Teil 3/7: Datensicherheit

Grundsatz der Datensicherheit

Unter Berücksichtigung des Stands der Technik, der Kosten und Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Die hierzu von seitens der DSGVO geforderten Maßnahmen sind unter anderem Pseudonymisierung, Verschlüsslung, dauerhafte Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Datenverarbeitungssysteme und Dienste. Die zeitnahe Wiederherstellbarkeit, der Verfügbarkeit der personenbezogenen Daten und den Zugang zu den Daten nach einem physischen oder technischem Zwischenfall. Verfahren zur regelmäßigen Überprüfung, die Bewertung und Evaluierung der ToM’s. Für die Umsetzung der ToM’s kann man sich z.B. an den §9 BDSG (aktuelle Fassung Bundesdatenschutzgesetz), am IT-Grundschutzkatalog des BSI oder weiteren Sicherheitsstandards (z.B. ISO27001, ISIS12, VdS 3473) orientieren.

Es besteht eine Rechenschaftspflicht, d.h. dass die verantwortliche Stelle ist für die Einhaltung der genannten Grundsätze verantwortlich und muss diese nachweisen können.

 

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.