Rechtsgrundlagen zur Organisation des Datenschutzes nach der DSGVO
IT-Sicherheitsrichtlinien gehören zu den wichtigsten Regelungen in einem Unternehmen - nicht nur unter Datenschutzgesichtspunkten, sondern auch um die generelle Handlungsfähigkeit eines Unternehmens sicherzustellen. Lesen Sie in unserem Expertenbeitrag, worauf Sie bei der Erstellung und Einführung einer IT-Sicherheitsrichtlinie achten sollten.
Wozu eine IT-Sicherheitsrichtlinie?
Die IT-Sicherheitsrichtlinie dient als Leitfaden für die Themen, die unter Datenschutzgesichtspunkten geregelt werden sollten, und stellt Beispiele für mögliche Regelungen zur Verfügung. Schwerpunkte einer Richtlinie sind der Nachweis der Ordnungsmäßigkeit der Datenverarbeitung durch Regelungen zum Einsatz, zur Nutzung, Protokollierung und zur Dokumentation des IT-Einsatzes, zur Passwortsicherheit und zur Nutzung des Internet- und E-Mail-Dienstes.
Welche Bereiche geregelt werden sollten, hängt auch davon ab, welche anderen Dokumente in diesem Umfeld bestehen. Darunter zählen unter anderem die IT-Notfallrichtlinie, Rechenzentrumsrichtlinie oder auch Projektrichtlinien. So sind beispielsweise spezielle Regelungen zur Testung von Datenverarbeitungsverfahren auch in Projektrichtlinien oder zur Datensicherung in Rechenzentrumsrichtlinien denkbar.
Mitbestimmungsrecht des Betriebsrats
Ist ein Betriebsrat eingerichtet, ist seine Mitbestimmungspflicht nach den Vorschriften des Betriebsverfassungsgesetzes zu beachten. Davon sind in diesem Zusammenhang vor allem Themen wie die Nutzung von Internet und E-Mail betroffen. Um redundante Regelungen zu vermeiden, sollten die relevanten Sachverhalte nur an einer Stelle, entweder in der IT-Sicherheitsrichtlinie oder in den einschlägigen Betriebsvereinbarungen, geregelt werden. Insoweit können einzelne Regelungen der IT-Sicherheitsrichtlinie auch in Betriebsvereinbarungen verlagert werden.
Welche Themen sollte eine IT-Sicherheitsrichtlinie regeln?
Entscheidender als die Frage, wo die entsprechenden Regelungen vorgehalten werden, ist, dass diese Sachverhalte überhaupt geregelt und im Unternehmen in geeigneter Weise kommuniziert werden. Um das Vorgehen zu erleichtern, haben wir einen Überblick über die zu regelnden Bereiche zusammengestellt:
Grundlagen für den Umgang mit IT-Systemen
Zu den Grundlagen gehören Regelungen zur Beschaffung, Testung, Einführung und Inbetriebnahme von Datenverarbeitungssystemen. In diesem Zusammenhang müssen insbesondere die anfallenden Testfälle, Testergebnisse und Freigaben sowie die Unterlagen über den Systemzustand und die Rechtegestaltung bei der Einführung und Inbetriebnahme aufbewahrt werden. Bei rechnungslegungsrelevanten Daten und Verarbeitungsverfahren unterliegen diese Unterlagen der Aufbewahrungspflicht von Rechnungsbelegen. Ein weiterer Kernbereich sind in diesem Zusammenhang Systemänderungen, Änderungen von Benutzerrechten und die Protokollierung von system- und sicherheitsrelevanten Vorgängen.
Einrichtung und Verwaltung von Benutzerkonten und Zugriffsrechten
Ein wichtiges und aus Sicherheitsgesichtspunkten sehr sensibles Thema ist die Rechtegestaltung. Hier ist ein Prozess zur Rechtevergabe einzurichten, in dessen Rahmen festgelegt wird, wer welche Rechte besitzen soll.
Die Rechte sollen grundsätzlich restriktiv vergeben werden, das heißt, den Benutzern sollen so wenig Rechte wie möglich zugeteilt werden. Keinesfalls dürfen den Benutzern Administrationsrechte gegeben werden. Unter dem Gesichtspunkt des Nachweises der Ordnungsmäßigkeit der Datenverarbeitung ist die Rechtevergabe für die Dauer der Aufbewahrungspflicht der Verarbeitungsergebnisse revisionssicher zu dokumentieren.
Das Verfahren der Rechtevergabe, der regelmäßigen Rechtekontrolle und des Rechteentzugs sollte festgelegt werden. Dazu ist auch festzulegen, welche Stellen im Unternehmen die Zuteilung, Änderungen und den Entzug von Rechten anordnen dürfen. Die Erforderlichkeit von Rechten sollte auch regelmäßig kontrolliert und von den anordnungsbefugten Stellen bestätigt werden.
Diesen Fachbeitrag vollständig lesen?
Wir freuen uns über Ihr Interesse. Diese Themen und viele andere rund um den betrieblichen Datenschutz finden Sie in unserem Fachportal für Datenschutz und Datensicherheit.
Kostenlos 4 Wochen lang testen
Sie sind bereits Nutzer von Datenschutz und Datensicherheit?
Zu diesem Beitrag finden Sie in Ihrem Ratgeber „Prozessorientiertes Datenschutzmanagement - DSGVO“ weitere Inhalte. Melden Sie sich hier an und lesen Sie alles zum Thema.
Abonnieren Sie unseren kostenlosen Datenschutz-Fachinformationsdienst und bleiben Sie stets aktuell informiert:
- Datenschutz-Fokusthemen
- Veröffentlichungen der Behörden
- Relevante Gerichtsentscheidungen
Als Dankeschön für Ihre Anmeldung erhalten Sie eine Gratis-Mustervorlage für die Umsetzung eines Löschkonzepts.