IT-Sicherheit: verändertes Prüfverhalten der Datenschutz-Aufsichtsbehörden

von Sebastian Kraska

[IITR – 30.11.14] Die Datenschutz-Aufsichtsbehörden legen bei der Prüfung von Unternehmen zunehmend ihren Focus auf den Bereich der IT-Sicherheit. Zuletzt hatte die bayerische Datenschutz-Aufsichtsbehörde stichprobenartig Mail-Server auf ihre technische Konfiguration hin überprüft, ohne vorab die betroffenen Unternehmen informiert zu haben. Der Beitrag stellt die rechtlichen Anforderungen im Bereich der IT-Sicherheit sowie das veränderte Prüfverhalten der Datenschutz-Aufsichtsbehörden dar.

Anstieg der Prüftätigkeit im Bereich IT-Sicherheit

Allgemein ist über den Verlauf der vergangen Jahre sowohl ein Anstieg der Prüftätigkeit der Datenschutz-Aufsichtsbehörden als auch ein Wechsel von eher rechtlich geprägten Datenschutz-Vorgaben hin zur Einhaltung technischer Mindeststandards zu verzeichnen.

Focus auf IT-Sicherheit: rechtliche Anforderungen

Unternehmen haben gemäß § 9 Bundesdatenschutzgesetz „die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften (…) [des Bundesdatenschutzgesetzes] zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“

Die Anlage zu § 9 Bundesdatenschutzgesetz konkretisiert diese Anforderungen weiter in die Bereiche Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle sowie das Trennungsgebot. Zudem findet insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren Erwähnung.

Beispiel: Prüfung der Mail-Server

Das Bayerische Landesamt für Datenschutzaufsicht (Datenschutz-Aufsichtsbehörde für Unternehmen in Bayern) hat Anfang September 2014 stichprobenartig ausgewählte Mail-Server bayerischer Unternehmen dahingehend untersucht, ob die Kommunikation zwischen den Mail-Servern verschlüsselt erfolgt ...

Zum vollständigen Artikel

Datenschutz-Kit für Unternehmen

Datenschutz-Kit: Kostengerechte Datenschutz-Lösung für kleinere Unternehmen und Organisationen. Bestellung des externen Datenschutzbeauftragten gemäß Bundesdatenschutzgesetz.


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK