Die Sicherheit der Verarbeitung von Daten nach der DSGVO

Handwerksbetriebe stehen vor der Herausforderung, sich auch mit digitalen Geschäftsmodellen, digitalisierten Produkten und Dienstleistungen zu beschäftigen. Mit der Datenschutzgrundverordnung (DSGVO) hat die Europäische Union Spielregeln für Unternehmen definiert. Dies bezieht sich auch auf Aspekte, welche zum Schutz der eigenen Daten im ureigenen Interesse eines jeden Unternehmens liegen. Was zu tun ist, legt Art. 32 Abs. 1 DSGVO fest: Unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verarbeiter und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Technisch organisatorische Maßnahmen

Mit geeigneten Maßnahmen sind die Vertraulichkeit, die Integrität sowie die Belastbarkeit von Systemen und Diensten sicherzustellen.

Vertraulichkeit

Durch Zugangskontrollen ist sicherzustellen, dass Unbefugten der Zutritt verwehrt bleibt. Hierzu gehört auch die Frage, wann ein Raum abgesperrt zu sein hat und wie Schlüssel zu kontrollieren sind. Besonders von Bedeutung ist die Zugangskontrolle zur Verhinderung der Nutzung der Datenverarbeitung durch Unbefugte. Der Zugang ist zu überwachen z. B. mittels eSchloß. Die Zugriffskontrolle stellen Sie sicher durch Festlegung von Datenzugriffsberechtigungen mit einem Berechtigungssystem und Login Verfahren. Da zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden müssen, bedarf es einer Trennungskontrolle.

Integrität

Mittels Weitergabekontrolle wird sichergestellt, dass kein Zugriff bei Übertragung und Speicherung erfolgt. Mit einer Eingabe- und Verarbeitungskontrolle lässt sich auch nachträglich nachvollziehen, wer was womit gemacht hat. Mit einer Dokumentationskontrolle soll die Nachvollziehbarkeit in zumutbarer Weise hergestellt werden. Mittels Auftragskontrolle wird die weisungsgebundene Verarbeitung prüfbar gemacht. Damit die Verfügbarkeitskontrolle bestehen bleibt, bedarf es eines Schutzes gegen Zerstörung und Verlust, mithin einer Datensicherung.

Belastbarkeit

Es muss die Widerstandsfähigkeit (Resilienz) von Systemen und Diensten gegeben sein. Zur Herstellung von Ausfallsicherheit braucht es Datensicherungsverfahren sowie einen Weg zur Wiederherstellung (ReBuilt) der Funktionsfähigkeit von Systemen und Diensten.

Unterschiedliche Betrachtungsweisen

Die Informationstechnik (IT) eines Unternehmens muss unter unterschiedlichen Blickwinken betrachtet werden.

Infrastrukturell

Hier kommt es auf die Gebäude, ggf. auch Außenstellen an, vom Büro- über Serverraum sowie Raum für technische Infrastruktur und die Produktionsräume. Auch häusliche Arbeitsplätze und mobile Arbeitsplätze sind miteinzubeziehen. Des Weiteren ist der Blick auf die IT Systeme zu richten. Gemeint ist das Serversystem (z. B. Datenbankserver, Managementserver), Terminal-Server, Virtualisierungsumgebung, Netzwerkdrucker und Multifunktionsgeräte sowie Arbeitsplatz PC und mobile Endgeräte (einschließlich BYOD-Lösungen) zu richten. Bei den Netzen muss im Auge behalten werden das Server- und Administratorennetz, das Netzwerk für reguläre Arbeitsplätze sowie für Technologie-Arbeitsplätze (CNC/CAM/CIM), WLAN intern und gegebenenfalls öffentlich, gebäudeübergreifende Vernetzung, der Internet Zugang für die Büros aber auch ein autonomer Internet-Zugang z. B. einer Außenstelle, die Firewall, der Router / Switch, die Telefon-Anlage / VOIP einschließlich Fax, die Fernwartungszugänge und Fernüberwachungszugänge nach innen sowie zum Kunden. Bei den Anwendungen geht es um die Internet-Nutzung, Benutzer-Authentifizierung, Dateiablage sowie Zugriffsverfahren, Bürokommunikation (Groupware und E-Mail) sowie Datensicherungsverfahren.

Prozessorientiert

Ausgangspunkt sind Kern- und Unterstützungsprozesse, die nutzenzentriert auf den Kunden ausgerichtet sein müssen. Von Bedeutung ist dabei die Entwicklung neuer Produkte und zwar von der Idee zum Produkt gegebenenfalls einschließlich der Berücksichtigung von Kundenideen. Zentral ist auch die Auftragsabwicklung von der Auftragserteilung bis zum Geldeingang. Aber auch Service und After-Sales verdienen nach dem Motto „vom Problem zur Lösung“ entsprechendes Augenmerk.

Sicherheitsorientiert

Das Ziel Business Continuity  lässt sich nur erreichen, wen auch der IT-Sicherheit Beachtung geschenkt wird. Dies betrifft die IT-Infrastruktur / IT-Management, Internet- und E-Mailnutzung inkl. Social Media, Mobile Business mit Smartphones und Tablets sowie das Datenschutz- und IT-Sicherheitsmanagement incl. Cloud Computing.

Angemessenes Schutzniveau

Wenn Sie sich mit der Sicherheit der von Ihnen verarbeiteten Daten unter dem Blickwinkel der aufgezeigten Aspekte beschäftigen, sind Sie auf dem richtigen Weg, das Ziel eines angemessenen Schutzniveaus auch zu erreichen.