Datensicherheitskonzept für Unternehmen: Was? Wie? Wofür?

Datensicherheit bedeutet die Daten vor Verlust und Diebstahl zu schützen.

Was kommt Ihnen in den Sinn, wenn Sie Industrie 4.0 hören? Wahrscheinlich fallen Ihnen auch Stichworte wie Digitalisierung, datengetriebene Unternehmen und Datenverarbeitung ein.

Und wenn es um Daten geht, sind Worte wie Datensicherheit und Datenschutz auch gleich parat.

In diesem Artikel geben wir Ihnen

  • einen Überblick über die einzelnen Begriffe,
  • helfen Ihnen einfache Sicherheitsmaßnahmen zu ergreifen und
  • geben Ihnen Tipps an die Hand, um Ihr eigenes Datensicherheitskonzept zu erstellen.

Erfahren Sie zunächst mehr über die Differenzierung zwischen Datensicherheit und Datenschutz.

Was ist Datenschutz?

Das Wort „Datenschutz“ ist etwas irreführend, denn man könnte schnell ableiten, dass es dabei um den direkten Schutz der Daten vor Diebstahl oder Verlust geht. Dieses eher technische Themenfeld nennt sich jedoch Datensicherheit.

Datenschutz bezieht sich vielmehr auf den Schutz der Menschen, deren Daten erhoben und weiter verwendet werden. Personenbezogene Daten unterliegen dabei dem Grundsatz, dass jeder Mensch selbst bestimmen darf, wer welche Informationen über ihn oder sie als Person haben darf und wer nicht.

Personenbezogene Daten sind besonders vor Identitätsraub und Missbrauch zu schützen.

Deshalb sind personenbezogene Daten besonders schutzbedürftig. Dazu gehören Informationen wie Name, Anschrift, Familienstand und Eigentumsverhältnisse. Besonders seit der Einführung elektronischer Datenverarbeitung sind die Mengen erfasster Daten so gestiegen, dass dessen Umgang geregelt werden musste, um solche Daten vor Missbrauch zu schützen.

Die aktuelle Rechtsgrundlage zum Datenschutz bildet hierfür die DSGVO, die seit dem 25. Mai 2018 den gemeinsamen Datenschutzrahmen in der Europäischen Union vorgibt. Gemäß Art. 32 dieser Grundverordnung ist jedes Unternehmen, das personenbezogene Daten verarbeitet, verpflichtet technische und organisatorische Maßnahmen (abgekürzt TOMs) zu implementieren.

Auch externe Dienstleister der Auftragsverarbeitung sind verpflichtet technische und organisatorische Maßnahmen einzuführen und umzusetzen. Verarbeitet ein externer Dienstleister weisungsgebunden personenbezogene Daten, so bedarf es eines Auftragsverarbeitungsvertrags zwischen Auftraggeber und Auftragnehmer.

Rechtlich gesehen, sind externe Dienstleister damit Teil des Unternehmens, was eventuell zur gemeinsamen Haftung führen kann, weshalb es immens wichtig ist, sich als Auftraggeber externe Auftragnehmer der Auftragsverarbeitung gut auszusuchen.

Fragen Sie Ihren Dienstleister daher nach seinen technischen und organisatorischen Maßnahmen. Warum Sie das vor etwaigen Problemen schützen kann, erfahren Sie, wenn wir uns im Folgenden anschauen, was technische und organisatorische Maßnahmen sind.

Was sind technische und organisatorische Maßnahmen (TOMs)?

Technische und organisatorische Maßnahme zur Einhaltung der Datenschutzverordnung

Technische und organisatorische Maßnahmen sind der Fahrplan eines Unternehmens um personenbezogenen Daten zu schützen. Diese sind zwingend zur Nachweisbarkeit schriftlich festzuhalten. Dabei geht es im Wesentlichen um zwei Bereiche in der Datenverarbeitung:

  1. Die technischen Maßnahmen, das heißt, alle technischen beziehungsweise physischen Maßnahmen, die zum Schutz personenbezogener Daten ergriffen werden. Hier spricht man auch von technischem Datenschutz.
  2. Die organisatorischen Maßnahmen hingegen beziehen sich auf die Vorgehens- und Verfahrensweise der Mitarbeiter, die personenbezogene Daten verarbeiten.

Auch Ihre externen Auftragnehmer benötigen jeweils einen Fahrplan, wie sie personenbezogene Daten schützen und damit umgehen, sonst stellen diese eventuell ein Sicherheitslack in Ihrem Unternehmen dar.

Technische und organisatorische Maßnahmen: Welche Handlungen ergeben sich daraus?

