Datenschutz und IT-Sicherheit

EDV-gestütztes Arbeiten datenschutzkonform umsetzen

Im Arbeitsalltag spielen EDV-gestützte Arbeiten eine große und wichtige Rolle. Egal ob im Büro, sowie in Schulen und Praxen oder auch im Bereich moderner Dienstleistungen, Produktionsstätten oder im Außendienst: EDV und damit die Hard- und Software müssen auch im Datenschutz wichtige Voraussetzungen erfüllen, denn sie gehören zu den sogenannten technischen und organisatorischen Maßnahmen (TOM).

Die TOM sollen alle nötigen Standards erfüllen, damit die personenbezogenen Daten der Betroffenen bei jeglicher Art von Verarbeitung ausreichend geschützt sind. Aber nicht nur die Implementierung der ausreichenden EDV spielt dabei zur Einhaltung der Datenschutzgrundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG) eine wichtige Rolle. Auch die ständige Aktualisierung und Anpassung an neue Gegebenheiten ist dabei regelmäßig zu überprüfen und einzuspielen.

Ein besonderer Punkt hierbei ist die Wartung der Hard- und Software. Hierbei geht es zum einen darum, eine nötige IT-Sicherheit zu gewährleisten. Darüber hinaus muss aber auch bei der Wartung einiges in Sachen Datenschutz beachtet werden.

EDV und Datenschutz gehören zusammen

Wer sich mit dem Datenschutz beschäftigt, der muss auch automatisch das Thema IT-Sicherheit in seine Überlegungen mit aufnehmen. Beide Themen sind untrennbar miteinander verbunden. Wie oben schon beschrieben, gehören Hard- und Software zu den wichtigen technischen und organisatorischen Maßnahmen (TOM) im Datenschutz. Sie schützen die personenbezogenen Daten von Betroffenen vor Übergriffen durch Unbefugte und somit vor Schaden.

Schon vor der Einführung neuer Hard- oder Software sollte diese daher einer Prüfung im Datenschutz unterzogen werden. Welche Ansprüche müssen erfüllt werden, um die personenbezogenen Daten auf allen Ebenen der Verarbeitung zu schützen. Aber auch bestehende Tools sollten regelmäßig einer Datenschutz-Prüfung unterzogen werden.

Tipps im Umgang mit Hard- und Software im Datenschutz

  • Inventarisieren Sie jegliche Hard- und Software
  • Prüfen Sie, welche Geräte personenbezogene Daten enthalten oder verarbeiten (an welcher Stelle, zu welchem Zweck usw.) – Was sind personenbezogene Daten? – lesen Sie unseren Datenschutz-Blog
  • Prüfen Sie, wie die Daten verarbeitet werden, ob eine Rechtsgrundlage für die Verarbeitung vorliegt und ob der Datenschutz ausreichend gegeben ist
  • Nehmen Sie die Verarbeitungen in das Verzeichnis von Verarbeitungstätigkeiten (VVT) auf
  • Prüfen Sie, ob Hardware und Software auf dem neusten Stand sind und über die nötige Sicherheit im Datenschutz verfügen
  • Erkennen und definieren Sie notwendige Updates oder Wartungen – machen Sie einen Zeitplan um auch zukünftige Wartungen und Updates zu prüfen und rechtzeitig reagieren zu können
  • Legen Sie Regeln im Umgang mit den Daten fest und schulen Sie Ihre Mitarbeiter im Umgang mit personenbezogenen Daten, aber auch mit den EDV-Anwendungen
  • Stellen Sie sicher, dass die Betroffenenrechte eingehalten werden und informieren Sie den Betroffenen vor der Datenverarbeitung ausreichend

Personenbezogene Daten können überall Thema sein

Personenbezogene Daten, die in Hard- und Software verarbeitet werden, beziehen sich nicht nur auf Kunden, Bewerber oder Interessenten. Auch Mitarbeiter, Lieferanten usw. sind Betroffene, deren personenbezogene Daten verarbeitet werden. Dazu gehören IP-Adressen genauso wie auch An- und Abmeldungen an diversen Geräten.

Beziehen Sie daher immer alle Endgeräte auf denen Daten verarbeitet werden können (Smartphone, Kassensysteme, Produktionsstätte, Faxgeräte, Scanner, Kopierer usw.) in die Prüfung des Datenschutzes mit ein.

Wartung von Hard-/Software und der Datenschutz

Grundsätzlich muss man wissen, dass jegliche Form von Wartung der Hard- und Software auch einen Zugriff auf personenbezogene Daten ermöglichen kann. Daher sollte man sich immer die Frage stellen, ob der Datenschutz bei der Wartung gewährleistet werden kann. Um die Nutzung von Hard- und Software aber möglichst sicher zu gestalten, bietet sich eine Wartung in regelmäßigen Abständen an.

