IT-Service & die neue Datenschutz-Grundverordnung
Ab dem 25. Mai 2018 greift die neue Datenschutz-Grundverordnung
Ein professioneller IT-Service für Ihr Unternehmen schafft zuverlässige Systeme und verbessert die Sicherheit im Umgang mit der EDV deutlich. Die DSGVO hat die Messlatte im Bezug auf die IT nochmals angehoben: Wer eine EDV im Unternehmen einsetzt, muss die Daten darauf entsprechend schützen. Wir helfen Ihnen bei der Umsetzung von den wichtigsten Zielen: IT-Sicherheit, Vertraulichkeit und Verfügbarkeit
Oftmals fehlen den Unternehmen eigene Experten für die EDV-Betreuung. Um Bußgelder zu vermeiden, können wir mit der professionellen IT-Betreuung als Dienstleistung helfen. Das gilt natürlich nicht nur in Bezug auf die Datenschutz-Grundverordnung. Wir können auf Wunsch Ihre IT-Systeme per Fernwartung auf dem aktuellen Stand halten und für einen effizienten Hackerschutz sorgen. Selbstverständlich stehen wir als erfahrene IT-Administratoren auch dann zur Verfügung, wenn Sie Hilfe bei der Planung, Einrichtung und Inbetriebnahme neuer IT-Systeme oder Websites benötigen. Setzen Sie Datenschutz und Datensicherheit mit oftmals kostengünstigen Lösungen um.
Sie wünschen sich ein IT-System für Ärzte und Anwälte, bei dem alle TOMs der DSGVO und die Standards der ISO/IEC 27002 auf höchstem Niveau umgesetzt werden? – Dann fragen Sie uns am besten sofort nach dem professionellen IT-Service für die Computersysteme Ihrer Praxis oder Kanzlei!
Welche Vorteile brachte die Datenschutz-Grundverordnung (DSGVO)?
Vor dem Inkrafttreten der DSGVO hatten viele Experten Probleme, die sich mit dem IT-Service für international tätige Unternehmen beschäftigten. Sie resultierten aus Unsicherheiten bezüglich der in den einzelnen Ländern unterschiedlichen Datenschutzregelungen. Diesen Unsicherheiten machte die DSGVO durch die Vereinheitlichung der Mindestanforderungen an den Schutz personenbezogener Daten ein Ende. Das gilt zumindest für den Austausch von Daten zwischen den Ländern der Europäischen Union. Dort darf der „freie Verkehr personenbezogener Daten“ nach dem Absatz 3 des Artikels 1 der Datenschutz-Grundverordnung „weder eingeschränkt noch verboten werden“. Das heißt, die DSGVO setzte auch den länderrechtlichen Regelungen des Datenschutzes enge Grenzen.
Nicht warten, sondern sofort handeln, wenn Sie keine Abmahnungen oder gar Bußgelder nach der DSGVO riskieren möchten!
Welche Erfordernisse (TOMs) leiten sich aus der DSGVO für den IT-Service ab?
Das Kürzel TOMs steht für „technisch-organisatorische Maßnahmen“. Eigens dafür macht die Datenschutz-Grundverordnung im Artikel 42 die Forderung nach der Einführung von Zertifikaten und Prüfzeichen auf EU-Ebene und auf Länderebene auf. Sie stellen den eindeutigen Nachweis dar, dass beim IT-Service und beim Aufbau der IT-Systeme sowie beim Datenaustausch alle Bestimmungen der DSGVO eingehalten werden.
Der Artikel 46 fordert zusätzliche Garantien beim Austausch von Daten mit Drittländern oder international tätigen Organisationen. Das heißt, beim IT-Service und den TOMs der DSGVO ist eine feine Differenzierung zwischen dem innereuropäischen und dem außereuropäischen Datenaustausch erforderlich. Darauf mussten auch amerikanische Großunternehmen reagieren. Eine der Folgen der Datenschutz-Grundverordnung war, dass Microsoft den IT-Service in Form der Bereitstellung von Speicherplatz in der Cloud für europäische Nutzer von Office 365 in ein eigens dafür gebautes Serverzentrum in Deutschland verlagerte.
DSGVO definiert die TOMs leider nicht zu 100 Prozent klar
An dieser Stelle bleibt die Lage für den IT-Service für die Verarbeitung personenbezogener Daten in einigen Punkten unklar. Im Artikel 32 der DSGVO findet sich dazu die Formulierung, dass alle technisch-organisatorischen Maßnahmen „ein dem Risiko angemessenes Schutzniveau gewährleisten“ müssen. Zusätzlich benennt die Datenschutz-Grundverordnung im gleichen Artikel einige einschränkende Faktoren. Sie umfassen:
- den jeweils aktuellen Stand der Technik
- die für die Implementierung anfallenden Kosten
- die Art, den Umfang und den Zweck der Verarbeitung personenbezogener Daten
- die Wahrscheinlichkeit einer widerrechtlichen Nutzung der Daten
Das heißt, auch seit dem Inkrafttreten gibt es bei den Maßnahmen zur Datensicherheit einen erheblichen Ermessensspielraum. Wir empfehlen beim IT-Service für Ärzte und Rechtsanwälte stets, von einem hohen Risiko auszugehen und den bestmöglichen Datenschutz in die IT-Systeme zu integrieren. So ist im Ernstfall die Gefahr geringer, eine Schadenersatzforderung nach einem erfolgreichen Datendiebstahl bedienen zu müssen. Es ist leider eine Tatsache, dass ein hundertprozentiger Schutz der IT-Systeme vor dem unbefugten Zugriff Dritter auf personenbezogene Daten nach dem aktuellen Stand der Technik unmöglich ist. Daran wird sich auch in naher Zukunft nichts ändern. Das ist übrigens einer der Gründe, warum Sie den IT-Service immer in die Hände erfahrener Experten legen sollten.
