Geräteverlust oder Attacken auf Netzwerke können Datenpannen hervorrufen
Der Verlust von personenbezogenen Daten stellt im Datenschutz eine Datenpanne dar. Vor allem bei Geräteverlusten, Attacken durch Unbefugte oder auch andere Formen von Datenverlusten, sollte daher immer geprüft werden, ob auch personenbezogene Daten von Betroffenen unter den Daten sind.
Wir haben in unserem Datenschutz-Blog schon des Öfteren erklärt, was eine Datenpanne ist und wie diese zu behandeln ist. Wichtig für die Handhabung von sogenannten Datenschutzvorfällen ist es aber auch, dass Notfallmaßnahmen für die unterschiedlichen Bereiche getroffen werden, so auch im Datenschutz und den damit zusammenhängenden Prozessen.
BLOG-TIPP: Verdacht auf Datenpannen – was tun?
Externer Datenschutzbeauftragter und Sicherheitsrichtlinien
Um den Datenschutz sicher umzusetzen, sollten zum Beispiel IT-Sicherheitsrichtlinien entsprechende Grundlagen bilden. Dazu gehört zum Beispiel die Festlegung von ordnungsgemäßer Verarbeitung von Daten, die zum Beispiel Einsatz, Nutzung und Protokollierung und damit die Dokumentation der entsprechenden Datenverarbeitung festlegt und sicherstellen können.
Auch Zugriffrechte, Löschfristen und Kennwortrichtlinien spielen dabei eine elementare Rolle. Damit die Sicherheitsrichtlinien im Datenschutz DS-GVO-konform umgesetzt werden, sollte der Verantwortliche immer den (externen) Datenschutzbeauftragten in die Erarbeitung einbeziehen.
Sicherheitsrichtlinie Datenschutz
Die IT-Sicherheitsrichtlinien oder auch andere Sicherheitsrichtlinien zu verschiedenen Prozessen, helfen den Datenschutz zu gewährleisten. Darüber hinaus sollte man aber unbedingt auch Sicherheitsrichtlinien im Datenschutz festlegen.
Diese werden am besten mit dem (externen) Datenschutzbeauftragten erarbeitet. Sollte dieser nicht sowieso schon wegen der Vorgaben im Datenschutz vorgeschrieben sein, dann kann ein externer Datenschutzbeauftragter dabei zu Rate gezogen werden.
In jedem Fall sollten die Sicherheitsrichtlinien definieren, wie der Datenschutz eingehalten wird und sichergestellt wird, dass personenbezogene Daten der Betroffenen geschützt und unter Einhaltung der DS-GVO verarbeitet werden.
Notfallmaßnahmen Datenschutz
Zu den Sicherheitsrichtlinien gehört auch, dass Notfallmaßnahmen definiert werden. Was passiert, wenn der Datenschutz nicht eingehalten wird oder Zugriffe durch Unbefugte erfolgen? Wie muss man bei einer Datenpanne reagieren, welche Schritte müssen die Mitarbeiter einhalten, wie schnell muss eine Datenpanne gemeldet werden usw.
Die Sicherheitsrichtlinien und der Notfallplan bzw. die Festlegung von Notfallmaßnahmen sollen die Umsetzung des Datenschutzes und der gesetzlichen Vorgaben sicherstellen. Damit dies möglich ist, müssen die Vorgaben an die entsprechenden Stellen und die zuständigen Mitarbeiter kommuniziert werden.
Bei der Festlegung von Sicherheitsrichtlinien und Notfallmaßnahmen ist es wichtig, mögliche Szenarien zu konstruieren und regelmäßig durchzuspielen und daraufhin entsprechende Schritte festzulegen. Eine Checkliste ist dabei eine mögliche Hilfe.
Sicherheitsrichtlinien in IT für den Datenschutz
Datenschutz und IT-Sicherheit hängen nicht selten zusammen, denn viele personenbezogene Daten werden durch IT-gestützte Prozesse verarbeitet. Daher sollte bei den Datenschutzrichtlinien auch immer die IT-Sicherheit berücksichtigt werden.
Bei anderen Sicherheitsrichtlinien Datenschutz beachten
Umgedreht sollte bei allen Sicherheitsrichtlinien, die in einem Unternehmen getroffen werden, immer auch der Datenschutz berücksichtigt werden. Das heißt auch, dass zur Einhaltung der Sicherheitsrichtlinien (z.B. im Bereich der IT) keine Vorgaben im Datenschutz verletzt werden dürfen.
Daher sollten die rechtlichen Grundlagen der Verarbeitung von personenbezogenen Daten immer bei allen Prozessen und Richtlinien berücksichtigt werden.
BLOG-TIPP: TECHNISCHE ASPEKTE IM DATENSCHUTZ
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.