Datenschutz ist eines der wichtigsten Schlagwörter im Daily Business eines jeden Unternehmens. Spätestens seit dem Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) vor über vier Jahren gilt es, geeignete Maßnahmen zu ergreifen, die den Schutz von personenbezogenen Daten sicherstellen.
In diesem Zusammenhang treten jedoch immer wieder Missverständnisse oder Unsicherheiten auf. Beispielsweise hält sich die Annahme hartnäckig, ein sicheres IT-System würde bereits alle Anforderungen der DSGVO erfüllen. Das ist jedoch nicht der Fall. Vielmehr kommt der Umsetzung des technischen Datenschutzes in einer Unternehmens-IT-Architektur eine signifikante Bedeutung zu.
Was ist technischer Datenschutz?
Um die Datenschutzziele der DSGVO zu erfüllen, müssen alle Unternehmen TOM ergreifen. Hinter der Abkürzung verbergen sich technische und organisatorische Maßnahmen. Letztere beinhalten zum Beispiel festgeschriebene Prozesse, Konzepte oder Arbeitsanweisungen. Erstere sind dagegen technologisch und/oder physisch umsetzbar. Dazu gehören unter anderem regelmäßige Back-ups sowie ganz allgemein Verschlüsselungen. In den DSGVO-Artikeln 32 zur Sicherheit der Verarbeitung und 25, der sich mit dem Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen befasst, ist der technische Datenschutz in der Verordnung verankert.
So spielen IT-Sicherheit und Datenschutz zusammen
Maßnahmen, die die IT-Sicherheit betreffen, werden in der Praxis öfter mit solchen in einen Topf geworfen, die den technischen Datenschutz gewährleisten sollen. Beide Bereiche sind allerdings nicht deckungsgleich, sondern ergänzen sich. Dafür müssen jedoch zunächst alle Datenverarbeitungsprozesse analysiert werden, um geeignete Maßnahmen zu definieren.
- Die IT-Sicherheit zielt darauf ab, die Datenverarbeitung im Unternehmen zu schützen. Sie soll Ausfälle und Datenverlust verhindern und sicherstellen, dass das System integer und verfügbar bleibt.
- Der technische Datenschutz hat dagegen die Aufgabe, den Schutz personenbezogener Daten und damit die Interessen der Betroffenen zu wahren. Das gelingt durch Transparenz und Nicht-Verkettbarkeit von Informationen.
Ein bedeutender Unterschied zwischen Maßnahmen zur IT-Sicherheit und zum technischen Datenschutz liegt darin, dass es bei der IT-Architektur immer um die automatisierte Datenverarbeitung geht. Der technische Datenschutz umfasst dagegen jede Art und Weise der Erfassung und Verarbeitung von personenbezogenen Informationen.
Implementierung in die IT-Architektur des Unternehmens
Was im Sinne des technischen Datenschutzes im Unternehmen genau getan werden muss, lässt sich nicht pauschalisieren. Die erforderlichen Maßnahmen orientieren sich am Einzelfall und der individuellen Ausgangslage der IT-Architektur. Dennoch gibt es einige Empfehlungen für konkrete technische Datenschutzmaßnahmen:
- Zutrittskontrollen zu Serverräumen und Datenverarbeitung durch elektronische Systeme oder Pförtner
- Zugangskontrollen für digitale Dateien mit Passwörtern, Verschlüsselungen und Mehr-Faktor-Authentifizierungen
- Zugriffskontrollen durch Berechtigungskonzepte, die unbefugte Dritte ausschließen
- Eingabeüberprüfung mit Protokollierung von Veränderungen oder Löschungen
- Verhinderung der Datenweitergabe über Verschlüsselungen
- Sicherstellen der Verfügbarkeit mithilfe von Back-ups und Firewalls
- Zweckgebundene Systemtrennung für Nicht-Verkettbarkeit von Daten
Schutzziele
Die Maßnahmen des technischen Datenschutzes dienen mehreren Zielen, die wiederum jegliche personenbezogenen Daten schützen und die Rechte der betroffenen Personen wahren sollen. Dazu gehören unter anderem:
- Pseudonymisierung bei der Datenverarbeitung
- Datenverschlüsselung zu jedem Zeitpunkt
- Vertraulichkeit der Informationen
- Integrität der Daten
- Verfügbarkeit des Systems
- Belastbarkeit des Systems
- Wiederherstellbarkeit der Daten
Seminare helfen in der Praxis weiter
Sowohl bei der IT-Sicherheit als auch im Bereich des Datenschutzes ist es enorm wichtig, immer auf dem neuesten Stand der Technik und der Gesetzgebung zu sein. Regelmäßige Schulungen sorgen für ein besseres Verständnis und noch mehr Sicherheit. Datenschutzbeauftragte in Unternehmen, aber auch Führungskräfte im Management können beispielsweise in diesem Aufbauseminar lernen, wie Firmennetzwerke grundsätzlich aufgebaut sind, welche Verschlüsselungsmethoden es gibt und was beim technischen Datenschutz alles beachtet werden sollte.