt auch bei hoher Belastung (z.B. im Katastrophenfall).

Wiederherstellung / Backup

Nach einem Schadensfall (z.B. technisches Gebrechen oder Cyberangriff) müssen Systeme und die dazugehörenden Informationen wiederhergestellt werden. Dafür braucht es ein:

  • Backup-Konzept – zeitlich (wann werden Backups erstellt), räumlich (wo werden diese gespeichert, damit diese im Schadensfall erhalten bleiben z.B. Brand, Einbruch), sachlich (welche Daten werden gesichert)
  • Wiederherstellungskonzept – wer (autorisierte und verfügbare Person), kann was (technische Infrastruktur) wie (Systemkonfiguration) mit welchen Informationen (Backups) wiederherstellen. Die Wiederherstellung sollte entsprechend getestet werden um sicherzustellen, dass Backup, Prozesse und Dokumentation ausreichend sind.

Regelmässige Überprüfung der TOM

Die technisch-organisatorischen Maßnahmen sind nicht nur auf Aktualität, sondern auch in Bezug auf den Stand der Technik hin kontinuierlich zu re-evaluieren.

Schulungen

Über 70 % aller Datenschutz Vorfälle sind auf menschliches Versagen zurückzuführen. Die Schulung von Mitarbeitern sowie sauber und sinnvoll definierte Prozesse haben daher große Auswirkungen auf die Gesamteffizienz.