In 4 Schritten zu rechtssicheren TOM
Kategorie: Datenschutz
Die DSGVO-konforme Implementierung der technischen und organisatorischen Maßnahmen (TOM) in vier Schritten. Neben der Erläuterung zu verschiedenen Maßnahmen erhalten Sie auch Tipps für mehr Effizienz bei Ihren Unternehmensprozessen – Überzeugung gefällig?
Unsere Lösung für Sie:
- Allgemeine Beratung zu rechtssicheren TOM
- Erfassung der Ist-Situation
- Dokumentation der TOM
- Verknüpfung der TOM mit anderen Datenschutz-Dokumenten
- Beratung für mehr Sicherheit und Effizienz bei Prozessen
Wir helfen sofort!
Jetzt melden und Vorteile sichern!
Ihr direkter Draht zu rechtssicheren TOM
+49 (0) 157 595 000 55
info@andre-sandner.com
Die im Kontaktformular eingetragenen und übermittelten Daten werden zwecks Bearbeitens der Anfrage gespeichert. Die vollständigen Datenschutz-Hinweise finden Sie in der Datenschutzerklärung.
Und für alle die es genauer wissen möchten …
Die technischen und organisatorischen Maßnahmen, kurz TOM, sind einer der zentralen Bausteine beim Datenschutz. Sie dokumentieren, wie die Daten der Betroffenen (Kunden, Mitarbeiter, Lieferanten, sonstige Stakeholder) geschützt und gesichert sind. Dabei kommt den technischen und organisatorischen Maßnahmen eine große Bedeutung zu, wenn es zu einem meldepflichtigen Datenschutzverstoß und Datenleck gekommen ist.
Die Dokumentation wird bereits zur Pflicht, sobald personenbezogene Daten erstmalig verarbeitet werden. Also auch die Erfassung von Kontaktdaten durch Anfrageformulare oder Anfragen per Email gelten schon als Datenverarbeitung.
Es ist daher wichtig, die technischen und organisatorischen Maßnahmen mit Sorgfalt zu erstellen und stets aktuell zu halten – Unwissenheit schützt nicht vor Strafe.
Was sind die Schutzziele der technischen und organisatorischen Maßnahmen?
Die Schutzziele gemäß der DSGVO werden im Artikel 32 Absatz 1b wie folgt aufgeführt:
- Vertraulichkeit – Nur berechtigte Personen sind in der Lage, schutzwürdige Daten zu nutzen
- Integrität – Daten können nicht unbefugt verändert, hinzugefügt und gelöscht werden (Unversehrtheit)
- Belastbarkeit – Geeignete Maßnahmen, um ein angestrebtes Schutzniveau auf Dauer zu erreichen
- Verfügbarkeit – Daten stehen zu definierten Zeiten im definierten Umfang zur Verfügung
Im Rahmen der Informationssicherheit werden zu den Schutzzielen der DSGVO noch weitere Schutzziele hinzugefügt:
- Authentizität – Daten können jederzeit ihrem Ursprung zugeordnet werden
- Transparenz – Alle Verfahren sind vollständig dokumentiert
- Revisionsfähigkeit – Nachvollziehbarkeit, wer wann welche Daten verarbeitet hat
Was sind die Zwecke der TOM nach dem BDSG neu (2018)?
Im Vergleich zur Definition der DSGVO sind im Folgenden die Anforderungen an die Sicherheit der Datenverarbeitung aufgeführt. Diese 14 Schutzzwecke werden im Bundesdatenschutzgesetz, kurz BDSG, im Artikel 64 Absatz 3 definiert.
- Zugangskontrolle – Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte
- Datenträgerkontrolle – Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern
- Speicherkontrolle – Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten
- Benutzerkontrolle – Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte
- Zugriffskontrolle – Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben
- Übertragungskontrolle – Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können
- Eingabekontrolle – Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind
- Transportkontrolle – Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden
- Wiederherstellbarkeit – Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können
- Zuverlässigkeit – Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden
- Datenintegrität – Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können
- Auftragskontrolle – Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können
- Verfügbarkeitskontrolle – Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind
- Trennbarkeit – Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können
Wie werden technische und organisatorische Maßnahmen gegliedert?
Die Gliederung hängt maßgeblich vom Unternehmen und dessen Grad der Datenverarbeitung ab. Jedes Unternehmen weist unterschiedliche Merkmale auf, sodass die Gliederung entsprechend angepasst wird. Die Schutzziele bleiben davon jedoch unberührt, da diese berücksichtigt werden müssen.
