KMU: Fokus Datenschutz – Folge 5

Von Datenpannen bis zu technischen und organisatorischen Maßnahmen

Datenpanne – dieser Begriff ist in aller Munde! Doch was verbirgt sich dahinter? Datenschützer verstehen darunter Vorfälle, die den Schutz personenbezogener Daten verletzen. Solch ein Vorfall beeinträchtigt – unrechtmäßig oder unbeabsichtigt – die Sicherheit dieser Daten. Er kann zum Verlust, zur Vernichtung, zur Veränderung oder zu einer unbefugten Offenlegung der personenbezogenen Daten führen oder aber dazu, dass Unbefugte Zugang zu diesen Daten erlangen.

Gesetzliche Meldepflicht

Verliert ein Unternehmen beispielsweise eine Festplatte mit Kundendaten, verschaffen sich Hacker Zugang zu personenbezogenen Daten oder werden Daten von Mitarbeiterinnen und Mitarbeitern versehentlich gelöscht, dann hat man es mit einer Datenpanne zu tun. In solch einem Fall haben die Verantwortlichen die gesetzliche Meldepflicht zu erfüllen: Sie müssen die Aufsichtsbehörde informieren.

TOM – technische und organisatorische Maßnahmen

Unternehmen müssen – auch um solche Datenpannen zu vermeiden – bestimmte technische und organisatorische Maßnahmen ergreifen – kurz TOM genannt. Zu den technischen Maßnahmen zählen beispielsweise diese:

• Verschlüsselung der Daten bei einem Datentransfer
• Verschlüsselung der Daten auf Massenspeichern/Datenträgern
• Einsatz einer Firewall
• Einsatz aktueller Anti-Viren-Software
• Nutzung von sicheren Authentifizierungsverfahren
• automatisiertes Einspielen von Sicherheitsupdates
• Regelmäßig stattfindende Datensicherungen
• Realisierung eines Rollen- und Berechtigungskonzepts
• Realisierung eines Löschkonzepts
• Alarmanlagen als Einbruchssicherungen
• Absicherung von Türen und Fenstern

Auch organisatorische Maßnahmen zählen zu den Pflichten der Verantwortlichen:

• Protokollierung der Besucher
• Beschäftigte werden auf das Datengeheimnis verpflichtet
• Datenschutzhinweise sind bereitzustellen
• Anfragen Betroffener müssen bearbeitet werden
• Ein Notfallmanagement für den Fall einer Datenpanne muss organisiert werden
• Schulung der Mitarbeitenden

Dokumentation

Entsprechend der Datenschutzgrundverordnung, der DSGVO, muss jedes Unternehmen dokumentieren, dass es angemessene Maßnahmen ergriffen hat, um die von ihm verarbeiteten personenbezogenen Daten zu schützen. Was angemessen ist, ergibt sich im Einzelfall aus einer vorab durchgeführten Risikoanalyse.

Sie wünschen mehr Infos zu diesen Datenschutz-Themen?

Dann lassen Sie uns in Ruhe über diese Themen sprechen. Vereinbaren Sie Ihren persönlichen Termin unter Telefon 09122 6937302. Oder senden Sie uns Ihre Nachricht. Wir freuen uns auf das Gespräch mit Ihnen!

Ihr Team von Datenschutz Prinz

Lesen Sie hier weiter:

• Folge 1: Die Datenschutzbeauftragten im Unternehmen
• Folge 2: Auftragsverarbeitung und Verarbeitungsverzeichnis
• Folge 3: Einwilligungserklärung und Videoüberwachung
• Folge 4: Datenschutzhinweise und Auskunftsrecht
• Folge 5: Von Datenpannen bis zu technischen und organisatorischen Maßnahmen (TOM)