Gem. Art. 30 Abs. 1 lit. g DSGVO hat der Verantwortliche als Teil des Verzeichnisses von Verarbeitungstätigkeiten die technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO zu beschreiben.

Diese Maßnahmen schließen unter anderem folgende Schutzziele ein:

• Vertraulichkeit
  • Zutrittskontrolle
  • Zugangskontrolle
  • Zugriffskontrolle
  • Zweckbindung und Trennbarkeit
  • Verschlüsselung
  • Pseudonymisierung
• Integrität
  • Eingabekontrolle
  • Transport- bzw. Weitergabekontrolle
• Verfügbarkeit und Belastbarkeit

   

Basiselemente:

• Firewall aktualisieren
• Schutz vor Viren & Würmern usw.
• regelmäßige Sicherheits-Updates installieren
• sichere Passwörter verwenden
• Zwei-Faktor-Authentisierung

Es sollten Unternehmensrichtlinien oder Arbeitsanweisungen erstellt werden, welche die Vorgaben in Sachen Datenschutz und IT-Sicherheit für das Unternehmen wiedergeben und verbindlich regeln.

Der Faktor "Mensch" ist bisher das größte Einfallstor für Cyberkriminelle. Daher ist - neben der IT-Sicherheit - eine regelmäßige Sensibilisierung bzw. Unterrichtung des Verantwortlichen und aller Beschäftigen eines der wichtigsten organisatorischen Maßnahmen.

Jährliche Überprüfungen sind eine notwendige Maßnahme, um den aktuellen Stand zu ermitteln.

Schwerpunkte des Audits können z.B. sein:

• Begehung der Räumlichkeiten
• Prüfung der PC-Arbeitsplätze
• datenschutzkonforme Entsorgung und Löschung
• Archivräume/Archivschränke

Falls Sie sich schon einmal einen Überblick verschafft haben (siehe Schritt 3), dann können die dort angelegten Dokumentationen sehr hilfreich für das Audit sein. Diese Unterlagen sollten nun ggf. vervollständigt oder aktualisiert werden.