Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (Daten­schutz-Auf­sichts­be­hör­de für Unter­neh­men in Bay­ern) hat eine lesens­wer­te Check­li­ste für klei­ne und mitt­le­re Unter­neh­men ver­öf­fent­licht, wel­che tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Erfül­lung der DSGVO-Vor­ga­ben an die Infor­ma­ti­ons­si­cher­heit (Art. 32 DSGVO – Sicher­heit der Ver­ar­bei­tung) geprüft wer­den sollten.

Die Daten­schutz­grund­ver­ord­nung for­dert von Unter­neh­men an sich, die eige­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men im Rah­men eines struk­tu­rier­ten Pro­zes­ses lau­fend auf ihre Taug­lich­keit gemes­sen an der Risi­ko-Situa­ti­on zu prü­fen und anzu­pas­sen. Neben der in der Unter­neh­mens­pra­xis dazu bei grö­ße­ren Orga­ni­sa­tio­nen weit ver­brei­te­ten Norm zur Infor­ma­ti­ons­si­cher­heit (ISO 27001/​27002 und der dar­auf auf­bau­en­den Norm ISO27701 für das Daten­schutz-Manage­ment) steht klei­ne­ren Unter­neh­men und Kom­mu­nen der Zer­ti­fi­zie­rungs-Stan­dard ISIS12 zur Ver­fü­gung. Der öffent­li­che Bereich im Bund ori­en­tiert sich am IT-Grund­schutz-Kom­pen­di­um des BSI (und dem dar­an metho­disch ange­lehn­ten Stan­dard-Daten­schutz­mo­dell SDM, des­sen Ansatz im Gegen­satz zur ISO27001/​27002 nicht die Risi­ko-Per­spek­ti­ve des Unter­neh­mens son­dern des Betrof­fe­nen einnimmt).

Die Check­li­ste kann also kein struk­tu­rier­tes Infor­ma­ti­ons­si­cher­heits-Manage­ment erset­zen (und will dies expli­zit auch nicht), gibt aber gera­de klei­ne­ren (mit der Befas­sung beim The­ma Infor­ma­ti­ons­si­cher­heit fach­lich häu­fig über­for­der­ten) Unter­neh­men eine pra­xis­taug­li­che Über­sicht an die Hand, wel­che The­men im Bereich Infor­ma­ti­ons­si­cher­heit adres­siert bzw. geprüft wer­den sollten.

Die Check­li­ste des Baye­ri­schen Lan­des­amts für Daten­schutz­auf­sicht zu den tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men nach Art. 32 DSGVO kön­nen Sie hier ein­se­hen.