Beispiele technischer Maßnahmen

  • Technisch eingerichtete Vorgaben für die Passwortkomplexität, 2 Faktoren Authentifizierung
  • Zäune und andere bauliche Absicherungen, die den Zutritt zum Gelände oder zu Gebäuden verhindern
  • Fenster- und Türsicherungen
  • Alarmanlagen
  • Pseudonymisierung Verschlüsselung personenbezogener Daten
  • Einrichten von Benutzerkonten
  • Passwort-Pflichten oder andere Identifikationsprozesse von Benutzern, z.B. durch einen biometrischen Scan-Vorgang
  • automatische Erstellung von Protokollen (sog. Logging)

Beispiele organisatorischer Maßnahmen

  • Vier-Augen-Prinzip für bestimmte Abläufe, Aufgaben oder Entscheidungen. Diese dürfen in bestimmten Bereichen nur von mindestens zwei verantwortlichen Personen getroffen werden
  • Richtlinien für die Besucheranmeldung
  • Richtlinien für die Nutzung der IT, des Internets oder mobilen Geräte
  • Anweisungen zur datenschutzkonformen Entsorgung von Dokumenten mit personenbezogenen Daten (diese ebenfalls dokumentieren)
  • Verpflichtungserklärung auf das Datengeheimnis

Welche zwei Grundprinzipien helfen Ihnen dabei technische und organisatorische Maßnahmen für Ihr Unternehmen zu definieren?

Technische und organisatorische Maßnahmen im Unternehmen einführen

Wer die Beispiele an organisatorischen und vor allem technischen Maßnahmen gelesen hat, dem oder der könnte jetzt bei dem Gedanken an die Kosten angst und bange werden.

Erleichterung bringt hier das in der DSGVO verankerte Verhältnismäßigkeitsprinzip. Dabei werden die Implementierungskosten der Wirtschaftlichkeit gegenübergestellt und abgewogen. Daher wird von kleinen Unternehmen nicht derselbe Kosteneinsatz wie von Großkonzernen gefordert, weil das wirtschaftlich unverhältnismäßig ist. Dennoch müssen technische Maßnahmen getroffen werden, die ein ausreichendes Schutzniveau personenbezogener Daten bieten.

Hiebei hilft die Durchführung eines Audits zur Risiko-Schutz-Einschätzung. Diese kann sogar innerhalb des Unternehmens, von Abteilung zu Abteilung, variieren. Auch diese Bewertung des Risikos und der getroffenen Schutzmaßnahmen sind schriftlich nachzuvollziehen.

Folgen bei Datenschutz-Verstößen

Fällt ein datenschutzrechtlicher Verstoß in den Bereich „technische und organisatorische Maßnahmen“, handelt es sich um einen Verstoß gegen die Integrität und Vertraulichkeit (DSGVO Art. 5 Abs. 1 lit. f). Dieses Missachten der Grundsätze der Datenverarbeitung kann zu einem Bußgeld von bis zu 20 Mio. € (oder 4% des Umsatzes) führen. So nachzulesen in Art. 83 Abs. 5 lit. der DSGVO.

Die Integrität meint hier, dass es nicht möglich sein darf, Daten unerkannt beziehungsweise unbemerkt zu ändern.

Wohingegen die Vertraulichkeit die Frage klärt, wer berechtigt ist diese Daten einzusehen und zu bearbeiten.

Bis hierhin haben wir uns eingehend mit dem Thema „Datenschutz“ beschäftigt. Inwiefern unterscheidet sich Datenschutz von Datensicherheit?

Was ist Datensicherheit?

Bei der Datensicherheit geht es weniger um den Schutz der Personen hinter den Daten, sondern um die Sicherheit der auf unseren Geräten gespeicherten Daten selbst. Diese vor Verlust oder Diebstahl zu schützen ist das erklärte Ziel der Datensicherheit.

Da es sich dabei aber mitunter um personenbezogene Daten handelt, ist es schwer Datensicherheit und Datenschutz voneinander abzugrenzen.

3 Tipps zur Datensicherheit: Wie kann man seine Geräte schützen?

  • Tipp 1: Updates
Sicherheitsmaßnahmen gegen Verlust von Daten: regelmäßige Updates durchführen.

Im besten Fall sind automatische Updates aktiviert und das für Folgendes:

  • Betriebssystem,
  • Browser und
  • Mailclient.

Warum ist das wichtig?

Jedes Update schließt gefährliche Sicherheitslücken und gehört somit den wichtigsten Sicherheitsmaßnahmen zur Datensicherheit.

  • Tipp 2: Firewall und Virenscanner
Maßnahme zur Datensicherheit: aktivierte Firewall

Viele Betriebssysteme und Geräte haben bereits eine Firewall und einen Virenscanner integriert. Sind diese aktiviert und werden regelmäßig aktualisiert, sollten sie vor bekannten Schad-Softwares schützen.

  • Tipp 3: Verschlüsselungen und Backups
Regelmäßig Backups zu erstellen, ist eine wichtige Maßnahme, die in jedes Datensicherheitskonzept gehört.