Eine Auswahl an Gliederungen sind zum Beispiel:
- 5 Hauptgruppen (Sicherheit von Gebäuden / Räumen, IT-Sicherheit, Datenverarbeitung, Backup, Prüfprozesse)
- 8 Hauptgruppen (vgl. Anlage zu §9 BDSG alt)
- 10 Hauptgruppen (siehe unterhalb dieser Auflistung)
- 20 Hauptgruppen (identisch den 10 Hauptgruppen, jedoch mit Unterteilung in technische und organisatorische Maßnahmen)
- 30 Hauptgruppen (identisch den 10 Hauptgruppen, jedoch mit Unterteilung in bauliche, technische und organisatorische Maßnahmen)
Für die zehn Hauptgruppen gibt es wiederum zwei häufig verwendete Ansätze.
Der erste Ansatz orientiert sich am Wortlaut des Bundesdatenschutzgesetzes:
- Zugangskontrolle – Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte
- Datenträgerkontrolle – Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern
- Speicherkontrolle – Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten
- Benutzerkontrolle – Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte
- Zugriffskontrolle – Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben
- Übertragungskontrolle – Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können
- Eingabekontrolle – Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind
- Transportkontrolle – Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden
- Wiederherstellbarkeit – Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können
- Datenintegrität – Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können
Der zweite Ansatz der 10-Hauptgruppen-Lösung orientiert sich vorrangig an der IT-Sicherheit. In der IT-Sicherheit werden die Schutzzwecke mit den drei Säulen Verfügbarkeit, Vertraulichkeit und Integrität beschrieben.
Übrigens: Die drei Säulen der IT-Sicherheit unterscheiden sich in der Kategorisierung der Schutzziel-Auflistung der Anlage zu §9 BDSG alt, weshalb es zwischen Datenschutzbeauftragten und IT-Sicherheitsverantwortlichen zum unterschiedlichen Sprachgebrauch kommt.
Im Folgenden die zehn Hauptgruppen des zweiten Ansatzes:
- Maßnahmen zur Gewährleistung der Vertraulichkeit und Integrität der Systeme und Dienste (dieser Punkt beinhaltet Zugangskontrolle, Zutrittskontrolle, Datenträgerkontrolle, Speicherkontrolle, Benutzerkontrolle, Zugriffskontrolle, Übertragungskontrolle, Eingabekontrolle, Veränderungskontrolle, Transportkontrolle)
- Maßnahmen zur Datenminimierung und Speicherbegrenzung
- Maßnahmen zur Pseudonymisierung und Aggregierung
- Maßnahmen zur Verschlüsselung personenbezogener Daten
- Maßnahmen zur Gewährleistung der Verfügbarkeit und Belastbarkeit der Dienste und Systeme
- Maßnahmen, um nach einem physischen oder technischen Zwischenfall (Notfall) die Verfügbarkeit personenbezogener Daten und den Datenzugang schnell wiederherzustellen
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der vorgenannten Maßnahmen
- Maßnahmen zur Gewährleistung der Zweckbindung personenbezogener Daten (Nichtverkettung)
- Maßnahmen zur Gewährleistung der Transparenz für Betroffene, Verantwortliche und Kontrollinstanzen
- Maßnahmen zur Gewährleistung der Betroffenenrechte (Intervenierbarkeit)
Wie umfangreich müssen technisch und organisatorische Maßnahmen dokumentiert werden?
Die Dokumentation ist stark davon abhängig, in welchem Bereich Ihr Unternehmen agiert und wie Daten verarbeitet werden. Ein kleines Handwerksunternehmen mit einer einfach strukturierten Kundendatei muss deutlich weniger dokumentieren und Sicherheitsstandards implementieren als eine große Arztpraxis mit Online-Zugang zu Gesundheitsdaten und Patientendatenverwaltung. Entsprechend muss bei der Erfassung der Ist-Situation ebenfalls geprüft werden, ob die aktuellen Standards tatsächlich DSGVO-konform oder noch Prozessoptimierungen und Umbaumaßnahmen erforderlich sind.
In 4 Schritten zu rechtssicheren TOM
Um DSGVO-konforme und rechtssichere TOM zu dokumentieren, empfiehlt sich ein Prozess in vier Schritten.
Schritt 1: Bestandsaufnahme
Zu Beginn erfolgt eine Bestandsaufnahme aller Maßnahmen Ihres Unternehmens.
