Organisatorische Maßnahmen zum Datenschutz

Wenn es um den Datenschutz und die -sicherheit geht, denken viele Verantwortliche möglicherweise zuerst an Maßnahmen wie Firewalls, Anti-Viren-Programme, Backups etc. Eine sinnvolle Ergänzung zu diesen und ebenso wichtig sind die organisatorischen Maßnahmen. Organisatorische Maßnahmen zum Datenschutz und zur -sicherheit sind genauso wie die technischen mit Bedacht zu wählen. Worauf zu achten ist, erklären wir in diesem Beitrag.

Pflicht oder Option?

Eine wichtige Information gleich zuerst: Die Implementation organisatorischer Maßnahmen ist Pflicht. Während so manche Pflichten eines Verantwortlichen sich aus der DSGVO ableiten lassen, weist die DSGVO explizit darauf hin, dass eine Stelle, die personenbezogene Daten von EU-Bürgern oder von sich in der EU befindenden Personen verarbeitet, technische und organisatorische Maßnahmen zum Schutz dieser Daten ergreifen muss. Diese Anforderung findet direkte Erwähnung in Art. 5 Abs. 1 lit. e) DSGVO, Art. 24 DSGVO, Art. 25 DSGVO, Art. 32 DSGVO,

Relevanz organisatorischer Maßnahmen

Natürlich ist es wichtig, einen Viren-Scanner zu implementieren. Dieser kann vor Schad-Software-Befall und damit auch vor unbefugtem Datenabfluss schützen. Gleichzeitig gilt aber auch, Beschäftigte zu informieren, dass sie ebenfalls einen wichtigen Schutzschild bilden. Sie müssen wissen, dass sie ständig ein Auge darauf haben müssen, ob eine bestimmte Person befugt ist, bestimmte personenbezogene Daten zu erhalten, bevor sie sie ihr zur Verfügung stellen. Dies zeigt, dass der Beschäftigte bzw. der Mensch an sich eine Schwachstelle darstellen kann. Um die Gefahr eines erfolgreichen Angriffes auf eine Schwachstelle möglichst gering zu halten, gilt es also auch hier, entsprechende Maßnahmen zu ergreifen.

Allerdings gilt es bei den organisatorischen Maßnahmen nicht nur den Menschen als Schwachstelle zu sehen. Schließlich sind Schwachstellen Schwächen eines Informationswertes oder einer – eventuell auch nicht vorhandenen oder nicht ausreichend geregelten – Sicherheitsmaßnahme.

Mögliche Schwachstellen

Zu betrachtende Schwachstellen, die ggf. mithilfe einer organisatorischen Maßnahme möglichst eingeschränkt werden können, sind unter anderem folgende:

1) Unverschlossene Türen zu den Räumen eines Verantwortlichen.

2) Ungesicherte Server einer Einrichtung.

3) Fehlende Sensibilität bei E-Mail-Anhängen bzgl. eventueller Schad-Software o. Ä.

4) Ungeregelter Transport von Datenträgern.

5) Großzügige Zugriffsmöglichkeiten auf Daten, die bei einer Stelle vorhanden sind.

6) Offene Schränke im Büro mit Personaldaten.

7) Fehlende Regelungen zur Installation von Apps für die Arbeit auf dienstlichen Geräten.

8) Verschiedene Firmenpostfächer, die alle Beschäftigten einsehen können.

9) Unzureichende Vorgaben zur Erstellung von Passwörtern. (Mehr zum Thema der Erstellung sicherer Passwörter erfahren Sie hier.)

Minderung der Gefahr eines erfolgreichen Angriffes auf Schwachstellen

Inwiefern es tatsächlich möglich ist, eine Schwachstelle durch die Implementation einer entsprechenden Schutzmaßnahme zu beseitigen, ist näher zu betrachten. In manchen Fällen ist die Beseitigung einer Schwachstelle gar nicht möglich. Möglich ist es dann aber mindestens, die Gefahr eines erfolgreichen Angriffes auf eine Schwachstelle zu verringern. Um dieses Ziel zu erreichen, ist es notwendig, zu analysieren, was die jeweilige Schwachstelle ist. Als nächstes ist zu betrachten, welche Maßnahme am effektivsten sein kann, um die Gefährdung der personenbezogenen Daten durch einen möglichen Angriff auf diese Schwachstelle zu mindern, wenn nicht sogar zu beseitigen. Hierbei betonen wir, dass eventuell mehrere Maßnahmen zu ergreifen sind, um ein Risiko für die Rechte und Freiheiten zu minimieren oder sogar zu beseitigen.

Beispiel 1

Betrachten wir das Beispiel, dass ein Verantwortlicher bei einer Ist-Analyse erkennt, dass tagsüber die Tür zu den Unternehmensräumen in einem Miethaus ständig offen steht und Personen jederzeit ohne Kontrolle dieser eintreten können. Dabei stehen auch die Bürotüren offen, ohne dass ständig jemand in den jeweiligen Räumen anwesend ist. Hier gibt es verschiedene Maßnahmen, die ein Verantwortlicher ergreifen kann, um unbefugten Zutritt zu vermeiden. Möglichkeiten sind folgende:

1) Personen an einer Rezeption, die die Eingangstür jederzeit im Blick haben.

2) Eine ständig verschlossene Tür, die nur durch Klingeln und Anmeldung geöffnet wird.

3) Büroräume sind abzuschließen, wenn sich niemand im Raum befindet.

4) Zutritt zu einem Gebäude oder zu Büroräumen mit bspw. einem Schlüssel, einer Zutrittskarte, einer PIN o. Ä.

Angemessenheit der Maßnahmen

Mit unserem Beispiel versuchen wir, zu verdeutlichen, dass sowohl das zu erreichende Ziel als auch die Effektivität der jeweiligen Maßnahme zu beleuchten sind. Dabei ist es also nicht zwangsläufig zielführend, die kosten- oder zeitaufwendigste Maßnahme zu wählen. Wie hier kann es schon ausreichend sein, die Beschäftigten anzuweisen, die Büroräume bei Verlassen dieser abzuschließen, wenn sich keine Person im Raum befindet. – Natürlich haben die Beschäftigten diese Anweisung dann auch umzusetzen. –

Nachweispflicht eines Verantwortlichen

Die jeweiligen ergriffenen Maßnahmen zum Datenschutz und zur -sicherheit muss ein Verantwortlicher dokumentieren (Art. 5 Abs. 2 DSGVO). Ein Teil dieser Dokumentation wäre die in unserem Beispiel genannte Maßnahme.

Fazit

Eine Ist-Analyse hilft, die vorhandenen Schwachstellen in einer Einrichtung, einem Unternehmen, einer Arztpraxis, einer Behörde, einem Krankenhaus, einer Schule etc. zu erfassen. Mithilfe dieser kann ein Verantwortlicher die erforderlichen Maßnahmen planen und anschließend umsetzen. Dabei können wir Sie unterstützen. Treten Sie gern mit uns für ein kostenfreies Erstgespräch und ein unverbindliches Angebot in Kontakt.