“IT-Sicherheit”: Checkliste der Datenschutz-Aufsicht Bayern
16.10.2020
[IITR – 16.10.20] Das Bayerische Landesamt für Datenschutzaufsicht (Datenschutz-Aufsichtsbehörde für Unternehmen in Bayern) hat eine lesenswerte Checkliste für kleine und mittlere Unternehmen veröffentlicht, welche technischen und organisatorischen Maßnahmen zur Erfüllung der DSGVO-Vorgaben an die Informationssicherheit (Art. 32 DSGVO – Sicherheit der Verarbeitung) geprüft werden sollten.
Die Unterlagen orientieren sich an Vorveröffentlichungen der französischen Aufsichtsbehörde CNIL. In dem Vorwort heißt es dazu:
“Von der Struktur der Gliederung dieses Papier findet eine starke Orientierung an der Veröffentlichung zur Sicherheit personenbezogener Daten der französischen Datenschutzaufsichtsbehörde statt. Diesen Ansatz, der sich vom Prinzip auch in internationalen Normen zur Informationssicherheit wiederfindet, betrachten wir gerade für klassische Verarbeitungen bei kleinen und mittleren Unternehmen als einen möglichen und interessanten Weg.”
Die Checkliste selbst unterteilt die Themen wie folgt:
- Management und Organisation
- Physikalische Sicherheit der Infrastruktur
- Awareness der Mitarbeiter
- Authentifizierung
- Rollen-/Rechtekonzept
- Endgeräte (Clients)
- Mobile Datenspeicher
- Serversysteme
- Websites und Webanwendungen
- Netzwerk
- Archivierung
- Wartung durch Dienstleister
- Protokollierung
- Business Continuity
- Kryptographie
- Datentransfer
- Entwicklung und Auswahl von Software
- Auftragsverarbeiter
Checkliste des Bayerischen Landesamts für Datenschutzaufsicht zur technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO.
In den einleitenden Hinweisen heißt es:
“Die in diesem Papier dargestellten TOM stellen keinesfalls einen Anspruch auf Vollständigkeit dar, sondern sollen als Empfehlung eines gelebten Good-Practice verstanden werden. (…) Diese Checkliste dient deshalb insbesondere dazu, kleinen und mittleren Unternehmen eine Auswahl an TOM anzubieten, die bei geläufigen Verarbeitungstätigkeiten innerhalb eines Betriebs verwendet werden können. (…) Das Abstraktionsniveau der Maßnahmen dieser Liste unterscheidet sich insgesamt sehr stark – teilweise sind z. B. sehr wirksame technische Einstellungen bei Systemen im Detail aufgeführt, teilweise auch grundsätzliches Vorgehen auf Konzeptebene.”
Die Datenschutzgrundverordnung fordert von Unternehmen an sich, die eigenen technischen und organisatorischen Maßnahmen im Rahmen eines strukturierten Prozesses laufend auf ihre Tauglichkeit gemessen an der Risiko-Situation zu prüfen und anzupassen. Neben der in der Unternehmenspraxis dazu bei größeren Organisationen weit verbreiteten Norm zur Informationssicherheit (ISO 27001/27002 und der darauf aufbauenden Norm ISO27701 für das Datenschutz-Management; vgl. dazu auch unser Compliance-Kit 2.0) steht kleineren Unternehmen und Kommunen der Zertifizierungs-Standard ISIS12 zur Verfügung. Der öffentliche Bereich im Bund orientiert sich am IT-Grundschutz-Kompendium des BSI (und dem daran methodisch angelehnten Standard-Datenschutzmodell SDM, dessen Ansatz im Gegensatz zur ISO27001/27002 nicht die Risiko-Perspektive des Unternehmens sondern des Betroffenen einnimmt).
Die Checkliste kann also kein strukturiertes Informationssicherheits-Management ersetzen (und will dies explizit auch nicht), gibt aber gerade kleineren (mit der Befassung beim Thema Informationssicherheit fachlich häufig überforderten) Unternehmen eine praxistaugliche Übersicht an die Hand, welche Themen im Bereich Informationssicherheit adressiert bzw. geprüft werden sollten.
Ergänzend können Unternehmen ihre eigene Datenschutz-Situation über unser webbasiertes Audit-Werkzeug PSE prüfen lassen. Weitere Informationen…
Die Checkliste des Bayerischen Landesamts für Datenschutzaufsicht zu den technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO können Sie hier einsehen.
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.