Die nationale Datenschutzbehörde Frankreichs, die Commission Nationale de l’Informatique et des Libertés (CNIL), hat einen aktuellen Guide zum Thema Datensicherheit nach Art. 32 Datenschutz-Grundverordnung (DSGVO) veröffentlicht. Diesen möchten wir Ihnen in dem folgenden Beitrag kurz vorstellen, vielleicht kann er Sie noch bei Ihrer Vorbereitung auf die Verordnung unterstützen.
Der Inhalt im Überblick
Datensicherheit essentieller Bestandteil des Datenschutzes
Auch wenn Datenschutz und Datensicherheit nicht deckungsgleich sind, so gibt es doch eine große Schnittmenge und effektiver Datenschutz ist ohne Datensicherheit nicht möglich. Dementsprechend regelt Art. 32 DSGVO auch, dass Verantwortlicher und Auftragsverarbeiter
„unter Berücksichtigung des aktuellen Stands der Technik, geeignete technische und organisatorische Maßnahmen zu treffen haben, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“
Recht und Technik
Wenn Recht und Technik aufeinandertreffen fällt es oft schwer, aus (unbestimmten) Rechtsbegriffen die richtigen technischen und organisatorischen Maßnahmen abzuleiten. Was bedeutet „Stand der Technik“ oder wie erreiche ich konkret ein „angemessenes Schutzniveau?“ Beim ersten Begriff kann auch dieser Beitrag weiterhelfen. Für alle weiteren Fragen kann der Guide der CNIL eine willkommene Hilfestellung zur Umsetzung der Anforderungen des Art. 32 DSGVO für Verantwortliche und Auftragsverarbeiter geben.
Anwendung und Inhalt
Laut CNIL wird der der Guide idealerweise im Zusammenspiel mit einem Risikomanagementsystems verwendet, welches sich typischerweise wie folgt aufgliedert (ausführlicher dazu im Dokument):
- Auflistung der Verarbeitung personenbezogener Daten
- Bewertung der durch die Verarbeitung hervorgerufenen Risiken
- Umsetzung und Überprüfung der geplanten Maßnahmen.
- Durchführung regelmäßiger Sicherheitsaudits.
Es werden wesentliche sicherheitsrelevante Themen aufgegriffen und grundlegende Maßnahmen gezeigt, um ein angemessenes Schutzniveau in den einzelnen Bereichen zu erlangen. Außerdem werden weitergehende Maßnahmen für mehr Sicherheit genannt und ebenso darauf hingewiesen, was unbedingt vermieden werden sollte, also auch mit Negativbeispielen gearbeitet. Der Guide ist verständlich aufgebaut und bietet eine überschaubare Übersicht über die wichtigsten Anforderungen zur Datensicherheit hinsichtlich Art. 32 DSGVO.
Am Ende gibt es noch eine Checkliste, ob auch an alles gedacht wurde. Eine gute Gelegenheit, die hoffentlich bereits fortgeschrittene Vorbereitung auf die DSGVO in diesem Bereich noch einmal auf den Prüfstand zu stellen.