Einschränkende Faktoren
Welche Beispiele benennt die DSGVO bei den TOMs?
Der Artikel 32 der Datenschutz-Grundverordnung enthält einige Grundregeln, die beim IT-Service und dem Umgang mit personenbezogenen Daten beachtet werden müssen. Wo immer es möglich ist, empfiehlt die DSGVO als einen Punkt der TOMs die Pseudonymisierung. Leider kommt dieser Weg nicht überall in Frage. Dort sind bei den IT-Systemen Möglichkeiten zur verschlüsselten Speicherung der Daten ein unverzichtbares Muss. Außerdem kommt der IT-Service nicht ohne die ständige Überwachung des Gefährdungspotentials aus. Aus diesen Beurteilungen leitet sich wiederum die Notwendigkeit einer Verstärkung der technisch-organisatorischen Maßnahmen zum Datenschutz ab.
Von Bedeutung ist außerdem der Absatz 4 des Artikels 32 der DSGVO. Er verpflichtet dazu, die Verarbeitung und den Zugang zu personenbezogenen Daten innerbetrieblich zu beschränken. Danach dürfen die Mitarbeiter die Daten „nur auf Anweisung des Verantwortlichen verarbeiten“. Daraus resultiert die Erfordernis, den Zugriff auf die für die unmittelbare Aufgabe notwendigen Daten zu begrenzen. Wir helfen Ihnen bei der Umsetzung mit unserer IT-Betreuung für Zahnärzte, Arztpraxen und Rechtsanwälte. Dabei ist auch die Implementierung spezieller Anzeige-, Abfrage- und Eingabemasken möglich. Ihre Mitarbeiter an der Anmeldung müssen beispielsweise nicht die gesamte Patientenakte sehen, um die Daten für das Arztgespräch auf ihrem Rechner im Sprechzimmer bereitzustellen.
TOMs nach der DSGVO brauchen regelmäßige Aktualisierungen
Die Notwendigkeit der Aktualisierung der TOMs nach der Datenschutz-Grundverordnung besteht sowohl bei organisatorischen als auch bei technischen Abläufen. Unser IT-Service für Rechtsanwälte und Ärzte umfasst beispielsweise die regelmäßige Einspielung von Updates für die von Ihnen genutzten Programme und Betriebssysteme. Damit werden Sicherheitslücken geschlossen, die bei der Erstausgabe der Betriebssysteme und Programme noch nicht bekannt waren. Welche hohen Risiken aus der Vernachlässigung der Sicherheitsupdates resultieren können, zeigten die Sicherheitslücken Spectre und Meltdown.
Häufig machen Veränderungen bei der Organisation einer Praxis oder einer Kanzlei eine Neubewertung des vorhandenen Risikos beim Datenschutz notwendig. Auch dabei können wir Ihnen mit unserem auf die TOMs der DSGVO abgestimmten IT-Service helfen. Ein Beispiel wäre die Verlagerung der Praxisreinigung aus der Geschäftszeit in die Nachtstunden sowie die Übergabe der Reinigungsarbeiten an externe Dienstleister. In diesem Fall sichern wir Ihre IT-Systeme so ab, dass kein Zugriff auf Patienten- oder Mandantendaten durch diese Dienstleister möglich ist. Dafür stehen verschiedene technische Lösungen zur Auswahl. Die Palette reicht vom USB-Stick zum Hochfahren des Systems über eine mehrstufige Passwortabfrage bis hin zur Besicherung mit dem Fingerprint-Scan, einem Iris-Scan oder der Gesichtserkennung.
Welche Rolle spielt die ISO/IEC 27002 mit Blick auf die TOMs der DSGVO?
Die ISO/IEC 27002 erschien erstmals im Jahr 2007 und wurde inzwischen mehrfach überarbeitet. Sie gilt als Leitfaden für das Management der Informationssicherheit und enthält Empfehlungen für mehr als ein Dutzend Bereiche, die für die Datensicherheit eine wichtige Rolle spielen. Sie ist eine wichtige Orientierungsbasis für den IT-Service sowohl bei der Ersteinrichtung als auch der laufenden Betreuung der IT-Systeme. Die ISO/IEC 27002 ist eine praxisbezogene Ergänzung der laut DSGVO zu realisierenden technischen und organisatorischen Maßnahmen. Die Besonderheit dieser Richtlinien ist, dass sie auch normierte Hinweise zum Umgang mit Sicherheitsvorfällen enthält. Deren Ziel ist es, den bei einem Datendiebstahl entstehenden Schaden auf ein unvermeidbares Minimum zu begrenzen. Auch gibt es dort detaillierte Anleitung zur Bewertung der vorhandenen und effektiv ausgeschlossenen Sicherheitsrisiken durch regelmäßige Audits.
