Technische und organisatorische Maßnahmen
Datensicherheit
Verantwortliche und Auftragsverarbeiter haben ein angemessenes Schutzniveau zu gewährleisten. Das schließt u. U. die Pseudonymisierung und Verschlüsselung personenbezogener Daten ein, die Fähigkeit, Daten integer, vertraulich und verfügbar zu halten und belastbare Systeme einzusetzen.
Werden besondere Kategorien personenbezogene Daten verarbeitet, schreibt das DSG NW besondere Garantien zu ihrem Schutz vor:
- Der EU-DSGVO entsprechende technische und organisatorische Maßnahmen
- Die Erfassung, Änderung und Löschung muss protokolliert werden.
- Die Beteiligten müssen sensibilisiert werden
- Der Zugang muss (auch gegenüber dem Auftragsverarbeiter) beschränkt werden
- Die Daten müssen anonymisiert oder wenigstens pseudonymisiert werden
- Die Daten müssen verschlüsselt werden
- Vertraulichkeit und Integrität müssen sichergestellt werden
- Eine Datenwiederherstellung muss unverzüglich möglich sein
- Die technischen und organisatorischen Maßnahmen müssen regelmäßig überprüft werden
- Illegale Übermittlungen und Zweckänderungen müssen verhindert werden
Datensicherung
Verantwortliche und Auftragsverarbeiter sollen die Fähigkeit besitzen, die Verfügbarkeit personenbezogener Daten rasch wiederherzustellen.
In aller Regel ist dies durch ein (automatisches, aber kontrolliertes) Datensicherungsprogramm möglich. Die Medien, auf denen die Datensicherung erfolgt, sollten dabei natürlich gegen Vernichtung geschützt werden, also u. a. in einem anderen Brandabschnitt als die Server aufbewahrt werden.
Datensicherungsmedien sind vom „Recht auf Vergessen“ auch betroffen. Personenbezogene Daten, die gelöscht werden müssen, dürfen sich auch nicht mehr auf Datensicherungsmedien befinden.
Kontrollen
Verantwortliche und Auftragsverarbeiter sollen ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit aller Maßnahmen einsetzen.
Es sollen nur Personen eingesetzt werden, die personenbezogene Daten nur auf Anweisung des Verantwortlichen verarbeiten. Die Personen müssen geschult und sensibilisiert sein.
DSG NW: Die Unterlagen über die technischen und organisatorischen Maßnahmen unterliegen nicht dem IFG NW. Sie dürfen also aufgrund einer Anfrage nach Informationsfreiheit nicht übermittelt werden.
Weitere Informationen
- Kein "Privacy by Default" bei Facebook.
- Der "Stand der Technik" nach Art. 32 EU-DSGVO.
- Zur Sicherheit von Serverräumen.
- Beispiele für Anonymisierung und Pseudonymisierung.
- Fachartikel der "Datenschutzpraxis zum Thema.
- Technische und organisatorische Maßnahmen in der Praxis.
- Zur Integrität.
- TOM bei Dr. Datenschutz.