Seit über vier Jahren geht ein Gespenst durch alle Abteilungen sämtlicher Unternehmen in der Europäischen Union. Es sorgt immer wieder für Unsicherheiten und Missverständnisse und ist dabei im Daily Business omnipräsent. Die Rede ist vom Datenschutz, der spätestens seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Frühjahr 2018 eine hohe Aufmerksamkeit fordert.
In diesem Zusammenhang müssen geeignete Maßnahmen ergriffen werden, um personenbezogene Daten zu schützen und die Rechte der Betroffenen zu wahren. Diese können organisatorischer Natur sein oder den technischen Datenschutz betreffen. Doch was ist das eigentlich? Warum ist die Bedeutung für Unternehmen so groß und wie lassen sich technische Datenschutzmaßnahmen in der Praxis umsetzen?
Was sind die TOM?
Zunächst einmal geht es um TOM. Hinter dieser Abkürzung stecken die technischen und organisatorischen Maßnahmen, die es umzusetzen gilt, um die Schutzziele der DSGVO zu erreichen. Organisatorische Mittel können beispielsweise konkret ausgearbeitete Konzepte, allgemeingültige Prozesse mit festen Schritten oder neue Arbeitsanweisungen sein. Technische Maßnahmen sind dagegen immer durch eine Technologie oder physisch umsetzbar. Dazu zählen Back-ups, die regelmäßig durchgeführt werden, genauso wie Verschlüsselungsprogramme, Protokollierungen, Zugangs- und Zutrittskontrollen. Nachzulesen sind die Grundlagen dafür in den DSGVO-Artikeln 32 und 25. Hier geht es um die Sicherheit der Verarbeitung und den Datenschutz durch entsprechende Technikgestaltung.
Warum spielt der technische Datenschutz eine so große Rolle?
Datenschutz hat durch die DSGVO und die möglichen sehr hohen Strafen, die bei Verstößen fällig werden können, eine essenzielle Bedeutung für alle Arbeitsabläufe im Unternehmen und seine Existenz im Allgemeinen erlangt. Der technische Datenschutz ist in diesem Zusammenhang sehr wichtig, denn er führt manchmal zu Stolperfallen. Vor allem hält sich zuweilen die Meinung hartnäckig, eine ausreichend gute IT-Sicherheit würde auch für Datenschutzmaßnahmen ausreichen.
Das ist jedoch nicht der Fall. Vielmehr gibt es einen bedeutenden Unterschied: IT-Schutzmaßnahmen betreffen immer nur die automatisierte Datenverarbeitung, technischer Datenschutz befasst sich dagegen mit jeglicher Art der Informationserfassung. Das heißt: IT-Sicherheit und Datenschutz können aufeinander aufbauen. Wo es in der IT allerdings darum geht, Datenverlust zu verhindern und das System verfügbar zu halten, sollen die technischen Maßnahmen alle personenbezogenen Daten schützen.
Wie gelingt die Umsetzung in Unternehmen?
Es gibt keinen Masterplan, wie der technische Datenschutz im Unternehmen implementiert werden sollte. Denn es kommt immer darauf an, welche individuelle Ausgangslage es in der IT gibt und welche Maßnahmen bereits getroffen wurden. Mögliche Umsetzungsideen können sein:
- Back-ups regelmäßig erstellen
- Firewalls verwenden
- Berechtigungskonzepte anlegen
- Datenzugriffe, -änderungen und -löschungen protokollieren
- Dateizugänge verschlüsseln
- physische Zutrittskontrollen, z. B. für Serverräume, einführen
- virtuelle Systeme voneinander trennen
Seminare für mehr Sicherheit und Verständnis in der Praxis
Wer technische Datenschutzmaßnahmen erfolgreich im Unternehmen umsetzen will, muss sich mit vielen Themen gut auskennen. Von Verschlüsselungsmethoden, über Grundsätze des Aufbaus von Firmennetzwerken, bis hin zu den konkreten Inhalten der DSGVO wollen zahlreiche Punkte beachtet werden. Dabei helfen Aus- und Weiterbildungen weiter. Solche Seminare gibt es auch speziell für Personen ohne technischen Background. Hier werden ganz gezielt die Datenschutzinhalte behandelt, die für die technische Umsetzung relevant sind – verständlich und praxisnah.
