Und für alle die es genauer wissen möchten …

Die technischen und organisatorischen Maßnahmen, kurz TOM, sind einer der zen­tralen Bausteine beim Datenschutz. Sie doku­mentieren, wie die Daten der Betroffenen (Kunden, Mitarbeiter, Liefe­ranten, sonstige Stakeholder) ge­schützt und gesichert sind. Dabei kommt den tech­nischen und organisatorischen Maß­nahmen eine große Bedeu­tung zu, wenn es zu einem meldepflichtigen Daten­schutz­verstoß und Datenleck gekommen ist.

Die Dokumentation wird bereits zur Pflicht, sobald personenbe­zogene Daten erstmalig verarbeitet werden. Also auch die Erfassung von Kontaktdaten durch Anfrage­formulare oder Anfragen per Email gelten schon als Datenverarbeitung.
Es ist daher wichtig, die technischen und organi­satorischen Maßnahmen mit Sorgfalt zu erstellen und stets aktuell zu halten – Unwissen­heit schützt nicht vor Strafe.

Was sind die Schutzziele der technischen und organisatorischen Maßnahmen?

Die Schutzziele gemäß der DSGVO werden im Artikel 32 Absatz 1b wie folgt aufgeführt:

• Vertraulichkeit – Nur berechtigte Personen sind in der Lage, schutzwürdige Daten zu nutzen
• Integrität – Daten können nicht unbefugt verändert, hinzugefügt und gelöscht werden (Unversehrtheit)
• Belastbarkeit – Geeignete Maßnahmen, um ein angestrebtes Schutzniveau auf Dauer zu erreichen
• Verfügbarkeit – Daten stehen zu definierten Zeiten im definierten Umfang zur Verfügung

Im Rahmen der Informationssicherheit werden zu den Schutzzielen der DSGVO noch weitere Schutzziele hinzugefügt:

• Authentizität – Daten können jederzeit ihrem Ursprung zugeordnet werden
• Transparenz – Alle Verfahren sind vollständig dokumentiert
• Revisionsfähigkeit – Nachvollziehbarkeit, wer wann welche Daten verarbeitet hat

Was sind die Zwecke der TOM nach dem BDSG neu (2018)?

Im Vergleich zur Definition der DSGVO sind im Folgenden die Anforderungen an die Sicher­heit der Datenverarbeitung aufge­führt. Diese 14 Schutzzwecke werden im Bundes­daten­schutz­gesetz, kurz BDSG, im Artikel 64 Absatz 3 definiert.

1. Zugangskontrolle – Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte
2. Datenträgerkontrolle – Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern
3. Speicherkontrolle – Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten
4. Benutzerkontrolle – Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte
5. Zugriffskontrolle – Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben
6. Übertragungskontrolle – Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können
7. Eingabekontrolle – Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind
8. Transportkontrolle – Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden
9. Wiederherstellbarkeit – Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können
10. Zuverlässigkeit – Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden
11. Datenintegrität – Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können
12. Auftragskontrolle – Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können
13. Verfügbarkeitskontrolle – Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind
14. Trennbarkeit – Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können

Wie werden technische und organisatorische Maßnahmen gegliedert?

Die Gliederung hängt maßgeblich vom Unterneh­men und dessen Grad der Datenver­arbei­tung ab. Jedes Unternehmen weist unterschiedliche Merkmale auf, sodass die Gliederung entsprechend ange­passt wird. Die Schutzziele bleiben davon jedoch unberührt, da diese berück­sichtigt werden müssen.
Eine Auswahl an Gliederungen sind zum Beispiel:

• 5 Hauptgruppen (Sicherheit von Gebäuden / Räumen, IT-Sicherheit, Datenverarbeitung, Backup, Prüfprozesse)
• 8 Hauptgruppen (vgl. Anlage zu §9 BDSG alt)
• 10 Hauptgruppen (siehe unterhalb dieser Auflistung)
• 20 Hauptgruppen (identisch den 10 Hauptgruppen, jedoch mit Unterteilung in technische und organisatorische Maßnahmen)
• 30 Hauptgruppen (identisch den 10 Hauptgruppen, jedoch mit Unterteilung in bauliche, technische und organisatorische Maßnahmen)

Für die zehn Hauptgruppen gibt es wiederum zwei häufig verwendete Ansätze.
Der erste Ansatz orientiert sich am Wortlaut des Bundesdatenschutzgesetzes:

