Erstellung eines Notfallplans gem. DSGVO

Lesezeit: ca. 2 Minuten

Gem. Art. 32 DSGVO ist das Unternehmen für die Sicherheit der Verarbeitung verantwortlich. Ausdrücklich ist in Art. 32 Abs. 1 lit. c) DSGVO geregelt, dass zu der Sicherheit der Verarbeitung auch eine rasche Wiederherstellung des Computersystems und IT-Infrastruktur gehört. Die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen und technischen Zwischenfall rasch wiederherzustellen, muss sichergestellt werden, und diese Fähigkeit ist entsprechend nachzuweisen. Um einen solchen Nachweis zu erbringen, wird im Unternehmen ein Notfallplan zu erstellen sein. Ein Notfall kann beispielsweise eintreten, wenn Netzwerkkomponenten oder ein Server ausfallen. Auch ein Feuer, ein Einbruchsdiebstahl oder der Wegfall der Stromversorgung können solche Notfälle sein.

Um entsprechende Risiken zu begegnen, ist im Notfallplan zu beschreiben, welche Maßnahmen im Ernstfall zu ergreifen sind.

Es empfiehlt sich ein zweistufiger Aufbau für den Notfallplan. Im ersten Teil sollten die verschiedenen Notfallszenarien aufgelistet werden. Zu den jeweiligen Notfallszenarien sind die Handlungsoptionen kurz und präzise zu beschreiben. Ziel des ersten Teils eines Notfallplans ist es, in der Stresssituation „Notfall“ konkrete, schriftlich fixierte und kurze Handlungsanweisungen zu geben. Es ist dabei zu bedenken, dass im Notfall alle Beteiligten einer besonderen Anspannung unterliegen und häufig ein abwägendes Vorgehen nicht möglich ist. Der erste Teil ist also die „Guideline“ für den jeweiligen Notfall.

Im zweiten Teil sollten die verschiedenen Notfallszenarien ausführlicher beschrieben sein. Die jeweils zu treffenden Maßnahmen können hier detaillierter festgelegt werden. Wichtig ist in beiden Teilen die Zuordnung von Verantwortlichkeiten. Soweit die Hilfe Dritter notwendig ist, sollten alle Kontaktdaten und die Ansprechpartner benannt sein.

Der Notfallplan ist auf dem firmeneigenen Server zu speichern und hat für alle Mitarbeiter im Notfall Zugriff zu sein. Daneben empfiehlt es sich, den Notfallplan nicht-edv-mäßig abzuspeichern. Für den Fall, dass die EDV komplett ausfällt, ist so ein Zugriff auf die wesentlichen Maßnahmen im Notfall vorhanden.

Im Rahmen des Notfallplans ist detailliert zu beschreiben, wie eine Datensicherung und Archivierung im Unternehmen sichergestellt ist und wie ein jederzeitiger Zugriff auf die Datensicherungen möglich ist.

Es sollte festgelegt sein, wie eine regelmäßige Überprüfung der Datensicherung erfolgt. Hier ist in der Praxis wichtig, dass ebenfalls in regelmäßigen Abständen Rücksicherungen der gespeicherten Daten versucht werden. Vielfach haben Unternehmen schon schwere Schäden erlitten, da solche Überprüfungen nicht vorgenommen wurden. Ein Notfall führt zu einer echten Krise, wenn beim Einspielen des Back-ups festgestellt werden muss, dass die Daten nicht ausreichend gesichert wurden oder beispielsweise das Back-up nicht lesbar ist. Solche Situationen sollte ein Unternehmen auf jeden Fall vermeiden und mit Blick auf die IT-Sicherheit die in Art. 32 Abs. 1 lit. c) DSGVO beschriebenen Fähigkeiten zur raschen Wiederherstellung der Daten sicherstellen.

 

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen