9. November 2018 Wolfgang Fiala und Peter Gelber*

Technisch-Organisatorische Maßnahmen zum Datenschutz

Zugriffskontrolle, Verfügbarkeitskontrolle, sowie sichere Weitergabe von Daten und Protokollierung. Welche technischen Maßnahmen müssen sie treffen, um Datenschutz-konform zu sein? [...]

Wie geben Sie Daten weiter? Wie protokollieren Sie? (c) CW
Wie geben Sie Daten weiter? Wie protokollieren Sie? (c) CW

Datenschutz gewährleistet sich nicht von selbst. Das leuchtet jedem ein. Technisch-organisatorische Maßnahmen sorgen dafür, dass der Umgang mit personenbezogenen Daten auf einer sicheren Basis erfolgt.

Sowohl in der DSGVO (Art. 32) als auch im DSG (Österreichisches Datenschutz-Gesetz § 54) finden sich Aufzählungen von Maßnahmen, die gesetzt werden müssen, damit allfällige Risiken bei der Verarbeitung PbD (Personen-bezogener Daten) eingeschränkt werden. Einige davon werden in den folgenden Abschnitten beschrieben.

Zutrittskontrolle

Die Zutrittskontrolle verwehrt Unbefugten den Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird. Darunter fallen u.a. folgende Maßnahmen:

  • Schließanlagen sichern Betriebsgelände und -gebäude (Türen, Tore, Fenster etc.).
  • Schutz vor Einbruch: Betriebsgelände und -gebäude gegen Einbruch schützen (z.B. durch Alarmanlagen, Werkschutz, Videoüberwachung, Bewegungsmelder, Beleuchtung etc.).
  • Unbefugten Zutritt verhindern durch Anmelde- und Dokumentationsprozess an der Pforte, Vergabe von Besucherausweisen, Begleitung durch Mitarbeiter auf dem Betriebsgelände (Besucherregelung) den missbräuchlichen Zutritt.
  • Sicherung sensibler Unternehmensbereichen: Personalabteilung, Serverräume usw. zusätzlich gegen unbefugten Zutritt absichern durch Zutrittsberechtigungen, die auf die unbedingt erforderliche Anzahl von Personen beschränkt sind.

Zugangskontrolle

Zur Nutzung der IT-Systeme sind individuelle Anmeldedaten wie Benutzername und Passwort (Zugangsdaten) erforderlich.

  • Sämtliche Zugänge sind mit individuellen Zugängen und Passwortschutz gemäß den internen Passwort-Policies (inkl. Aktualisierung der Passwörter) zu versehen – sofern das jeweilige System dies zulässt.
  • Wo dies nicht erforderlich ist, sind die verwendeten Systeme von außen nicht bzw. nur über eine verschlüsselte Verbindung erreichbar bzw. mittels Firewall abgesichert.
  • Warnsystem Hackerangriffe: Unternehmen sind vor Angriffen von Cyberkriminellen durch Warnsysteme, die bei (versuchten) Attacken Alarm schlagen, zu schützen.

Zugriffkontrolle

Personenbezogene Daten sollten gemäß dem neuesten Stand der Technik verschlüsselt werden  und so gegen Diebstahl, Manipulation oder Zerstörung geschützt werden. Maßnahmen diesbezüglich sind z.B.:

  • Einsatz von VPN-Technologie
  • Verschlüsselung von mobilen Datenträgern (Sticks, Laptops, Tablets, Smartphones, etc.)
  • Verschlüsselung von Festplatten (Bitlocker etc)

Weitere Maßnahme sind die Einschränkung des Personenkreises:

  • Anzahl der Administratoren auf das „Notwendigste“ reduzieren.
  • Zugriffsberechtigungen sind auf das erforderliche Minimum zu beschränken (Berechtigungskonzept). Nur die Personen, die die Daten zur Erfüllung ihrer Aufgaben unbedingt benötigen, erhalten gemäß des Need-to-know-Prinzips eine Zugriffsberechtigung.

Dokumentation der Verarbeitung:

  • Insbesondere die Verarbeitungen sensibler Daten werden dokumentiert (Protokollierung) und nachvollziehbar gemacht, wann welcher Nutzer zu welchem Zweck Umgang mit den Daten hatte.

Verwahrung von Datenträgern:

  • Papierdokumente und mobile Datenspeicher welche Personen-bezogene Daten beinhalten werden in abschließbaren Möbeln aufbewahrt (Clean-Desk-Policy).
  • Verwendung einer Device Policy
  • Sichere Aufbewahrung von Datenträgern
  • Physische Zerstörung von Datenträgern vor Entsorgung/Austausch (Degausser) und Protokollierung der Vernichtung

Eingabekontrolle

Das Datenverarbeitungssystem sollte protokollieren, wer, wann, welche Daten eingegeben, verändert oder gelöscht hat (betrifft nicht nur Anwender sondern auch Administratoren).

  • Protokollierung der Eingabe, Änderung und Löschung von Daten (auch für Logfiles)
  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
  • Erstellen einer Übersicht, aus der sich ergibt, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können. (Verfahrensverzeichnis)
  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
  • Die Protokolle sind periodisch auf Unregelmäßigkeiten zu überprüfen.
  • Die Protokolle sind für einen angemessenen Zeitraum aufzubewahren und im Anschluss datenschutzkonform zu löschen.

