Die Datensicherheit verfolgt das Ziel, im Prozess der Datenverarbeitung vor Verlust, Zerstörung, Verfälschung, unbefugter Kenntnisnahme und unberechtigter Verarbeitung der Daten zu schützen.

Es muss gewährleistet sein, dass insbesondere

• der Zugriff auf die Daten und somit deren Kenntnisnahme ausschließlich durch autorisierte Benutzer erfolgt,
• Daten nicht unbemerkt verändert oder gelöscht werden können, sondern Änderungen/Löschungen nachvollziehbar sind,
• der Zugriff auf Daten innerhalb eines festgelegten Zeitraums für entsprechend autorisierte Nutzer gewährleistet und die Funktionalität der IT-Systeme nicht beeinträchtigt ist.

Nach der Datenschutzgrundverordnung (DSGVO) sind alle Stellen, die selbst oder im Auftrag personenbezogene Daten verarbeiten oder nutzen, gesetzlich verpflichtet, die erforderlichen und angemessenen technischen und organisatorischen Maßnahmen zum Erzielen und Aufrechterhalten der Datensicherheit zu treffen. Dies ergibt sich insbesondere aus den Art. 32 + 25 der DSGVO in Verbindung § 64 Abs 3 BDSG-neu.

Der Anforderungskatalog listet eine Reihe von Maßnahmen auf, um das Ziel Datensicherheit zu erreichen. Die gesetzlichen Anforderungen an die erforderlichen Datensicherungsmaßnahmen sind im Gesetz jedoch flexibel gehalten, da sie u.a. unabhängig von einem bestimmten Stand der Technik und verwendeten Medien beschrieben werden.

Generell gilt, dass sich die zu treffenden Maßnahmen an den zu schützenden Unternehmenswerten zu orientieren haben.

Hierfür bietet sich zunächst die Durchführung einer Schutzbedarfsanalyse als Grundlage eines Sicherheitskonzepts an, um zu ermitteln, welcher Schutz für die Informationen und die eingesetzte Informationstechnik erforderlich sowie angemessen ist.