Schützen Sie den Zugang Ihrer Geräte durch eine Passwort-Eingabekontrolle. Verschlüsseln Sie ebenfalls einzelne Dateien oder sogar ganze Laufwerke und sichern Sie die Daten regelmäßig in einem Backup.

Die erwähnten drei Maßnahmen sind schnell und leicht umgesetzt und können jeweils so eingestellt werden, dass sie automatisch funktionieren.

Wozu dann noch ein Datensicherheitskonzept?

Was ist ein Datensicherheitskonzept?

Ein individuell erarbeitetes Datensicherheitskonzept verschafft einem Unternehmen Überblick über die zu schützenden Daten und die zu implementierenden Maßnahmen zur Datensicherheit. Auf diese Weise lässt sich der Prozess, um Daten zu sichern, vereinfachen und automatisieren. Ein einheitliches Datensicherheitskonzept existiert nicht, da der Anwendungsfall von Unternehmen zu Unternehmen differenziert.

Was beinhaltet allerdings grundsätzlich ein Datensicherheitskonzept?

Datensicherheitskonzept erstellen

Um ein geeignetes Sicherheitskonzept für Ihr Unternehmen erstellen zu können, geht es im ersten Schritt um eine Bestandsaufnahme und die Bewertung der Daten. Es gilt Fragen zu klären wie: Wo werden Daten verarbeitet? Und um welche Art von Daten handelt es sich?

So können Sie die Daten klassifizieren und unterschiedliche Sicherheitsmaßnahmen daraus ableiten. Eine mögliche Klassifizierung wäre zum Beispiel:

  • Sehr relevante Daten
  • Relevante Daten
  • Weniger relevante Daten

So erfordern „sehr relevante Daten“ beispielsweise zusätzliche Sicherheitsmaßnahmen.

Datensicherheitskonzept – Grundsätzliches zum Inhalt:

Folgende Punkte sollten in einem Datensicherheitskonzept definiert sein:

  • Zutritt zu den Daten

Wer erhält Zutritt zu den Daten? Sind Räume, in denen Datenverarbeitungsanlagen stehen, verschlossen und ausreichend vor Zutritt von Unbefugten geschützt? Zum Beispiel, dürfen Besucher sich nur unter Aufsicht in den Räumen aufhalten?

  • Zugang zu den Daten

Rechner und Geräte sind passwort-geschützt, regelmäßiger Wechsel der Passwörter, sowie Integration von Benutzererkennung

  • Zugriff auf Daten

Nur durch autorisierte Personen möglich

  • Änderung von Daten

Sind Änderungen mithilfe eines Protokolls inklusive Benutzernamen nachvollziehbar?

  • Verfügbarkeit der Daten

Werden Daten in Backups gesichert und sind so stets verfügbar?Das Thema Verfügbarkeit umfasst ebenfalls Maßnahmen zur Minimierung von Systemausfällen.

  • Weitergabe der Daten

Erfolgt diese nur mit einer Einverständniserklärung des Kunden?

  • Verantwortliche

Ein Datensicherheitskonzept benötigt immer einen Zuständigen, der sich um dessen Umsetzung im Unternehmen sowie die Kontrolle und regelmäßige Bewertung kümmert.

Datenschutzkonzept vs. Datensicherheitskonzept

Sicherheitskonzept mit Maßnahmen, um personenbezogene Daten ausreichend zu schützen.

Ein Datenschutzkonzept beinhaltet alle Maßnahmen, die getroffen werden, um personenbezogene Daten zu schützen. Zum Thema Datenschutz gibt es gesetzliche Vorschriften, die für alle Unternehmer bindend sind.

Ein Datensicherheitskonzept hingegen beschränkt sich nicht auf personenbezogene Daten, sondern sieht den Schutz aller Daten im Unternehmen vor. Hierfür eine Lösung zu erarbeiten, liegt im eigenen Interesse und Ermessen des Unternehmens.

Fazit: Datensicherheitskonzept für Unternehmen

Ein Datensicherheitskonzept im Unternehmen aufzusetzen ist sehr sinnvoll, weil es sowohl den gesamten Prozess der personenbezogenen Daten als auch der im Unternehmen zu schützenden Daten glattzieht. Angefangen von der Bestandsaufnahme der schützenswerten Daten über die Risikoanalyse bis hin zur Umsetzung, gibt ein Datensicherheitskonzept sowohl den nötigen Überblick als auch die erforderliche Handlungssicherheit.

Neben den rechtlichen Folgen eines Datenschutzverstoßes sind der Verlust firmenrelevanter Daten unter Umständen ebenfalls kostenintensiv. Entwickeln Sie ein Datensicherheitskonzept und minimieren Sie somit das Kosten-, Zeit- und Nervenrisiko, das sich aus dem Verlust oder dem Diebstahl von Daten ergibt!