Als technische und organisatorische Maßnahmen kommen u.a. folgende Mittel in Betracht:
- Administratoren
- Aktenschredder
- Alarmanlage
- Anerkannte Sicherheitszertifizierung
- Anti-Viren-Software Clients
- Anti-Viren-Software Server
- Applikationsübersicht
- Aufbewahrung von Formularen
- Automatische Desktopsperre
- Autorisierter Zugriff
- Backupkonzept
- Backup-Protokollierung
- Benutzerberechtigungen
- Benutzerprofile
- Benutzerrechte
- Berechtigungsregelung
- Besucherausweis
- Besucherbegleitung
- Besucherliste
- Besucherprotokoll
- Biometrische Zugangssperren
- Biometrischer Login
- BIOS-Schutz
- Codesperre
- Datenempfänger-Dokumentation
- Datenschutzbeauftragter
- Datenschutzdokumentation
- Mitarbeiter
- Datenschutz-Folgenabschätzung
- Datenschutz-Management-Tools
- Datenschutztresor
- Datenträgerverschlüsselung (stationär)
- Datentrennung
- Dezentrale Aufbewahrung
- Disaster Recovery Test
- Dokumentation von Datenpannen
- Dokumentiertes Sicherheitskonzept
- Einbindung DSB/ISB Datenpannen
- Einsatz von VPN
- Elektronisches Schließsystem
- Email-Verschlüsselung
- Externer Aktenvernichter
- Festplattenspiegelung
- Feuer- und Rauchmeldeanlagen
- Feuerlöschanlage
- Firewall
- Gehäuseverriegelungen
- Gesonderte Aufbewahrung
- Informationspflichten für Betroffene
- Informationssicherheitsbeauftragter
- Intrusion-Detection-System
- Intrusion-Prevention-System
- Klimaanlage
- Kundenzugang
- Leerung der Postfächer
- Logins
- Lokales Hosting
- Löschzuständigkeiten
- Mechanisches Schließsystem
- Mobile Device Management (MDM)
- Notfallmanagement
- Passwort-Richtlinien
- Passwortschutz
- Persönliche Übergabe
- Pförtner/Empfang
- Physikalische Trennung
- Physische Löschung von Datenträgern
- Präsenzmelder
- Protokollierung der Zugriffe,
- Übermittlungen und Abrufe
- Pseudonymisierung
- Rechtevergabe
- Richtlinie für Auskunftsanfragen
- Richtlinie „Clean desk“
- Richtlinie für Datenminimierung
- Richtlinie für mobile Geräte
- Richtlinie für Telefonate
- Richtlinie für Videokonferenzen
- Schlüsselregelung
- Schnittstellensperrung
- Schulung/Verpflichtung
- Schutz vor Wasser
- Schutzsteckdosenleisten
- Sensibilisierung
- Sichere Löschung
- Sichere Transportbehälter
- Sicherer Transport
- Sicherheitsschlösser
- Sicherheitstür
- Signaturverfahren
- Smartphone-Verschlüsselung
- Spamfilter
- Systemtrennung
- Temperatur- und Feuchtigkeitssensoren
- USV-Anlage (Unterbrechungsfreie Stromversorgung)
- Veränderungsprotokollierung
- Vernichtung von Datenträgern
- Verschlossene Postfächer
- Verschlüsselte Verbindungen
- Verschlüsselung der Datensicherungssysteme
- Verschlüsselung der Website
- Verschlüsselung mobiler Datenträger
- Verschlüsselung mobiler IT-Systeme
- Vertrauenswürdiges Reinigungspersonal
- Vertrauenswürdiges Wachpersonal
- Videoüberwachung
- Weisung zur Anonymisierung / Pseudonymisierung
- Widerrufsrecht
- Zentrale Passwortvergabe
- Zutrittskonzept
- Zutrittsmeldeanlage im Serverraum
Schritt 2: Einschätzung & Bewertung
Nach der Erfassung der Ist-Situation erfolgt die Bewertung der technischen und organisatorischen Maßnahmen. Sehr schnell kann bei vermeintlich Datenschutz-konformen Prozessen bzw. Maßnahmen eine Schwachstelle identifiziert werden, welche im Zuge der TOM-Erstellung direkt optimiert werden sollte. Bei umfangreichen Änderungen wird im ersten Schritt auch ein Projektplan erstellt, um Zuständigkeiten sowie Umsetzungsfristen festzulegen.
Schritt 3: Optimierung der technischen und organisatorischen Maßnahmen
Zur Erhöhung des Datenschutzniveaus, aber auch der IT-Sicherheit, werden in dieser Stufe Ihre Unternehmensprozesse optimiert. Es muss nicht gleich alles auf den Kopf gestellt werden, aber durch unsere Unterstützung werden wir Ihnen Möglichkeiten und Chancen aufzeigen, mit welchen Sie die Datenverarbeitung effizienter gestalten und Sicherheitslücken schließen. Somit ist dieser Schritt indirekt mit der Erstellung rechtssicherer technischer und organisatorischer Maßnahmen verbunden.
Schritt 4: Überwachung der Zielerreichung, Aufrechterhaltung und Verbesserung
Technische und organisatorische Maßnahmen müssen mit der technischen Entwicklung Schritt halten. Was heute noch sicher ist, ist morgen schon wieder veraltet.
Eine kontinuierliche Prüfung der TOM ist daher unausweichlich. Vor allem bei der Verarbeitung besonders sensibler Daten, z.B. Gesundheitsdaten, müssen Prüfzyklen kurz und Prüfungen vollumfänglich sein.