Die acht Grundregeln des Datenschutzes müssen Sie beachten
Um den gesetzlichen Anforderungen gerecht zu werden, sollten Sie die Einhaltung dieser 8 Grundregeln regelmäßig überprüfen. Ich habe Ihnen dafür im Anschluss eine Checkliste mit Erläuterungen erstellt, die Sie gemeinsam mit Ihrem IT-Leiter bei einem Rundgang durch Ihr Unternehmen durchgehen und abhaken sollten.
Nr. 1: Zutrittskontrolle
Hinweis: Legen Sie fest, welche Räume oder Etagen besonders zu sichern sind. Haben Sie die Räumlichkeiten festgelegt, dann müssen Sie bestimmen, welche Personen Zugang zu welchen Räumen bzw. Abteilungen haben sollen. Denken Sie auch an das Personal für die Reinigung der Räume. Direkt aus der Aufteilung der Räume leitet sich eine Besucherregelung ab.
Nr. 2: Zugangskontrolle
Hinweis: Die Zugangskontrolle regelt, wie sich Benutzer authentifizieren müssen. Prüfen Sie hier, ob ein Passwort eine bestimmte Länge haben muss, aus Zahlen, Buchstaben und Sonderzeichen besteht (Komplexität). Sie sollten ebenfalls festlegen, dass das Passwort in einem vorgegebenen Zeitraum geändert werden muss und sich bei dieser Änderung nicht wiederholen darf.
Bundesdatenschutzgesetz macht Zugriffskontrolle und Weitergabekontrolle notwendig
Nr. 3: Zugriffskontrolle
Hinweis: Die Zugriffskontrolle hängt sehr eng mit der Zugangskontrolle zusammen. Bei der Zugriffskontrolle soll sichergestellt werden, dass Personen nicht die Möglichkeit haben, über ihre Berechtigungen hinaus auf Daten zuzugreifen. Prüfen Sie, ob beispielsweise Datenbanken mit personenbezogenen Daten ohne Authentifizierung aufrufbar sind.
Nr. 4: Weitergabekontrolle
Hinweis: Sie müssen ausschließen können, dass personenbezogene Daten auf externe Datenträger wie z. B. USB-Stick oder USB-Festplatten kopiert werden können. Liegen die Daten in einzelnen Dateien vor, müssen diese verschlüsselt werden. E-Mails, die personenbezogene Daten beinhalten, müssen ebenfalls verschlüsselt werden.
Nr. 5: Eingabekontrolle
Hinweis: Anhand von Protokollen muss jederzeit überprüfbar sein, wer Daten in Programmen zur Erfassung von personenbezogenen Daten geändert oder gelöscht hat. Das Gleiche gilt für die Änderung und das Anlegen von Berechtigungen für die Zugangskontrolle.
Auftragskontrolle und Verfügbarkeitskontrolle als Grundregeln im Datenschutz
Nr. 6: Auftragskontrolle
Hinweis: Mit der Auftragskontrolle wird geregelt, dass personenbezogene Daten nur nach den expliziten Weisungen des Auftraggebers verarbeitet werden. Als Datenschutzbeauftragter sind Sie dazu verpflichtet zu prüfen, ob personenbezogene Daten beim beauftragten Dienstleister korrekt verarbeitet werden.
Nr. 7: Verfügbarkeitskontrolle
Hinweis: Personenbezogene Daten dürfen niemals verloren gehen, es sei denn, dass eine Löschung gemäß den Aufbewahrungsfristen statthaft ist. Zu diesem Zweck müssen diese Daten regelmäßig gesichert werden und es muss jederzeit eine Rücksicherung möglich sein.
Nr. 8: Zweckbindung
Hinweis: Personenbezogene Daten dürfen nur für den Zweck verarbeitet und genutzt werden, für den sie erhoben wurden. Diese Daten müssen demnach logisch separat behandelt und physisch separat gespeichert werden.