Datensicherheit

Was ist Datensicherheit?

Der Begriff Datensicherheit umfasst alle Aspekte und technischen Maßnahmen, die der Wahrung der Vertraulichkeit, der Sicherstellung der Integrität und der Verfügbarkeit von Daten dienen. Mit der Einführung der neuen Datenschutz-Grundverordnung haben sich die Anforderungen an Unternehmen im Bezug auf den Datenschutz und die Datensicherheit verschärft.

Unterscheidung Datensicherheit und Datenschutz

Der Datenschutz umfasst den Schutz von personenbezogenen Daten vor Missbrauch und Datenpannen sowie die Wahrung der informationellen Selbstbestimmung der Dateninhaber. Informationelle Selbstbestimmung bedeutet, dass der Dateninhaber darüber entscheidet, wie seine Daten genutzt, gespeichert und verarbeitet werden dürfen. Rechtliche Grundlage für den Datenschutz in der Europäischen Union ist die DSGVO, die Datenschutz-Grundverordnung.

Seit dem 25.Mai 2018 bildet die DSGVO zusammen mit weiteren Richtlinien für den Datenschutz in den Bereichen Polizei und Justiz den gemeinsamen Rahmen für den Datenschutz in der Europäischen Union. Durch die neue DSGVO wurde die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten aus dem Jahre 1995 ersetzt.

Bei der Datensicherung geht es in erster Linie um eine Umsetzung der im Datenschutz definierten Anforderungen und gesetzlichen Vorschriften und bezieht sich auf die Sicherheit und den Schutz aller Daten unabhängig von der Verwendung und Herkunft.

Gesetzliche Vorgaben für die Datensicherheit

Für die Gewährleistung der Datensicherheit sind unterschiedliche Maßnahmen in Unternehmen und Behörden erforderlich. Die gesetzliche Grundlage hierfür war bis zum Inkrafttreten der DSGVO das Bundesdatenschutzgesetz (BDSG). Die Regelungen schreiben vor, dass innerhalb der betrieblichen Organisation durch angemessene technische und organisatorische Maßnahmen dafür gesorgt werden muss, dass die Datensicherheit zu jeder Zeit gewährleistet ist. Verschiedene grundlegende Anforderungen an die technischen und organisatorischen Maßnahmen werden gestellt:

  • Zutrittskontrolle: Zutrittskontrolle bedeutet, dass unbefugten Personen der Zutritt zu den Räumen mit den Anlagen der Datenverarbeitung verwehrt werden muss. Durch einfache Maßnahmen wie verschlossene Türen, Überwachungssysteme mit Kameras und Alarmanlagen und eine Protokollierung des Zutritts kann dies gewährleistet werden.
  • Zugangskontrolle: Zugangskontrolle bedeutet, dass unbefugten Personen die Nutzung der Datenverarbeitungsanlagen beispielsweise durch Maßnahmen zur Authentifizierung, Datenverschlüsselung und eine Vergabe von Berechtigungen verwehrt werden muss.
  • Zugriffskontrolle: Die Zugriffskontrolle ist eine weitere wichtige Vorgabe. Die Zugriffskontrolle sieht vor, dass der Zugriff auf die Datenverarbeitungssysteme nur durch berechtigte Personen erfolgen darf. Die Daten dürfen von Unbefugten nicht gelesen, verändert oder entfernt werden.
  • Weitergabekontrolle: Bei der Datenweitergabe gelten ähnliche Vorgaben im Bezug auf das Lesen und Verändern von Daten wie bei der Zugriffskontrolle. Hier müssen zum Beispiel Zugriffe auf die Daten protokolliert sowie Systeme zur Authentifizierung und Verschlüsselung der Daten eingesetzt werden.
  • Eingabekontrolle: Ebenso muss kontrolliert werden, wer Daten eingibt, diese verändert oder entfernt. Diese Vorgänge müssen im Nachhinein überprüfbar sein und durch eine geeignete Protokollierung nachverfolgt werden können.
  • Auftragskontrolle: Im Bezug auf die Auftragsdatenverarbeitung bedeutet Datensicherheit, dass Daten nur auf Weisung des Auftraggebers verarbeitet werden dürfen. Die verantwortlichen Personen müssen entsprechend angeleitet und überwacht werden.
  • Verfügbarkeitskontrolle: Dies ist ein sehr wichtiger Punkt für die Datensicherheit. Verfügbarkeitskontrolle bedeutet, dass die Daten vor einer zufälligen Zerstörung oder einen zufälligen Verlust durch eventuelle technische Defekte oder mutwillige Maßnahmen geschützt werden müssen. Bei Datenverlusten muss sichergestellt sein, dass die Daten unverzüglich und vollständig wiederhergestellt werden können. Diese Verfügbarkeit und Möglichkeit der Wiederherstellung muss regelmäßig überprüft werden.
  • Trennungsgebot: Nicht zuletzt schreibt die DSGVO vor, dass Daten, die zu unterschiedlichen Zwecken erhoben wurden, getrennt verarbeitet und gespeichert werden müssen.

Datenschutz-Management in Unternehmen

Seit dem Inkrafttreten der DSGVO sind Unternehmen verpflichtet, ein Datenschutzmanagement einzuführen. Das Datenschutzmanagement ist für den Schutz personenbezogener Daten in Unternehmen verantwortlich. Ziel und Aufgabe des Datenschutzmanagements in einem Unternehmen ist es, durch geeignete Maßnahmen die Wahrscheinlichkeit des Eintritts von Verstößen gegen den Datenschutz oder von Datenpannen zu reduzieren.

Dadurch sollen Schäden und Risiken für die betroffenen Personen verringert werden. Darüber hinaus liegt es in der Verantwortung des Datenschutzmanagements, den Nachweis einer datenschutzkonformen Umsetzung der in der DSGVO gestellten Anforderungen zu erbringen und dadurch Bußgelder für das Unternehmen zu vermeiden oder zumindest zu vermindern, wenn der Vorwurf einer fahrlässigen Handlung entkräftet werden kann.

Das Datenschutzmanagement kann unter der Verantwortung eines internen Datenschutzbeauftragten oder eines externen Dienstleisters eingerichtet werden. Die Beauftragung eines spezialisierten Dienstleisters mit der Einrichtung des Datenschutzmanagements ist wegen der Komplexität des Themas und den empfindlichen Geldbußen bei Verstößen empfehlenswert.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte