Die technische und organisatorische Maßnahmen sind nicht KEP-branchenspezifisch. Jedes Unternehmen muß die Umsetzung entsprechend der eigenen Organisations- und Aufbaustruktur planen.
Gemäß Art. 32 Abs. 1 DSGVOU sind Technische und organisatorische Maßnahmen wie folgt definiert: "Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
- Pseudonymisierung (siehe Art. 4 Abs. 5 DSGVO) - für KEP Dienste Prozesse eher unbedeutend
- Verschlüsselung (Integrationsschutz – kein Lesen/Verändern durch unberechtigte Dritte) bei der Speicherung und dem Transport - beispielsweise verschlüsselte E-Mailkommunikation, verschlüsselte Anhänge, sFTP
- Gewährleistung von Vertraulichkeit (z.B. Zugriff-Passwort/Zutrittsschutz), Integrität (z.B. Verschlüsselung), Verfügbarkeit (z.B. redundante Systeme) -
- Gewährleistung der Belastbarkeit der Systeme (Stand der Technik)
- Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall (z.B. Wiederanlaufplan)
- Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen (z.B. regelmäßige interne Audits)
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.