Die Beschäftigung mit Datenschutz schreckt viele ab. Aber Verdrängung hilft hier nicht. Es ist wichtig, einige Dinge zu regeln, um den Mitarbeitern und der Führung ein klares Bild zu geben. Gleichzeitig verschaffen Sie der Organisation so ausreichend Raum für ihre eigentliche Kernkompetenz, und mehr Sicherheit.
Doch welche Regelungen sollten beim Datenschutz in Unternehmen und Firmen schriftlich festgehalten werden?
Das Datenschutz Handbuch
Das Datenschutzhandbuch enthält die wesentlichen Richtlinien, die für den Umgang mit personenbezogenen Daten gelten. Von den Richtlinien darf nur abgewichen werden, wenn ein Vorgesetzter der Abweichung vorher zugestimmt hat. Abweichungen von den Richtlinien müssen begründet sein und dokumentiert werden. (Definition: HIER)
- Das Datenschutz Handbuch umfasst alle Vorgänge der Datenschutz Organisation
- Es beinhaltet eine lückenlose Dokumentation des Datenschutzes im Unternehmen
- Mitarbeiter können nachlesen, wie die Datenschutz Organisation aufgebaut ist
- Es beschreibt den Aufbau des Datenschutz Management
- Es konkretisiert die Arbeitsabläufe zur Umsetzung der Betroffenenrechte sowie zur Meldung von Datenschutzverletzungen
Die Informationssicherheitsrichtlinie
Eine Informationssicherheitsrichtlinie stellt ein Vorgabedokument dar, mit dem Unternehmen die Informationssicherheit regeln. Organisationen, die ein ISMS gem. ISO 27001 einführen möchten bzw. bereits implementiert haben, müssen dabei eine Sicherheitspolitik festlegen. (Definition: HIER)
- Nutzungsregelungen bzgl. der privaten Nutzung von Endgeräten
- Umgang mit Administrationsrechten
- Umgang mit Wechseldatenträgern
- Verhalten auf Dienstreisen
- Umgang mit Sprachassistenten und bei Videokonferenzen
- Regelungen für das “Home Office“
- Regelungen zum Entsorgen von Datenträgern
Das Backupkonzept
Bevor Sie Daten sichern, sollten Sie wissen, welche Daten Sie sichern möchten, wohin und wie oft. Zu einer professionellen Datensicherung gehören noch mehr Dinge.
- Verantwortliche Personen
- Betrachtete IT-Systeme (Server, Clients, mobile Geräte)
- Betrachtete Datenspeicherarten (Datenbanken, Dateien oder auch ganze Festplatten)
- Betroffene Daten und Datenarten (Personaldaten, Kundendaten etc.)
- Art der Datensicherung (Vollsicherung, nur die neuen Daten oder nur die veränderten Daten)
- Häufigkeit der Sicherungen (täglich, wöchentlich, jährlich)
- Sicherungen der Backup Server (externe Festplatte oder Auslagerung)
- Prozesse zum Zurückspielen/Wiederherstellen von Daten
- Räumlichkeiten (Zugang, Gefahr von Brand- und Wasserschäden)
- Hardware Monitoring (Speicherkapazität, Temperatur, allgemein Zustand)
- Zutritts- und Zugangsberechtigungen
Die Zusammenarbeit mit externen Dienstleistern
In den meisten Fällen sind die externen Dienstleister bestens ausgebildet und können mit gutem Fachwissen punkten. Jedoch ist jedes Unternehmen zur Prüfung verpflichtet Art.28 Abs. 1 DSGVO bevor es die externen Dienstleister nutzen kann. Die Prüfung ist eine laufende, keine einmalige Pflicht. Sie besteht für jedes Auftragsverarbeitungsverhältnis, grundsätzlich unabhängig von dessen Dauer und Bedeutung. Die Prüfungen sollten in der Regel alle 1,5 – 2 Jahre erfolgen.
Wie prüfe ich den Dienstleister?
- Anlegen eines Dienstleisterverzeichnisses
- Durchführung einer Dienstleistereinstufung (hoch, mittel niedrig)
- Erstellung einer Checkliste mit Audit Fragen
- Interviews mit Dienstleister führen
- Dokumentation der Ergebnisse
Welche Prüfpunkte sind wichtig?
Allgemeine Informationen (Bestellung eines DSB, Verpflichtung der Mitarbeiter auf die Vertraulichkeit, Existieren Datenschutzrichtlinien)
Zutrittssicherheit (Einsatz von Wachdienst-Videoüberwachung-Alarmanlage, Definition von Sicherheitsbereichen, Sicherung von Serverräumen)
Zugangssicherheit (Passwortrichtlinien, Berechtigungsvergabeprozesse, Penetrationstests)
Zugriffssicherheit (Berechtigungskonzepte, Administrationsberechtigungen, Verschlüsselung von Endgeräten)
Eingabekontrolle (Protokollierung von Zugriffen, Aufbewahrung von Protokolldateien)
Weitergabekontrolle (VPN Zugänge, E-Mail Security, Datenaustausch)
Verfügbarkeit (Datensicherungskonzept, Notfallkonzept, System Monitoring)
Informationen bzgl. Unterauftragnehmer (Datenschutz Verträge (AVV), Informationen zu neuen Unterauftragnehmern, Prüfung der Unterauftragnehmer)
Drittlands Überprüfung (Neue EU-Standardvertragsklauseln, Transferfolgenabschätzung, Geeignete zusätzliche Garantien)
Das Löschkonzept
In einem Löschkonzept wird unternehmensintern genau geregelt, wer wann welche Daten (Kundendaten, Mitarbeiterdaten etc.) zu löschen hat, wo die Daten abgespeichert werden (in welchen Anwendungen, Backups, Tabellen etc.) und wie die Löschung von Statten gehen muss. (Definition: HIER)
Jede betroffene Person hat das Recht auf Vergessenwerden! (Art. 17 DS-GVO)
Das Unternehmen ist zur Löschung der Daten GEZWUNGEN, wenn:
- die erhobenen Daten nicht mehr notwendig sind (z.B. Aufbewahrungsfrist abgelaufen)
- die betroffene Person ihre Einwilligung widerruft und es an einer anderen Rechtsgrundlage der Speicherung fehlt
- die personenbezogenen Daten unrechtmäßig verarbeitet wurden
Fazit
Wer sich an Regeln hält, muss sich nicht rechtfertigen. Eine schriftliche Dokumentation dient daher als zuverlässigste Maßnahme, um im Unternehmen genau festzuhalten welche Reglungen im Datenschutz getroffen wurden. Es kann anschließend durch Dritte (z.B. neue Mitarbeiter, neue Chefs) genau nachvollzogen werden, was genau geregelt wurde und wie die Umsetzung erfolgen soll.