DSGVO-Arbeitshilfe: Sieben Datenschutz-Maßnahmen für Unternehmen und Startups

Unternehmen in Deutschland sind laut DSGVO dazu verpflichtet, geeignete Maßnahmen zu ergreifen, um personenbezogene Daten angemessen zu schützen. Aber was gibt es dabei zu beachten? Die TÜV SÜD-Tochter uniscon stellt sieben essentielle Datenschutz-Maßnahmen kurz vor.

Compliance-Evaluierung

Compliance – also die Einhaltung von regulatorischen Vorgaben und Gesetzen – betrifft alle Unternehmen, jedoch in unterschiedlichem Ausmaß. Je nach Branche können neben DSGVO und BDSG weitere Richtlinien gelten, zum Beispiel aus dem Wettbewerbs- oder Finanzrecht. Klären Sie, wo Ihr Unternehmen steht und welche Regulierungen Sie befolgen müssen, bevor Sie weitere Datenschutz-Maßnahmen einleiten.

Risikobewertung

Als nächsten Schritt sollten Unternehmen eine Risikobewertung durchführen. Dies erfordert häufig die Unterstützung eines Datenschutzbeauftragten. Als Faustregel gilt: Je schutzbedürftiger die Daten sind, die erhoben und/oder verarbeitet werden sollen, desto aufwändiger müssen die Maßnahmen zu ihrem Schutz ausfallen. Eine frühzeitig durchgeführte Bewertung erleichtert die Skalierung und hilft so dabei, Kosten zu sparen.

Verschlüsselung

Es sollte eigentlich selbstverständlich sein: Sensible Daten gehören verschlüsselt! Das gilt sowohl bei der Übertragung als auch bei der Speicherung. Ausreichend verschlüsselte Daten gelten per se als sicher, weil sie selbst im Falle eines Datenverlusts für Angreifer ohne den passenden Schlüssel nicht les- oder verwertbar sind.

(Bei der Verarbeitung müssen die Daten zwar unverschlüsselt vorliegen, können aber durch entsprechende Infrastrukturen so geschützt werden, als wären sie weiterhin verschlüsselt. Beim Confidential Computing oder Sealed Computing erfolgt die Verarbeitung in speziell versiegelten Hardware-Umgebungen, die einen unbefugten Zugriff auf unverschlüsselte Daten zuverlässig ausschließen.)

Pseudonymisierung

Bei der Pseudonymisierung von personenbezogenen Daten werden gezielt identifizierende Informationen aus Datenschnipseln entfernt. Beispielsweise ersetzt man die Namen von Personen durch zufällig generierte Zeichenketten. So bleiben zwar noch nützliche Daten übrig, diese enthalten allerdings keine sensiblen Informationen mehr. Das heißt, die Risiken sind stark reduziert und die Verfahren im Falle einer Datenschutzverletzung oder eines Datenverlustes sind deutlich einfacher.

Zugangskontrollen

Die Einführung von Zugriffskontrollen in den Arbeitsablauf Ihres Unternehmens ist ebenfalls eine effiziente Methode zur Risikominimierung. Logisch: Je weniger Personen Zugriff auf die Daten haben, desto geringer ist das Risiko einer versehentlichen oder vorsätzlichen Verletzung oder eines Datenverlusts. Erstellen Sie mit Hilfe Ihres Datenschutzbeauftragten eine klare und präzise Datenschutzrichtlinie, um die Rollen, Methoden und Verantwortlichkeiten der involvierten Mitarbeiter darzulegen.

Backups

Backups helfen dabei, Datenverluste zu verhindern, die durch Benutzerfehler oder technische Störungen auftreten können. Sie sollten regelmäßig erstellt und aktualisiert werden. Das verursacht zwar zusätzliche Kosten für Ihr Unternehmen, aber potenzielle Unterbrechungen des Geschäftsbetriebs sind in der Regel weitaus kostspieliger.

Löschung

Laut DSGVO sind Unternehmen dazu verpflichtet, die Daten zu löschen, die Sie nicht benötigen (vgl. Art. 5 („Datenminimierung“) und Art. 17 („Recht auf Vergessenwerden“)). Unternehmen sollten daher ein entsprechendes Löschkonzept aufstellen. Darin sind beispielsweise auch Löschfristen und Laufzeiten festzulegen.

Fazit

Unternehmen stehen vor der Wahl, entweder selbst geeignete Datenschutz-Maßnahmen zu treffen oder die Dienste von Drittanbietern in Anspruch zu nehmen, die sich auf Datenschutz und Datensicherheit spezialisiert haben – wie zum Beispiel der TÜV SÜD oder die uniscon GmbH. Je nach Unternehmensgröße, Branche und Art der erhobenen Daten lassen sich so nicht nur Prozesse vereinfachen, sondern auch Kosten sparen. Nutzen Unternehmen etwa hochsichere und zertifizierte Dienste wie idgard®, erfüllen sie damit bereits ihre vom Gesetzgeber geforderten Kontroll- und Sorgfaltspflichten.

So können Sie sich auf Ihr Kerngeschäft konzentrieren – und überlassen den Datenschutz den Experten.

Dies ist ein Gastbeitrag von uniscon. Weitere Blogbeiträge zu den Themen Datenschutz und Datensicherheit finden Sie im privacyblog.