Verarbeitungssicherheit
von Freya Wolfenstaedter
Die Verarbeitung von personenbezogenen Daten erfordert ein hohes Maß an Sicherheit, da meist sensible Daten verarbeitet werden. Daher ist es wichtig, geeignete und angemessene Maßnahmen zu treffen, um einen hohen Sicherheitsstandard der Verarbeitung zu gewährleisten. Dazu ist es insbesondere wichtig, sich klarzumachen, welche Verarbeitungen stattfinden, welche Daten verarbeitet werden und wie dies technisch umgesetzt wird, um anschließend ein IT-Konzept zu erstellen, welches regelmäßig auf die Wirksamkeit überprüft und gegebenenfalls überarbeitet wird.
Mit Art. 32 DSGVO besteht die Verpflichtung, geeignete und angemessene Maßnahmen zur Sicherstellung der Sicherheit der Verarbeitung personenbezogener Daten und der damit verbundenen Vertraulichkeit festzulegen. In Art. 32 Abs. 1 a) werden zum Beispiel die Maßnahmen „Pseudonymisierung“ und „Verschlüsselung“ als Beispiele für Standardmaßnahmen zur Absicherung genannt. Demnach sollten diese Maßnahmen grundsätzlich umgesetzt werden, sobald der Einsatz möglich und sinnvoll ist. Allgemein gilt, dass die Daten vertraulich behandelt werden müssen und gegen den Zugriff dritter, unberechtigter Personen geschützt werden.
Die bedeutet konkreter, dass zum Beispiel Computersysteme, die personenbezogene Daten enthalten, mit einem Passwort geschützt werden müssen. Zusätzlich sollte eine Firewall eingerichtet werden und die Datenübertragung nur verschlüsselt stattfinden. In Vereinen bspw. gilt dies auch, wenn die Daten bei Ehrenamtlichen zuhause verarbeitet werden. Hier muss dann insbesondere eine Trennung und Abgrenzung zwischen privaten und vereinsinternen Speichermedien gemacht werden.
Ebenfalls muss sichergestellt werden, dass nur berechtigte Personen auf die personenbezogenen Daten zugreifen dürfen. Für die Personen, die auf die Daten zugreifen können, ist die Kenntnis dieser Daten auch erforderlich, zum Beispiel bei Mitarbeitern in der Buchhaltung. Daher sollte ein Berechtigungsmanagement etabliert werden, um festzulegen, welche Personen zu welchen Zwecken auf welche Daten zugreifen darf.
Artikel 32 DSGVO sieht vor, dass die Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art des Umfangs und den Umständen der Zwecke der Verarbeitung, sowie mit einer Risikoabwägung zu treffen sind. Zusätzlich müssen sämtliche Maßnahmen ständig überprüft und neu bewertet werden.
Allgemein ist also die Erstellung eines IT-Sicherheitskonzepts zu empfehlen, da damit die Dokumentation über die datenschutzkonforme Verarbeitung erfolgt und die Überprüfung und Verbesserung der Maßnahmen übersichtlicher gestaltet werden können. Falls Sie Unterstützung bei der Erstellung von Datenschutz- und Sicherheitskonzepten benötigen, nehmen Sie gern Kontakt zu uns auf!