DSGVO in der IT: Technische Maßnahmen, die Sie umsetzen müssen

Die DSGVO fordert von Unternehmen technische und organisatorische Maßnahmen (TOM), um personenbezogene Daten angemessen zu schützen. Viele Unternehmen fokussieren sich auf die Dokumentation, vernachlässigen aber die technische Umsetzung.

Was verlangt Artikel 32 DSGVO?

Artikel 32 DSGVO fordert geeignete technische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Konkret nennt die DSGVO Verschlüsselung, Pseudonymisierung, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sowie die Fähigkeit zur raschen Wiederherstellung.

Verschlüsselung: Pflicht, keine Option

Alle Geräte, die personenbezogene Daten enthalten, müssen mit Festplattenverschlüsselung gesichert sein: BitLocker auf Windows, FileVault auf Mac. E-Mails mit personenbezogenen Daten sollten verschlüsselt übertragen werden (TLS). Besonders sensible Daten erfordern Ende-zu-Ende-Verschlüsselung.

Zugriffskontrolle und Rechteverwaltung

Das Need-to-Know-Prinzip: Jeder Mitarbeitende hat nur Zugriff auf die Daten, die er für seine Arbeit benötigt. Active Directory oder Azure AD ermöglichen granulare Rechteverwaltung. Zugriffsrechte müssen bei Personalwechseln sofort angepasst werden. Privilegierte Konten (Admins) dürfen nicht für die tägliche Arbeit genutzt werden.

Protokollierung und Überwachung

DSGVO verlangt die Fähigkeit, Datenpannen schnell zu erkennen. Aktivieren Sie Audit-Logs auf allen kritischen Systemen, implementieren Sie ein SIEM (Security Information and Event Management) und definieren Sie klare Prozesse für den Umgang mit Sicherheitsvorfällen.

Verzeichnis der Verarbeitungstätigkeiten

Technisch relevant ist auch, dass Sie genau wissen, welche Systeme welche personenbezogenen Daten verarbeiten. Das Verzeichnis der Verarbeitungstätigkeiten ist die rechtliche Grundlage, die technischen Maßnahmen sind die Umsetzung.

Fazit

DSGVO-Compliance ist keine lästige Pflicht, sondern schützt Ihr Unternehmen vor Datenpannen und Bußgeldern. Beginnen Sie mit einer Bestandsaufnahme und setzen Sie die technischen Maßnahmen schrittweise um.