Wenn sich nicht ausschließen lässt, dass ein Zugriff auf personenbezogene Daten im Laufe einer Wartung erfolgt, dann muss ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) abgeschlossen werden. Dieser stellt sicher, dass mit den personenbezogenen Daten nach den Datenschutzvorgaben der eigenen Organisation vorgegangen wird und deren Level zumindest nicht unterschritten wird.

Der Verantwortliche einer Organisation ist dafür zuständig, dass der Datenschutz bei der Verarbeitung von personenbezogenen Daten eingehalten wird. So auch bei der Auftragsverarbeitung. Daher sollten sowohl der AV-Vertrag, als auch der notwendige Wartungsvertrag ausreichend sicher gestaltet und möglichst durch einen Fachmann geprüft werden.

Datenübermittlung in Drittländer

Egal mit welchem Anbieter eine Wartung durchgeführt wird und auf welche Art und Weise, es sollte immer auch geprüft werden, in welche Länder die personenbezogenen Daten übermittelt werden. Prüfen Sie vor dem Abschluss eines Wartungsvertrags daher immer auch, wohin die Daten übermittelt werden und ob hier der Datenschutz sichergestellt werden kann. Mehr zum Thema Übermittlung von personenbezogenen Daten in Drittländer, lesen Sie auch in unserem Datenschutz-Blog.

Regelmäßige Kontrolle – Audits

Auch wenn Sie die Wartung der Hard- und Software aus der Hand geben und alle notwendigen vertraglichen Grundlagen geschaffen haben: die Verantwortung für den Datenschutz bleibt in der Organisation, welche die personenbezogenen Daten erfasst und verarbeitet hat.

Daher sollte eine regelmäßige Kontrolle der vertraglich geregelten Bereiche und nicht zuletzt zur Absicherung der notwendigen gesetzlichen Regelungen stattfinden. Dazu können Audits dienen, die in festgelegten Zeiträumen die Arbeit des Auftragsverarbeiters darlegen und vor allem dokumentieren. Nicht zuletzt zur Vorlage bei der zuständigen Aufsichtsbehörde ist eine Dokumentation aller den Datenschutz betreffenden Schritte notwendig.

Dabei wird überprüft, welche Arbeiten vorgenommen werden, ob mögliche Zertifikate noch aktuell sind und ob sich an Sitz oder Art für die Datenübermittlung etwas geändert hat. Es wird also sichergestellt, dass durch das Audit die TOM ausreichend gewährleistet sind und ob auch die Auftragsverarbeitung immer noch den Grundsätzen des Datenschutzes gerecht werden.

Möglichst großen Nutzen ziehen

Wer im Datenschutz mit einem ausreichend ausgearbeiteten Konzept den Schutz der personenbezogenen Daten gewährleistet, der kann dies auch für den Schutz von anderen Daten nutzen und daraus einen Mehrwert für das eigene Unternehmen ziehen.

Unterziehen Sie die Vorgaben im Datenschutz immer auch einem Stresstest, in dem Sie Schwachstellen erkennen und möglichst früh darauf reagieren können. Diese Ergebnisse können dann auch für weitere Daten und Firmeninterner genutzt werden. Den Unterschied zwischen Datensicherheit und Datenschutz können Sie auch noch einmal hier nachlesen.

Wartungen DS-GVO-konform durchführen

Um Wartungen aller Systeme datenschutzkonform durchführen zu können, müssen viele, nicht selten komplex zusammenhängende Themenbereiche beurteilt und angepasst werden. Dabei sollte immer der (externe) Datenschutzbeauftragte mit hinzugezogen werden.

Das Team von Datenschutzberater.NRW stellt einen externen Datenschutzbeauftragten (TÜV) und hilft Ihnen gerne bei der Beurteilung der Hard- und Software-Situation in Ihrem Unternehmen in Sachen Datenschutz. Mit unseren Mitarbeitern aus den Bereichen IT-Sicherheit, Datenschutz und Steuerrecht sind wir gut aufgestellt um notwendige Datenschutz-Erstberatungen, Datenschutz-Audits und weitere projektbezogene Themenbereiche abzudecken. Nehmen Sie gerne Kontakt mit uns auf.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten. Wir betreuen Mandanten im Großraum Köln, Bonn, Düsseldorf, Wuppertal, Siegen, Siegburg und ganz NRW.

Wartung von Hardware und Software im Datenschutz