1. Zugangskontrolle – Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte
2. Datenträgerkontrolle – Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern
3. Speicherkontrolle – Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten
4. Benutzerkontrolle – Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte
5. Zugriffskontrolle – Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben
6. Übertragungskontrolle – Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können
7. Eingabekontrolle – Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind
8. Transportkontrolle – Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden
9. Wiederherstellbarkeit – Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können
10. Datenintegrität – Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können

Der zweite Ansatz der 10-Hauptgruppen-Lösung orientiert sich vorrangig an der IT-Sicherheit. In der IT-Sicherheit werden die Schutzzwecke mit den drei Säulen Verfüg­barkeit, Vertraulichkeit und Integrität beschrieben.
Übrigens: Die drei Säulen der IT-Sicherheit unterscheiden sich in der Kategorisierung der Schutzziel-Auflistung der Anlage zu §9 BDSG alt, weshalb es zwischen Daten­schutz­beauftragten und IT-Sicherheits­verant­wortlichen zum unterschied­lichen Sprach­gebrauch kommt.
Im Folgenden die zehn Hauptgruppen des zweiten Ansatzes:

1. Maßnahmen zur Gewährleistung der Vertraulichkeit und Integrität der Systeme und Dienste (dieser Punkt beinhaltet Zugangskontrolle, Zutrittskontrolle, Datenträgerkontrolle, Speicherkontrolle, Benutzerkontrolle, Zugriffskontrolle, Übertragungskontrolle, Eingabekontrolle, Veränderungskontrolle, Transportkontrolle)
2. Maßnahmen zur Datenminimierung und Speicherbegrenzung
3. Maßnahmen zur Pseudonymisierung und Aggregierung
4. Maßnahmen zur Verschlüsselung personenbezogener Daten
5. Maßnahmen zur Gewährleistung der Verfügbarkeit und Belastbarkeit der Dienste und Systeme
6. Maßnahmen, um nach einem physischen oder technischen Zwischenfall (Notfall) die Verfügbarkeit personenbezogener Daten und den Datenzugang schnell wiederherzustellen
7. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der vorgenannten Maßnahmen
8. Maßnahmen zur Gewährleistung der Zweckbindung personenbezogener Daten (Nichtverkettung)
9. Maßnahmen zur Gewährleistung der Transparenz für Betroffene, Verantwortliche und Kontrollinstanzen
10. Maßnahmen zur Gewährleistung der Betroffenenrechte (Intervenierbarkeit)

Wie umfangreich müssen technisch und organisatorische Maßnahmen dokumentiert werden?

Die Dokumentation ist stark davon abhän­gig, in welchem Bereich Ihr Unter­neh­men agiert und wie Daten verarbeitet werden. Ein kleines Hand­werks­unter­nehmen mit einer einfach strukturierten Kunden­datei muss deutlich weniger doku­mentieren und Sicher­heits­standards imple­mentieren als eine große Arztpraxis mit Online-Zugang zu Gesundheits­daten und Patienten­daten­verwaltung. Entsprechend muss bei der Erfassung der Ist-Situation ebenfalls geprüft werden, ob die aktuellen Standards tatsächlich DSGVO-konform oder noch Prozess­opti­mierungen und Umbau­maßnahmen erforderlich sind.

In 4 Schritten zu rechtssicheren TOM

Um DSGVO-konforme und rechtssichere TOM zu dokumentieren, empfiehlt sich ein Prozess in vier Schritten.

Schritt 1: Bestandsaufnahme

Zu Beginn erfolgt eine Bestandsaufnahme aller Maßnahmen Ihres Unternehmens.
Als technische und organisatorische Maß­nahmen kommen u.a. folgende Mittel in Betracht:

