26.04.2018 |
von LK Österreich
Infoblatt zu den möglichen technisch-organisatorischen Maßnahmen
Die Datenschutz-Grundverordnung erwartet, dass Sie dafür Sorge tragen, dass die Datensicherheit bei der Verarbeitung von personenbezogenen Daten gewährleistet ist. Dies wird durch einen angemessenen Einsatz von technisch-organisatorischen Maßnahmen umgesetzt.
Die Anforderungen an die jeweils notwendigen technisch-organisatorischen Maßnahmen bemessen sich an ihren Datenverarbeitungen und den Risiken, die mit den Datenverarbeitungen für die betroffene Person verbunden sind. So sind beispielsweise Datenverarbeitungen im Zusammenhang mit Gesundheitsdaten mit einem höheren Risiko für den Betroffenen verbunden, da im Falle eines Verlusts oder Diebstahls der Person ein höherer Schaden drohen kann, als wenn es sich z.B. nur um Adressdaten handelt.
Es wird schnell klar, dass gemessen an den Daten und Datenverarbeitungen des durchschnittlichen Direktvermarkters, Urlaub am Bauernhof-Betriebes, agrarischen Vereines oder Arbeitgebers hier ein anderer Maßstab an den technisch-organisatorischen Maßnahmen zu setzen ist, als bei großen Unternehmen mit zahlreichen Mitarbeitern und komplexen Datenverarbeitungen. Dennoch ist es wichtig, dass die Daten, die Sie verarbeiten genauso geschützt sind, vor allem dann wenn es sich z.B. um Mitarbeiterdaten handelt. Nachfolgende mögliche technisch-organisatorische Maßnahmen sollen Ihnen eine Hilfestellung bei der Auswahl Ihrer Maßnahmen bieten. Machen Sie Angaben dazu, welche dieser Maßnahmen Sie als Verantwortlicher in welcher Weise treffen und hängen Sie sie dem Verzeichnis von Verarbeitungstätigkeiten an.
Die Anforderungen an die jeweils notwendigen technisch-organisatorischen Maßnahmen bemessen sich an ihren Datenverarbeitungen und den Risiken, die mit den Datenverarbeitungen für die betroffene Person verbunden sind. So sind beispielsweise Datenverarbeitungen im Zusammenhang mit Gesundheitsdaten mit einem höheren Risiko für den Betroffenen verbunden, da im Falle eines Verlusts oder Diebstahls der Person ein höherer Schaden drohen kann, als wenn es sich z.B. nur um Adressdaten handelt.
Es wird schnell klar, dass gemessen an den Daten und Datenverarbeitungen des durchschnittlichen Direktvermarkters, Urlaub am Bauernhof-Betriebes, agrarischen Vereines oder Arbeitgebers hier ein anderer Maßstab an den technisch-organisatorischen Maßnahmen zu setzen ist, als bei großen Unternehmen mit zahlreichen Mitarbeitern und komplexen Datenverarbeitungen. Dennoch ist es wichtig, dass die Daten, die Sie verarbeiten genauso geschützt sind, vor allem dann wenn es sich z.B. um Mitarbeiterdaten handelt. Nachfolgende mögliche technisch-organisatorische Maßnahmen sollen Ihnen eine Hilfestellung bei der Auswahl Ihrer Maßnahmen bieten. Machen Sie Angaben dazu, welche dieser Maßnahmen Sie als Verantwortlicher in welcher Weise treffen und hängen Sie sie dem Verzeichnis von Verarbeitungstätigkeiten an.
1. Zugangs-, Zugriffs- und Trennungsregelungen
- Die Räume mit den Akten sind versperrt
- Die Aktenschränke sind versperrt
- Mitarbeiterakten sind gesondert verwahrt und versperrt
- Alle Akten sind geordnet verwahrt
- Die Räume mit den PC-Anlagen sind versperrt
- Zu den Räumlichkeiten haben…Zugang
- Die PC-Anlagen werden von…genutzt
- Sie besitzen einen Administrator-Zugang zu den PC-Anlagen, den nur sie nützen können - Der Administrator-Zugang ist passwortgeschützt, welches nur sie kennen
- Die Daten liegen nicht bereits am Desktop, sondern sind ordentlich abgelegt
- Nach einer Inaktivität von … (empfohlen werden 15 Minuten) werden alle Systeme automatisch gesperrt
- Die Passwörter sind nur ihnen bekannt und es sind sichere Passwörter
- Die PC-Anlagen werden nach Verwendung immer runtergefahren oder gesperrt
- Mitarbeiter erhalten eigene Benutzer-Zugänge oder nur eingeschränkte Nutzungsrechte zu jenen Daten, die für ihre Aufgabenerfüllung notwendig ist
- Mitarbeiter werden zur Vertraulichkeit verpflichtet und regelmäßig über die Scherheitsmaßnahmen geschult
2. Verfügbarkeit und Sicherheit
- Die PC-Anlagen verfügen über einen aktuellen Virenschutz
- Der Internetzugang ist durch eine Firewall geschützt
- Die Daten werden in regelmäßigen Abständen auch extern gesichert. Das externe Medium ist passwortgeschützt
- Mitarbeiter dürfen keine externen Medien ohne Genehmigung anschließen