Erfahrungen & Bewertungen zu Barth Datenschutz GmbH

Artikel 32 DSGVO – was bedeutet er für Ihr Unternehmen?

28. September 2020

von Achim Barth

Dass Daten im Unternehmen durch notwendige Sicherheitsmaßnahmen geschützt werden müssen, ist nichts neues. Mit Artikel 32 der DSGVO wird jedoch noch einmal relativ klar geregelt, wie Sie personenbezogene Daten schützen müssen. Die wichtigsten Punkte stellen wir Ihnen in diesem Beitrag vor. Erfahren Sie außerdem, was das für Ihr Unternehmen bedeutet!

Artikel 32 der DSGVO beschreibt technische und organisatorische Maßnahmen (kurz TOMs), die den Datenschutz gewährleisten sollen. Die Besonderheit: Das Gesetz schreibt hier kein steifes Korsett vor, sondern empfiehlt vielmehr Richtlinien, anhand derer Sie den Datenschutz in Ihrem Unternehmen anpassen können. Der erste Schritt zu rechtskonformem Schutz personenbezogener Daten ist daher: Machen Sie sich Gedanken, welches Schutzniveau überhaupt notwendig ist!

Welche Maßnahmen Sie treffen müssen, hängt ganz von Ihrem Unternehmen ab

In Artikel 32 der DSGVO stehen betroffene Personen im Fokus, die den Risiken und Folgen einer Datenschutzpanne ausgesetzt sind. Dementsprechend müssen die Maßnahmen angepasst werden. Kunden einer großen Bank benötigen beispielsweise einen viel umfassenderen Schutz als jemand, der bei einem selbstständigen Designer einmalig Flyer für den 80. Geburtstag seines Großvaters bestellt. Und das ist klar – denn wenn Kontodaten in die falschen Hände kommen, bringt das der betroffenen Person unter Umständen weitreichende finanzielle Schäden. Gerät der Flyer dagegen in die falschen Hände, haben Sie im schlimmsten Fall nur einen weiteren Gast auf der Feier.

Damit wollen wir natürlich nicht andeuten, dass kleine Unternehmen den Datenschutz schleifen lassen können.

Absatz 2 von Artikel 32 DSGVO beschreibt das wie folgt:

„Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.“

Und wonach sollten Sie Ihre Datenschutzmaßnahmen nach Artikel 32 DSGVO nun ausrichten?

Diese Fragen helfen Ihnen, sich einen Überblick über das notwendige Schutzniveau zu verschaffen:

  • Wie und wozu werden Daten von uns gesammelt und verarbeitet?
  • Wie ist der Stand der Technik in meinem Unternehmen?
  • Wie groß ist die Gefahr eine Datenschutzpanne? Wie wahrscheinlich ist es, dass Unbefugte Zugriff auf die von uns verarbeiteten Daten erhalten?
  • Wie extrem wären die Folgen für die betroffenen Personen?

Haben Sie diese Fragen beantwortet, hilft Artikel 32, Absatz 1a-d der DSGVO mit beispielhaften Maßnahmen, die Sie zum Schutz der Daten umsetzen können. Das sind:

  1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten
  2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
  3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
  4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Einfach ausgedrückt: Speichern Sie Daten so, dass daraus kein Rückschluss auf Personen gezogen werden kann. Stellen Sie sicher, dass Ihre Systeme die sichere Verarbeitung gewährleisten und den Zugang schnell herstellen können – zum Beispiel nach einem Servercrash. Überprüfen Sie außerdem regelmäßig, ob Ihre Maßnahmen noch angebracht sind oder gegebenenfalls erneuert werden müssen. Das ist im Normalfall die Aufgabe Ihres Datenschutzbeauftragten – haben Sie keinen, können Sie zu diesem Zweck einen externen Berater beauftragen.

Der Datenschutz fängt schon bei den kleinsten Dingen an – zum Beispiel dem Passwort

Obwohl immer wieder auf sichere Passwörter hingewiesen wird, war auch im Jahr 2019 noch das beliebteste Passwort – Sie ahnen es schon – „123456“. Solch ein Passwort wird sofort geknackt – und das bedeutet: Wenn Ihre Mitarbeiter dieses Passwort überall nutzen, ist der unbefugte Zugriff auf die von ihnen verarbeiteten Daten mehr als ein Kinderspiel!

Datenschutz beginnt deshalb schon bei solchen kleinen, auf den ersten Blick wohl unwichtig scheinenden Sachen. Schon ab einer Passwortlänge von zehn Zeichen (inklusive Zahlen, Groß- und Kleinbuchstaben und Sonderzeichen) braucht es bis zu mehrere hundert Jahre, um die richtige Kombination zu finden. Und wenn Sie ganz sicher gehen wollen: An 24 Zeichen beißen sich Angreifer eine Oktillion Jahre lang die Zähne aus.

Weitere Maßnahmen, die Ihnen helfen, Artikel 32 DSGVO umzusetzen

Doch Passwörter sind nicht die einzigen TOMs, auf die Unternehmen im Rahmen von Artikel 32 der DSGVO setzen können. Hier einige weitere Beispiele für Sicherheit schaffende Maßnahmen:

  • Dokumente mit Daten nicht einfach nur wegwerfen, sondern schreddern bzw. vernichten
  • Mitarbeiter auf den sicheren Umgang mit E-Mails hinweisen
  • Kommunikation verschlüsseln
  • Firewall und Virenschutz einrichten
  • Firmen-PCs oder Firmenhandys nicht privat nutzen
  • Backups anlegen
  • Nicht mehr benötigte Daten regelmäßig löschen – zum Beispiel Bewerberdaten
  • Und ganz klassisch: Türen und Schränke mit geeigneten Sicherheitsschlössern ausstatten

Unser Fazit

Artikel 32 der DSGVO bringt noch einmal auf den Punkt, was sicherheitsbewussten Unternehmen auch vorher schon bekannt war: Personenbezogene Daten müssen den Umständen und Risiken entsprechend geschützt werden. Wie das aussieht, bleibt jedoch Ihnen überlassen. Das Gesetz gibt zumindest einige Anhaltspunkte, an denen Sie sich schon gut orientieren können!

Quelle: Art. 32 DSGVO Sicherheit der Verarbeitung

Von |2022-03-02T10:23:34+01:00September 2020|Datenschutz im Unternehmen, DSGVO|