• Administratoren
• Aktenschredder
• Alarmanlage
• Anerkannte Sicherheitszertifizierung
• Anti-Viren-Software Clients
• Anti-Viren-Software Server
• Applikationsübersicht
• Aufbewahrung von Formularen
• Automatische Desktopsperre
• Autorisierter Zugriff
• Backupkonzept
• Backup-Protokollierung
• Benutzerberechtigungen
• Benutzerprofile
• Benutzerrechte
• Berechtigungsregelung
• Besucherausweis
• Besucherbegleitung
• Besucherliste
• Besucherprotokoll
• Biometrische Zugangssperren
• Biometrischer Login
• BIOS-Schutz
• Codesperre
• Datenempfänger-Dokumentation
• Datenschutzbeauftragter
• Datenschutzdokumentation
• Mitarbeiter
• Datenschutz-Folgenabschätzung
• Datenschutz-Management-Tools
• Datenschutztresor
• Datenträgerverschlüsselung (stationär)
• Datentrennung
• Dezentrale Aufbewahrung
• Disaster Recovery Test
• Dokumentation von Datenpannen
• Dokumentiertes Sicherheitskonzept
• Einbindung DSB/ISB Datenpannen
• Einsatz von VPN
• Elektronisches Schließsystem
• Email-Verschlüsselung
• Externer Aktenvernichter
• Festplattenspiegelung
• Feuer- und Rauchmeldeanlagen
• Feuerlöschanlage
• Firewall
• Gehäuseverriegelungen
• Gesonderte Aufbewahrung
• Informationspflichten für Betroffene
• Informationssicherheitsbeauftragter
• Intrusion-Detection-System
• Intrusion-Prevention-System
• Klimaanlage
• Kundenzugang
• Leerung der Postfächer
• Logins
• Lokales Hosting
• Löschzuständigkeiten
• Mechanisches Schließsystem
• Mobile Device Management (MDM)
• Notfallmanagement
• Passwort-Richtlinien
• Passwortschutz
• Persönliche Übergabe
• Pförtner/Empfang
• Physikalische Trennung
• Physische Löschung von Datenträgern
• Präsenzmelder
• Protokollierung der Zugriffe,
• Übermittlungen und Abrufe
• Pseudonymisierung
• Rechtevergabe
• Richtlinie für Auskunftsanfragen
• Richtlinie „Clean desk“
• Richtlinie für Datenminimierung
• Richtlinie für mobile Geräte
• Richtlinie für Telefonate
• Richtlinie für Videokonferenzen
• Schlüsselregelung
• Schnittstellensperrung
• Schulung/Verpflichtung
• Schutz vor Wasser
• Schutzsteckdosenleisten
• Sensibilisierung
• Sichere Löschung
• Sichere Transportbehälter
• Sicherer Transport
• Sicherheitsschlösser
• Sicherheitstür
• Signaturverfahren
• Smartphone-Verschlüsselung
• Spamfilter
• Systemtrennung
• Temperatur- und Feuchtigkeitssensoren
• USV-Anlage (Unterbrechungsfreie Stromversorgung)
• Veränderungsprotokollierung
• Vernichtung von Datenträgern
• Verschlossene Postfächer
• Verschlüsselte Verbindungen
• Verschlüsselung der Datensicherungssysteme
• Verschlüsselung der Website
• Verschlüsselung mobiler Datenträger
• Verschlüsselung mobiler IT-Systeme
• Vertrauenswürdiges Reinigungspersonal
• Vertrauenswürdiges Wachpersonal
• Videoüberwachung
• Weisung zur Anonymisierung / Pseudonymisierung
• Widerrufsrecht
• Zentrale Passwortvergabe
• Zutrittskonzept
• Zutrittsmeldeanlage im Serverraum

Schritt 2: Einschätzung & Bewertung

Nach der Erfassung der Ist-Situation erfolgt die Bewertung der technischen und organi­satorischen Maßnahmen. Sehr schnell kann bei vermeintlich Datenschutz-kon­formen Pro­zessen bzw. Maßnahmen eine Schwach­stelle identi­fiziert werden, welche im Zuge der TOM-Erstellung direkt opti­miert werden sollte. Bei umfang­reichen Änderungen wird im ersten Schritt auch ein Projekt­plan erstellt, um Zuständig­keiten sowie Umsetzungs­fristen festzulegen.

Schritt 3: Optimierung der technischen und organisatorischen Maßnahmen

Zur Erhöhung des Datenschutzniveaus, aber auch der IT-Sicherheit, werden in dieser Stufe Ihre Unter­nehmens­prozesse opti­miert. Es muss nicht gleich alles auf den Kopf gestellt werden, aber durch unsere Unter­stützung werden wir Ihnen Möglich­keiten und Chancen aufzeigen, mit welchen Sie die Datenverarbeitung effi­zienter gestalten und Sicherheits­lücken schließen. Somit ist dieser Schritt indirekt mit der Erstellung rechts­sicherer tech­nischer und organi­satorischer Maß­nahmen verbunden.

Schritt 4: Überwachung der Zielerreichung, Aufrechterhaltung und Verbesserung

Technische und organisatorische Maß­nahmen müssen mit der technischen Entwicklung Schritt halten. Was heute noch sicher ist, ist morgen schon wieder veraltet.
Eine kontinuierliche Prüfung der TOM ist daher unaus­weichlich. Vor allem bei der Verarbeitung besonders sensibler Daten, z.B. Gesundheits­daten, müssen Prüfzyklen kurz und Prüfungen voll­um­fänglich sein.