Weitergabekontrolle

Dabei geht es einerseits darum, die Integrität und die Vertraulichkeit der Daten sicherzustellen. Dies bezieht sich darauf,  die Daten während des Transportes davor schützen, dass sie unbefugt gelesen, kopiert, verändert oder entfernt werden.

Andererseits ist es erforderlich, den Empfänger der Daten zu kennen und zu prüfen. Folgendes ist zu beachten:

  • Bei der Datenübertragung sollten Verschlüsselungsmethoden zum Einsatz kommen, die dem aktuellen Stand der Technik entsprechen.
  • Personenbezogene Daten werden ggf. vor der Weitergabe anonymisiert bzw. pseudonymisiert.
  • Papierdokumente und mobile Datenspeicher werden in verschlossenen Behältern transportiert (Sicherer Datentransport).
  • VPN für die Kommunikation über offene Netze (Bsp. Internet)
  • Verschlüsselung aller mobilen Datenträger
  • Protokollierung an der Firewall
  • Tool für den Versand von Dateianhängen per E-Mail
  • Transportverschlüsselung mittels TLS
  • E-Mail-Verschlüsselung
  • Signatur
  • Schutzwürdige Informationen werden ihrem Schutzbedarf entsprechend durch Löschen oder Vernichten entsorgt.
  • Es ist nachvollziehbar zu dokumentieren, welcher Empfänger wann welche Daten erhalten hat.
  • Geheime Dokumente bzw. Dateien, die übermittelt werden, sind mit einem Passwortschutz zu versehen. Das Passwort wird dem Empfänger separat übermittelt.
  • Beim physischen Transport: sorgfältige Auswahl von Transportpersonal und -Fahrzeugen.

Auftragskontrolle

Dienstleister, die im Auftrag personenbezogene Daten verarbeiten, sind sorgfältig nach festgelegten Kriterien auszuwählen. Die Rahmenbedingungen sind in einem AVV (Auftragsverarbeiter-Vertrag) zu vereinbaren, der mindestens den Vorgaben des Art. 28 DSGVO entspricht.

  • Auswahl des Dienstleisters unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit).
  • Der Auftraggeber vergewissert sich vor Vergabe des Auftrags, ob der Dienstleister die Einhaltung der technisch-organisatorischen Maßnahmen – zu der er nach Art. 32 Abs. 1 DSGVO verpflichtet ist – gewährleisten kann.

Verfügbarkeitskontrolle

Einsatz von Monitoringsystemen mit proaktiver Alarmierung (z.B. SMS). Weiters werden folgende Maßnahmen bzw Vorkehrungen empfohlen:

  • Backupkonzept: Es gibt ein Konzept zur regelmäßigen Datensicherung (Back-up), das die Sicherungsmethode und die Häufigkeit der Sicherung definiert. Dabei sollte die Datensicherung auf mindestens einem vom Primärspeicher getrennten Medium erfolgen.
  • USV (Unterbrechungsfreie Stromversorgung)
  • Redundante Klimaanlagen in professionellen Rechenzentren
  • Brandfrüherkennung / Feuer- und Rauchmeldeanlagen
  • Es existiert ein Notfall-Plan, der festlegt, wie im Falle der Zerstörung oder Beschädigung von Datenverarbeitungsanlagen der Geschäftsbetrieb aufrechterhalten werden kann.
  • Sensoren zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
  • Überspannungsschutz
  • Es finden regelmäßig Übungen statt, in denen Notfallsituationen (z. B. durch Wasser oder Feuer) simuliert werden und die Wiederherstellung der Daten geübt wird.

Trennungskontrolle

Dabei handelt es sich um Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Vertrauliche und geheime Daten werden separat und verschlüsselt gespeichert. Zu den Maßnahmen gehören:

  • Datentrennung auf Mandantenebene (softwareseitig)
  • Anonymisierung und Pseudonymisierung von Testsystem Festlegung von Datenbankrechten
  • Verschlüsselung des Backups

Schlussbemerkung

Die o.a. Maßnahmen sind als Möglichkeiten einzustufen. Die Granularität muss im Einzelfall und in Abstimmung mit den Ergebnissen der Risikoanalyse und der Datenschutz-Folgenabschätzung festgelegt werden.

Das Tagebuch wird zur Verfügung gestellt von:

Die bisherigen Folgen:

(8) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (2)
(7) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (1)
(6) Webseiten DSGVO sicher machen
(5) Wie man bei Auskunftsbegehren Identität richtig feststellt
(4) So müssen Lösch-Begehren befolgt werden
(3) DSGVO in der Schule
(2) DSGVO: Was tun mit spitzfindigen Auskunftsbegehren?
(2) Videoüberwachung – wer darf das und wie?
(1) DSGVO: Wie Datenpannen zu melden sind
(0) Ist die Reinigungsfirma ein Auftragsdatenverarbeiter?


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

22. November 2024

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

21. November 2024 pi/kdl

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*