Die fran­zö­si­sche Daten­schutz-Auf­sichts­be­hör­de CNIL hat einen Leit­fa­den zur Daten­si­cher­heit aus dem Jahr 2010 auf­da­tiert und an die DSGVO ange­passt. Der Leit­fa­den ist auf dem Stand von 2010 auf Eng­lisch ver­füg­bar, die neue Fas­sung vor­erst nur auf Fran­zö­sisch.

Der Grund­satz der Daten­si­cher­heit (Art. 32 DSGVO) zielt auf ein ange­mes­se­nes Manage­ment von Daten­schutz­ri­si­ken. Für die­ses Risi­ko­ma­nage­ment emp­fiehlt die CNIL ein vier­stu­fi­ges Vor­ge­hen:

  1. Erfas­sung der Daten­ver­ar­bei­tun­gen
  2. Risi­ko­be­wer­tung:
    • Bestim­mung der mög­li­chen Aus­wir­kun­gen auf betrof­fe­ne Per­so­nen in drei Sze­na­ri­en: (i) unbe­fug­ter Zugang zu Per­so­nen­da­ten; (ii) uner­wünsch­te Ver­än­de­rung von Per­so­nen­da­ten, (iii) Ver­lust von Daten. Bei­spie­le uner­wünsch­ter Aus­wir­kun­gen wären etwa Iden­ti­täts­dieb­stahl, unbe­rech­tig­te Anschul­di­gun­gen infol­ge unrich­ti­ger Daten, Über­se­hen von Neben­wir­kun­gen bei einer Heil­be­hand­lung, weil medi­zi­ni­sche Daten ver­lo­ren wur­den).
    • Bestim­mung der Risi­ko­quel­len, also inter­ne wie exter­ne und mensch­li­che wie son­sti­ge Gefah­ren;
    • Bestim­mung der Risi­ko­sze­na­ri­en, d.h. der Umstän­de, die dazu füh­ren kön­nen, dass ein Risi­ko ein­tritt;
    • Bestim­mung der bestehen­den oder mög­li­chen Mass­nah­men zur Gefah­ren­ab­wehr, also der tech­ni­schen und organ­sa­to­ri­schen Sicher­heits­mass­nah­men;
    • Ein­schät­zung der Wahr­schein­lich­keit des Risi­ko­ein­tritts;
  3. Risi­ko­min­dern­de Mass­nah­men ergrei­fen und über­prü­fen
  4. Regel­mä­ssi­ge Sicher­heits­über­prü­fun­gen

Die zwei­te Stu­fe, die Risi­ko­be­wer­tung, kann wie folgt dar­ge­stellt wer­den:

Der Leit­fa­den beschreibt sodann in 17 Kapi­teln tech­ni­sche und orga­ni­sa­to­ri­sche Sicher­heits­mass­nah­men nach der DSGVO:

  1. Sen­si­bi­li­ser les uti­li­sa­teurs
  2. Authen­ti­fier les uti­li­sa­teurs
  3. Gérer les habi­li­ta­ti­ons
  4. Tracer les accès et gérer les inci­dents
  5. Sécu­ri­ser les postes de tra­vail
  6. Sécu­ri­ser l’informatique mobi­le
  7. Pro­té­ger le réseau infor­ma­tique inter­ne
  8. Sécu­ri­ser les ser­veurs
  9. Sécu­ri­ser les sites web
  10. Sau­vegar­der et pré­voir la con­ti­nuité d’activité
  11. Archi­ver de maniè­re sécu­ri­sée
  12. Encad­rer la main­ten­an­ce et la dest­ruc­tion des don­nées
  13. Gérer la sous-trai­tan­ce
  14. Sécu­ri­ser les éch­an­ges avec d’autres orga­nis­mes
  15. Pro­té­ger les locaux
  16. Encad­rer les déve­lop­pe­ments infor­ma­ti­ques
  17. Chif­frer, garan­tir l’intégrité ou signer

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.