Aufbau Technischer und Organisatorischer Maßnahmen - Die Datenschutzaufsichtsbehörde NRW empfiehlt den Defense-In-Depth-Ansatz

Aufbau Technischer und Organisatorischer Maßnahmen – Die Datenschutzaufsichtsbehörde NRW empfiehlt den Defense-In-Depth-Ansatz

Absicherung der Datenverarbeitung

Nach den Vorgaben der Datenschutzgrundverordnung ist jede Form der Datenverarbeitung durch Technische und Organisatorische Maßnahmen zu schützen. Die Umsetzung dieser Anforderung ist in der Praxis nicht leicht, sondern bedarf der umfassenden Planung. Dies gilt insbesondere bei der Einführung eines neuen Verarbeitungsvorganges. Die grundlegende Anforderung an die Absicherung jedes Verarbeitungsvorganges stellt dabei der Art. 32 Datenschutzgrundverordnung auf. Dieser besagt, dass sich die Auswahl der konkreten Sicherheitsmaßnahmen an dem zu erwartenden Risiko und dessen Eintrittswahrscheinlichkeit, aber auch nach den Umständen der Datenverarbeitung und den Implementierungskosten auszurichten hat.

Was meint Defense-In-Depth-Ansatz

Unter dem Defense-In-Depth-Ansatz versteht man den mehrstufigen Aufbau eines Sicherheitssystems, um Angriffe abzuwehren. Dabei ist ausschlaggebend, dass nicht eine einzige, isolierte Sicherheitsvorkehrung getroffen wird. Vielmehr sind mehrere Maßnahmen so miteinander zu kombinieren, dass bei Ausfall beziehungsweise Überwindung einer Maßnahme, die anderen Maßnahmen die Lücke ausgleichen und die Sicherheit der Datenverarbeitung weiterhin gewährleisten.

Dieses System wurde, mit im Detail andere Zielsetzung, für militärische Zwecke erarbeitet und dann auf Konzeption der Informationssicherheit übertragen.

Aber auch bei der Planung einer umfassenden Absicherung von Datenverarbeitungsvorgängen kann dieser risikobasierte Ansatz Anwendung finden.

 

Datenschutzaufsichtsbehörde empfiehlt Defense-In-Depth-Ansatz

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen weist nun in ihrem an 31. August 2021 vorgestellten Jahresbericht auf die grundlegende Bedeutung des Defense-In-Depth-Ansatz für die Absicherung der Datenverarbeitung hin. So legte sie anhand einiger Beispiele aus der Praxis dar, dass Fehler, die zu einer Verletzung des Schutzes personenbezogener Daten führen, jederzeit auftreten können. Die könne nach Einschätzung der Landesbeauftragten auch ohne Absicht der Verantwortlichen passieren. Daher habe sich der Defense-In-Depth-Ansatz in der Praxis etabliert. (https://www.ldi.nrw.de/system/files/media/document/file/26_-bericht-ldi-nrw-1.pdf S. 156)

 

Bei Fragen zur technischen und organisatorischen Absicherung Ihrer Verarbeitungsprozesse wenden Sie sich gerne an Ihr Team der aigner business solutions GmbH. Verwenden Sie dazu einfach unser Kontaktformular. Außerdem können Sie uns in der Zentrale in Hutthurm unter +49 (0) 8505 91927 – 0 oder in unserer Niederlassung in München unter +49 (0) 89 413 2943 – 0 telefonisch erreichen.

This post is also available in: Englisch