DSGVO-Checkliste für KMU

06. Juni 2018
Verfasst von Wulf Vogel

Die Datenschutz-Grundverordnung (DSGVO) ist seit dem 25. Mai 2018 in Kraft und es bleibt abzuwarten, in welchem Umfang Verstöße geandet werden. Auch wenn die Bußgelder nicht immer 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes betragen, liegen sie durchschnittlich 76-mal höher als bislang. Das Regelwerk ist umfangreich und gerade für kleinere bis mittlere Unternehmen aufwändig in der Umsetzung. Die zu erledigenden Aufgaben reichen zum Beispiel von der Prüfung vorhandener Datensätze (z.B. der Newsletter-Empfängerliste), der Bestellung eines Datenschutzbeauftragten (Pflicht ab einer Unternehmensgröße von zehn Mitarbeitern), des Abschlusses von Auftragsdatenverarbeitungsabkommen mit Kunden und Partnern bis hin zur Anpassung vorhandener IT-Strukturen zur Sicherung der Integrität und Vertraulichkeit der Daten.
 

Die technische Datensicherung – das Pflichtenheft

Was die Anpassung vorhandener IT-Strukturen angeht, sind viele Betriebe überfordert: Zum einen wissen sie oft nicht genau, was alles zum Pflichtenheft gehört; zum anderen verfügen sie oft nicht über die notwendige fachliche Expertise, um die Anpassungen selber vorzunehmen.

Wichtig: Firmen müssen technisch sicherstellen, dass Unbefugte keinen Zugriff auf nicht für sie bestimmte Daten erhalten. Unbefugte können externe, aber auch interne Parteien (zum Beispiel Mitarbeiter) des Unternehmens sein. Viele Firmen haben Rollenverteilungen implementiert, um den Zugriff auf Firmendaten festzulegen: So kann in der Regel die Geschäftsführung Mitarbeiter-, Finanz-, Buchführungsdaten einsehen, Mitarbeiter aber nicht. Mitarbeiter- und Kundendaten sind besonders schützenswert. Bei Mitarbeiterdaten verwalten Betriebe in großem Umfang personenbezogene Daten (Vor-, Nachname, Geburtsdatum, Religionszugehörigkeit, Steuerklasse, Wohnanschrift, Ehestand, Kinder etc.). Wer damit nicht sorgfältig umgeht, agiert mit großem Risiko.

Weitere wichtige Fragen rund um die technische Datensicherung: Wie werden Unternehmensräume gesichert? Sind die PCs und Laptops passwortgeschützt? Gibt es Firmenhandys und werden bei diesen die privaten von den beruflichen Daten mit Containertechnologie getrennt? Wird  WhatsApp firmenintern genutzt?

Wir haben in einer Checkliste die wesentlichen Aspekte der technischen Datensicherung zusammengefasst:

• Zutrittskontrolle: Maßnahmen, um Unbefugten den Zugriff zu Datenverarbeitungsanlagen zu verwehren. Dazu zählen Gebäude und Raumsicherung (Alarmanlagen, Kamerasysteme, Chipkarten, Transponder, Pförtnerdienste aber auch verschließbare Serverschränke)
   
• Zugangskontrolle: Maßnahmen, um Unbefugten den Zugang zu Datenverarbeitungssystemen (Computer) zu verwehren: Passwörter für das Booten, eingesetzte Softwareprodukte, das Betriebssystem, Bildschirmschoner mit Passwort etc.
   
• Zugriffskontrolle: Maßnahmen, die sicherstellen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und, dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach Speicherung nicht mehr unbefugt gelesen, kopiert, verändert oder entfernt werden können. Das kann gewährleistet werden durch Berechtigungskonzepte, Verwaltung der Benutzerrechte durch eine minimale Anzahl von Administratoren, Protokollierung von Zugriffen auf Anwendungen (bei Eingabe, Änderung, Löschen von Daten), Datenschutztresor etc.
   
• Trennungskontrolle: Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Möglich wird dies durch die physikalische Trennung von Systemen, Datenbanken und Datenträgern, Trennen von Produktiv und Testumgebungen, Mandantenfähigkeit relevanter Anwendungen etc.
   
• Pseudonymisierung: Verarbeitung der Daten, so dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer bestimmten Person zugeordnet werden können.
   
• Integrität: Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während des Transports oder Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Dafür können Unternehmen Verschlüsselungstechniken und Virtual Private Networks einsetzen oder beim Datenträgertransport bzw. der Datenweitergabe Transportbehälter mit Schließvorrichtung und Regelungen für eine datenschutzgerechte Vernichtung von Datenträgern arbeiten.
   
• Verfügbarkeit und Belastbarkeit: Hier geht es um Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Firmen können das sicherstellen durch eine unterbrechungsfreie Stromversorgung, Klimaanlagen, Brandschutz, Datensicherungen, sichere Aufbewahrung von Datenträgern, Virenschutz, Plattenspiegelungen u.v.m.
   
• Regelmäßige Überprüfung, Bewertung und Evaluierung: Mitarbeiter stellen weiterhin das größte Risiko für die Gefährdung der IT-Infrastruktur dar. Deswegen wird der regelmäßigen Schulung und Sensibilisierung der Unternehmensmitarbeiter eine große Bedeutung zugemessen. Unter diesen Punkt fallen darüber hinaus zentrale Dokumentationen aller Verfahren und Regelungen zum Datenschutz und eine regelmäßige Überprüfung der technischen Schutzmaßnahmen.
   

Cybercrime kommt immer unpassend

Im Fall einer Sicherheitsverletzung zum Beispiel durch eine Cyberattacke, müssen Firmen dokumentierte Prozesse zur Erkennung und Meldung sowie Umgang mit solchen vorweisen. Spätestens dann, wenn es zu einem Sicherheitsvorfall kommt, greifen gerade kleinere Betriebe ad-hoc auf einen externen IT-Dienstleister zu. Alleine das unbedachte Öffnen eines verseuchten E-Mail-Anhangs reicht nämlich aus, um die IT komplett lahmzulegen. Die größte Sorge der betroffenen Firmen ist es dann, den IT-Betrieb überhaupt erst wiederherzustellen. Anschließend geht es darum, Vorkehrungen zu treffen, dass sich ein derartiger Sicherheits-Gau nicht wiederholt.

Managed Service Provider bieten Unterstützung

Kleine und mittlere Firmen verfügen meist über keine eigene IT-Abteilung oder arbeiten mit einem (freien) externen IT-Berater zusammen, der die Fülle an IT-Aufgaben im Zuge der DSGVO und vor dem Hintergrund stark wachsender Cybercrime-Bedrohungen nicht mehr bewältigen kann. Kommt es zu einer IT-Sicherheitspanne ist der Schaden meist groß und noch lange zu spüren. Damit es gar nicht erst dazu kommt, entscheiden sich viele KMU mittlerweile dazu, den Betrieb der IT über externe Managed Service Provider sicherzustellen.

Auf Basis einer Analyse der vorhandenen Infrastruktur beraten MSPs zu notwendigen Anpassungen, führen diese auch durch und unterstützen bei einer kontinuierlichen, präventiven Betreuung. Viele Sicherheitsbedrohungen lassen sich dadurch schon im Vorfeld ausschalten und DSGVO-Anforderungen nach und nach leichter umsetzen.

Tipp:
Auch ein Datenschutzbeauftragter kann bei der Umsetzung der DSGVO-Richtlinien helfen – gerne stellen wir den Kontakt zu unserem externen Datenschutzbeauftragten her.