Einige Beispiele für BSI-Standards aus dem IT-Grundschutz-Kompendium, die besonders für kleine Betriebe relevant sind und dabei helfen, DSGVO-konform zu agieren:


1. Sicherheitsmanagement (BSI Standard 100-1)
  • Beispiel: Ein kleines Unternehmen sollte eine klare Sicherheitsrichtlinie haben, die den Schutz personenbezogener Daten regelt. Diese Richtlinie könnte festlegen, wie Passwörter verwaltet, Zugriffsrechte vergeben und Sicherheitsvorfälle gemeldet werden.
  • DSGVO-Relevanz: Klare Richtlinien stellen sicher, dass alle Mitarbeiter wissen, wie sie personenbezogene Daten schützen müssen, um DSGVO-Verstöße zu vermeiden.
2. Basis-Sicherheitsmaßnahmen (BSI Standard 200-1)
  • Beispiel: Ein kleines Handwerksunternehmen könnte sicherstellen, dass alle genutzten Computer und mobilen Geräte regelmäßig aktualisiert werden, um Sicherheitslücken zu schließen. Eine Firewall sollte eingerichtet und Virenschutzsoftware installiert sein.
  • DSGVO-Relevanz: Technische Maßnahmen wie regelmäßige Updates und Virenschutz sind unerlässlich, um die Vertraulichkeit und Integrität personenbezogener Daten zu gewährleisten.
3. Risikomanagement (BSI Standard 200-2)
  • Beispiel: Ein kleiner Betrieb kann eine einfache Risikoanalyse durchführen, um festzustellen, welche Daten besonders sensibel sind und welche Bedrohungen bestehen (z.B. Verlust eines Laptops). Daraus lassen sich konkrete Schutzmaßnahmen ableiten, wie z.B. Verschlüsselung oder regelmäßige Backups.
  • DSGVO-Relevanz: Die Identifikation und Minimierung von Risiken trägt dazu bei, dass der Betrieb seine Pflichten hinsichtlich der Sicherheit personenbezogener Daten erfüllt.
4. Schutz personenbezogener Daten (BSI Standard 200-3)
  • Beispiel: Ein kleiner Betrieb, der Kundendaten speichert, könnte sicherstellen, dass diese Daten nur für den vorgesehenen Zweck genutzt werden und nur berechtigte Mitarbeiter Zugriff haben. Daten sollten anonymisiert werden, wenn sie für statistische oder andere Zwecke genutzt werden.
  • DSGVO-Relevanz: Der gezielte Umgang mit Daten, die Minimierung und Anonymisierung personenbezogener Daten sind zentrale Anforderungen der DSGVO.
5. Zugriffsmanagement (Baustein INF.1)
  • Beispiel: In einem kleinen Büro könnte man die Zugriffsrechte so gestalten, dass nur bestimmte Mitarbeiter auf besonders schützenswerte Informationen zugreifen können. Alle anderen Mitarbeiter erhalten nur die Rechte, die sie für ihre Arbeit benötigen.
  • DSGVO-Relevanz: Das Prinzip der Datenminimierung wird unterstützt, indem nur notwendige Daten zugänglich sind, wodurch das Risiko eines Datenmissbrauchs reduziert wird.
6. Datensicherungskonzept (Baustein OPS.1.2.5)
  • Beispiel: Ein kleines Unternehmen könnte regelmäßig Backups wichtiger Daten durchführen und sicherstellen, dass diese an einem sicheren, separaten Ort gespeichert werden.
  • DSGVO-Relevanz: Regelmäßige Backups sind wichtig, um sicherzustellen, dass personenbezogene Daten auch nach einem Systemausfall wiederhergestellt werden können, wie es die DSGVO fordert.
7. Notfallvorsorge (Baustein CON.9)
  • Beispiel: Ein kleiner Betrieb sollte einen einfachen Notfallplan erstellen, der festlegt, was im Falle eines IT-Sicherheitsvorfalls zu tun ist (z.B. bei einem Hackerangriff). Dieser Plan sollte auch die Wiederherstellung von Daten umfassen.
  • DSGVO-Relevanz: Ein Notfallplan hilft dabei, bei einem Vorfall schnell zu reagieren und die Auswirkungen auf personenbezogene Daten zu minimieren.

Diese Beispiele zeigen, wie kleine Betriebe mit überschaubaren Mitteln die Anforderungen der DSGVO erfüllen können, indem sie die BSI-Standards des IT-Grundschutzes umsetzen.

Alle Anforderungen bzw. Empfehlungen können Sie hier nachlesen: 
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/IT-Grundschutz-Bausteine/Bausteine_Download_Edition_node.html

Datenschutzstelle Baden Württemberg: 
https://www.baden-wuerttemberg.datenschutz.de/