Was sind die zentralen Aufgabe und Konzepte der DSGVO und BSI IT-Grundschutz
Institution: DSGVO
Hauptfokus: rechtliche Verpflichtung zum Schutz personenbezogener Daten
Kernkonzept / Dokument: Artikel 32 DSGVO (TOMs)
Institution: BSI IT-Grundschutz
Hauptfokus: methodische und technische Anleitung zur Umsetzung von Sicherheit
Kernkonzept / Dokument: IT-Grundschutz-Kompendium & BSI-Standards
Was ist die Kernforderung des Artikels 32 der DSGVO an Unternehmen, die personenbezogene Daten verarbeiten?
a) Sie müssen den BSI IT-Grundschutz vollständig umsetzen.
b) Sie müssen für jeden Mitarbeiter ein separates Passwort vergeben.
c) Sie müssen geeignete technische und organisatorische Maßnahmen (TOMs) ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
d) Sie müssen ihre Daten ausschließlich in Deutschland speichern.
c) Die DSGVO gibt das rechtliche Ziel vor (das "Was"), während der BSI IT-Grundschutz eine detaillierte Anleitung zur technischen Umsetzung liefert (das "Wie").
Wie ist das Verhältnis zwischen der DSGVO und dem BSI IT-Grundschutz am besten zu beschreiben?
a) Das BSI hat die DSGVO geschrieben und ist für deren Einhaltung verantwortlich. b) Die DSGVO ist nur für private Unternehmen, der BSI IT-Grundschutz nur für Behörden.
d) Der BSI IT-Grundschutz ist eine veraltete Version der DSGVO.
Ein Unternehmen wird Opfer eines Brandes und alle Server werden zerstört. Die Fähigkeit, die Kundendaten aus einem extern gelagerten Backup schnell wiederherzustellen, erfüllt welche explizite Forderung aus Art. 32 DSGVO?
a) Die Forderung nach Pseudonymisierung.
b) Die Forderung nach regelmäßiger Überprüfung der Maßnahmen.
c) Die Forderung nach raschmöglicher Wiederherstellung der Verfügbarkeit.
d) Die Forderung nach Verschlüsselung.
Für welche Art von Organisation ist die Anwendung des BSI IT-Grundschutzes in der Regel gesetzlich oder per Vorschrift verpflichtend?
a) Für alle privaten Unternehmen in Deutschland.
b) Für kleine und mittlere Unternehmen (KMU).
c) Für die öffentliche Verwaltung (Behörden, Kommunen).
d) Für alle Online-Shops.
Artikel 32 DSGVO fordert spezifische Maßnahmen. Ordnen Sie die folgenden konkreten IT-Maßnahmen der passenden Anforderung aus dem Gesetzestext zu.
(Verschlüsselung): Die Speicherung in verschlüsselter Form ist eine direkte Maßnahme zur Verschlüsselung.
(Verfügbarkeit): Ein Server-Cluster mit Redundanz dient der Sicherstellung der dauerhaften Verfügbarkeit und Belastbarkeit.
(Wiederherstellung): Das Wiederherstellen aus einer Sicherung ist der Inbegriff der raschmöglichen Wiederherstellung nach einem Zwischenfall.
(Überprüfung): Audits und Scans sind klassische Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit von Maßnahmen.
Eine Arztpraxis führt eine neue Software zur Verwaltung von Patientendaten ein. Die Software speichert hochsensible Gesundheitsdaten. Der zuständige IT-Dienstleister muss nun ein Sicherheitskonzept erstellen.
Aufgabe 1:
Welches Gesetz muss der IT-Dienstleister bei der Konzeption der Sicherheitsmaßnahmen zwingend in den Mittelpunkt stellen und warum?
Aufgabe 2:
Der Arzt fragt, wie er die gesetzlichen Anforderungen praktisch umsetzen kann. Welches Rahmenwerk oder welche Methodik würden Sie ihm als detaillierten, anerkannten Leitfaden empfehlen?
Aufgabe 3: Nennen Sie zwei konkrete technische Maßnahmen, die aufgrund der Verarbeitung von Gesundheitsdaten absolut unerlässlich sind.
Er muss die Datenschutz-Grundverordnung (DSGVO) in den Mittelpunkt stellen, da es sich bei Patientendaten um besonders schützenswerte, personenbezogene Daten nach Art. 9 DSGVO handelt. Die Verarbeitung solcher Daten unterliegt den strengsten gesetzlichen Anforderungen.
Als detaillierten, anerkannten Leitfaden zur praktischen Umsetzung der DSGVO-Anforderungen würde man den BSI IT-Grundschutz empfehlen. Er liefert konkrete Maßnahmen für fast alle Bereiche der IT.
Zwei unerlässliche Maßnahmen sind:
Verschlüsselung: Sowohl die Festplatte des Servers als auch die Datenbank selbst müssen stark verschlüsselt sein, um die Vertraulichkeit der Gesundheitsdaten zu schützen.
Strenge Zugriffskontrolle: Es muss ein detailliertes Berechtigungskonzept geben, das sicherstellt, dass z.B. nur der behandelnde Arzt auf die Akte eines Patienten zugreifen kann und nicht das gesamte Praxispersonal.
wichtigste von Rechtliche und Regulatorische Vorgaben für die IT-Sicherheit
IT-Sicherheit ist rechtlich geregelt und nicht freiwillig
Zwei zentrale Quellen sind die DSGVO und das BSI.
Die DSGVO regelt das rechtliche Was
Sie gilt immer, wenn personenbezogene Daten verarbeitet werden.
Artikel 32 fordert technische und organisatorische Maßnahmen (TOMs).
Dazu gehören:
Pseudonymisierung und Verschlüsselung: Schutz personenbezogener Daten.
Sicherstellung der Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit.
Wiederherstellung der Verfügbarkeit: z. B. durch Backups bei Störungen.
Regelmäßige Überprüfung: Wirksamkeit der Maßnahmen prüfen und verbessern.
Ohne IT-Sicherheitsmaßnahmen kann man die DSGVO nicht einhalten.
Das BSI regelt das technische Wie
Es liefert mit dem IT-Grundschutz konkrete Anleitungen zur Umsetzung von IT-Sicherheit.
Der IT-Grundschutz ist für Behörden oft Pflicht, für Unternehmen freiwillig, aber nützlich.
Er enthält praxistaugliche Bausteine für Themen wie Backups, Notfallpläne und Zugriffsschutz.
Unternehmen können damit zeigen, dass sie Sicherheitsmaßnahmen wirksam und strukturiert umsetzen.
Die Verbindung beider Vorgaben
Die DSGVO gibt vor, dass Schutzmaßnahmen nötig sind. Der BSI-Grundschutz zeigt, wie man diese Maßnahmen praktisch umsetzt.
Last changeda month ago