Die Richtige Identifizierung Wird Sich Konzentrieren
DIE RICHTIGE ERKENNUNG VON GEFAHREN ERMÖGLICHT EINE ANGEMESSENE AUSWAHL DER SICHERHEITSMASSNAHMEN
Eine Anpassung der Verarbeitungsvorgänge durch die Durchführung einer Risikoanalyse zur Bewertung des angemessenen Risikoniveaus, die Umsetzung geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung der Fähigkeit, den Zugang zu den Daten im Falle eines Vorfalls schnell wiederherzustellen, und die Gewährleistung, dass diese Maßnahmen regelmäßig getestet, gemessen und auf ihre Wirksamkeit hin bewertet werden, gewährleistet die Sicherheit der Datenverarbeitung innerhalb einer Organisation.
Personenbezogene Daten müssen auf solche Art und Weise verarbeitet werden, dass eine angemessene Sicherheit der personenbezogenen Daten, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Beschädigung, durch geeignete technische oder organisatorische Maßnahmen gewährleistet ist („Vertraulichkeit, Integrität, Verfügbarkeit”).
Die Verpflichtung, die Sicherheit der verarbeiteten Daten zu gewährleisten, ist das Fundament des rechtlichen Schutzes personenbezogener Daten. Die DSGVO schreibt keine spezifischen Maßnahmen vor, die zu ergreifen sind um die Datensicherheit zu gewährleisten, sondern überlässt dies dem Verantwortlichen.
Bei der Konkretisierung des Vertraulichkeitsgrundsatzes ist daran zu denken, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen zu ergreifen hat, um sicherzustellen, dass die Verarbeitung im Einklang mit der DSGVO erfolgt. Die Festlegung dieser Maßnahmen erfolgt in zwei Schritten. Zunächst ist es wichtig, das Niveau des mit der Verarbeitung personenbezogener Daten verbundenen Risikos zu bestimmen, und dann muss festgelegt werden, welche technischen und organisatorischen Maßnahmen geeignet sind, um ein diesem Risiko entsprechendes Sicherheitsniveau zu gewährleisten.
Der Verantwortliche sollte keine Software verwenden, die vom Hersteller nicht mehr unterstützt wird. Es ist daran zu denken, dass in solchen Fällen keine Software-Updates, Sicherheits- und Patches für das verwendete System herausgegeben werden. Insbesondere das Fehlen integrierter und aktualisierter Sicherheitsfunktionen erhöht das Risiko einer Infektion mit Schadsoftware und von Angriffen durch die Schaffung neuer Sicherheitslücken.
Das Versäumnis, eine Risikoanalyse durchzuführen, Bedrohungen zu erkennen und geeignete organisatorische und technische Maßnahmen zu ergreifen, führt zu einer Verletzung des Schutzes personenbezogener Daten, indem die Sicherheit des IT-Systems des Verantwortlichen, das für die Verarbeitung personenbezogener Daten verwendet wird, gebrochen wird und infolgedessen die darin verarbeiteten Daten mit Schadsoftware verschlüsselt werden.
Im internen IT-Verwaltungshandbuch sollten Grundsätze für die Erstellung von Sicherungskopien und die Überprüfung der korrekten Herstellung dieser Kopien festgelegt werden, und es ist ratsam, Verfahren zur schnellen Wiederherstellung der Datenverfügbarkeit zu entwickeln.