CNIL (F): Leit­fa­den zur Daten­si­cher­heit nach der DSGVO

Die fran­zö­si­sche Daten­schutz-Auf­sichts­be­hör­de CNIL hat einen Leit­fa­den zur Daten­si­cher­heit aus dem Jahr 2010 auf­da­tiert und an die DSGVO ange­passt. Der Leit­fa­den ist auf dem Stand von 2010 auf Eng­lisch ver­füg­bar, die neue Fas­sung vor­erst nur auf Fran­zö­sisch.

Der Grund­satz der Daten­si­cher­heit (Art. 32 DSGVO) zielt auf ein ange­mes­se­nes Manage­ment von Daten­schutz­ri­si­ken. Für die­ses Risi­ko­ma­nage­ment emp­fiehlt die CNIL ein vier­stu­fi­ges Vorgehen:

  1. Erfas­sung der Datenverarbeitungen
  2. Risi­ko­be­wer­tung:
    • Bestim­mung der mög­li­chen Aus­wir­kun­gen auf betrof­fe­ne Per­so­nen in drei Sze­na­ri­en: (i) unbe­fug­ter Zugang zu Per­so­nen­da­ten; (ii) uner­wünsch­te Ver­än­de­rung von Per­so­nen­da­ten, (iii) Ver­lust von Daten. Bei­spie­le uner­wünsch­ter Aus­wir­kun­gen wären etwa Iden­ti­täts­dieb­stahl, unbe­rech­tig­te Anschul­di­gun­gen infol­ge unrich­ti­ger Daten, Über­se­hen von Neben­wir­kun­gen bei einer Heil­be­hand­lung, weil medi­zi­ni­sche Daten ver­lo­ren wurden).
    • Bestim­mung der Risi­ko­quel­len, also inter­ne wie exter­ne und mensch­li­che wie son­sti­ge Gefahren;
    • Bestim­mung der Risi­ko­sze­na­ri­en, d.h. der Umstän­de, die dazu füh­ren kön­nen, dass ein Risi­ko eintritt;
    • Bestim­mung der bestehen­den oder mög­li­chen Mass­nah­men zur Gefah­ren­ab­wehr, also der tech­ni­schen und organ­sa­to­ri­schen Sicherheitsmassnahmen;
    • Ein­schät­zung der Wahr­schein­lich­keit des Risi­ko­ein­tritts;
  3. Risi­ko­min­dern­de Mass­nah­men ergrei­fen und überprüfen
  4. Regel­mä­ssi­ge Sicher­heits­über­prü­fun­gen

Die zwei­te Stu­fe, die Risi­ko­be­wer­tung, kann wie folgt dar­ge­stellt werden:

Der Leit­fa­den beschreibt sodann in 17 Kapi­teln tech­ni­sche und orga­ni­sa­to­ri­sche Sicher­heits­mass­nah­men nach der DSGVO:

  1. Sen­si­bi­li­ser les utilisateurs
  2. Authen­ti­fier les utilisateurs
  3. Gérer les habilitations
  4. Tracer les accès et gérer les incidents
  5. Sécu­ri­ser les postes de travail
  6. Sécu­ri­ser l’in­for­ma­tique mobile
  7. Pro­té­ger le réseau infor­ma­tique interne
  8. Sécu­ri­ser les serveurs
  9. Sécu­ri­ser les sites web
  10. Sau­vegar­der et pré­voir la con­ti­nui­té d’activité
  11. Archi­ver de maniè­re sécurisée
  12. Encad­rer la main­ten­an­ce et la dest­ruc­tion des données
  13. Gérer la sous-traitance
  14. Sécu­ri­ser les échan­ges avec d’au­tres organismes
  15. Pro­té­ger les locaux
  16. Encad­rer les déve­lo­p­pe­ments informatiques
  17. Chif­frer, garan­tir l’intégrité ou signer