technisch-organisatorische Maßnahmen (TOM)

Zwei Perspektiven, ein Ziel: Datenschutz und Datensicherheit

Bei der inhaltlichen Beschreibung von Datenschutz und Datensicherheit entsteht schnell ein definitorisches Durcheinander. Dabei stehen beide Themengebiete nicht konträr, sondern ergänzend zueinander: Technische Vorkehrungen zum Schutz der Unternehmensdaten (Datensicherheit) sind ein wesentlicher Aspekt zum Schutz persönlicher Daten (Datenschutz) – die Auswahl adäquater Sicherheitswerkzeuge (Hard-/ Software) ist somit ein wesentlicher Baustein zum Schutz der Persönlichkeitsrechte.

Warum die technischen und organisatorischen Maßnahmen mit der DSGVO für Unternehmen an Bedeutung zunehmen, erfahren Sie hier.

Was sind technische und organisatorische Maßnahmen?

Definitionen:

Technische Maßnahmen beziehen sich auf den Datenverarbeitungsvorgang und bezeichnen alle Maßnahmen, die sich physisch umsetzen lassen (z.B. Alarmanlagen; Sicherung von Türen und Fenstern) oder Maßnahmen die in Soft- und Hardware umgesetzt werden (z.B. Benutzerkonto; Logging).

Organisatorische Maßnahmen beziehen sich auf die Rahmenbedingungen des Datenverarbeitungsvorgangs. Sie werden durch Handlungsanweisungen, Verfahrens- und Vorgehensweisen umgesetzt und umfassen Regeln, Vorgaben und Handlungsanweisungen zum Datenschutz.

 

TOM nach §9 BDSG (vor EU-DSGVO)

Im BDSGD sind bestimmte Sicherheitsmaßnahmen zu Kontrollkategorien zusammengefasst:

  • Zutritts-, Zugangs- und Zugriffskontrolle zu Datenverarbeitungsanlagen
  • Eingabe- und Weitergabekontrolle von Daten
  • Auftragskontrolle zur Auftragsdatenverarbeitung
  • Verfügbarkeitskontrolle von Daten
  • Zweckbindungskontrolle der Datenverarbeitung

TOM nach DSGVO

Es gilt die Datenschutzziele der DSGVO mittels technischer und organisatorischer Maßnahmen zu erreichen. Die DSGVO ändert zum TOM Datenschutz vor allem Umschreibungen. Wurden in der Anlage §9 BDSG zu treffende Maßnahmen beschrieben, legt die Datenschutz-Grundverordnung den Fokus darauf, bestimmte Datenschutzziele zu formulieren (Artikel 32 DSGVO, Abs. 1). Im Rahmen einer Arbeitsgruppe zu Verzeichnissen für Verarbeitungstätigkeiten nach Art. 30 DSGVO wurde ein DSGVO TOM Muster zur Beschreibung herausgegeben. Darin werden aufgeführt:

  • Pseudonymisierung
  • Verschlüsselung
  • Gewährleistung der Vertraulichkeit
  • Gewährleistung der Integrität
  • Gewährleistung der Verfügbarkeit
  • Gewährleistung der Belastbarkeit der Systeme
  • Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

Bedeutung und Umsetzung der einzelnen Maßnahmen

Die DSGVO geht konkret auf die Pseudonymisierung und die Verschlüsselung von Daten ein. Die genaue Umsetzung der Maßnahmen bleibt Ihnen überlassen. Wir geben Ihnen Handlungsempfehlungen zur Umsetzung der einzelnen Schutzziele mit auf den Weg. Die Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.) beschreibt die technischen und organisatorischen Maßnahmen in ihrer Praxishilfe zur Auftragsverarbeitung sehr verständlich. Im Folgenden finden Sie die Zusammenfassung der Maßnahmen.

Pseudonymisierung

Bedeutung: Mit der Pseudonymisierung soll die Zuordnung einzelner Personen zu den Daten erschwert werden.

Mögliche Maßnahmen:

  • Versehen Sie personenbezogene Daten - bei Prozessen in denen keine Zuordnung von einzelnen Datensätzen zu einer Person notwendig ist - mit einer Nummer oder einem nicht personenbezogenen Namen.
  • Mit den pseudonymisierten Daten darf keine Zuordnung zu betroffenen Personen möglich sein.
  • Bewahren Sie die pseudonymisierten Daten getrennt von den Informationen zur Identifizierung der einzelnen Personen auf (in getrennten Datenbanken, Räumen und Aktenschränken)
  • Stellen Sie sicher, dass weiteren an der Datenverarbeitung beteiligten Personen der Zugriff auf die zur Identifizierung notwendigen Daten verwehrt bleibt.

Verschlüsselung

Bedeutung: Bei der Verschlüsselung werden personenbezogene Daten mithilfe von Verschlüsselungsverfahren in eine für Unbefugte nicht leserliche Zeichenfolge verwandelt. Der Personenbezug dieser Daten bleibt im Gegensatz zur Pseudonymisierung erhalten.

Mögliche Maßnahmen:

  • Übermitteln Sie Passwörter nur verschlüsselt mithilfe von kryptographischen Hashfunktionen

Vertraulichkeit

Bedeutung: Es soll verhindert werden, dass es zu unbefugter Datenverarbeitung kommt und somit die Vertraulichkeit der verwendeten Systeme und Dienste schützen.

Mögliche Maßnahmen:

  • Zutrittskontrolle: Alarmanlagen, Videoüberwachung, elektrische Türöffner, Magnet- und Chipkartenleser, Sicherheitsschlösser, Codeschlösser
  • Zugangskontrolle: Passworterzwingung, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern
  • Zugriffskontrolle: Zugriff von Unbefugten vermeiden durch Berechtigungskonzepte, bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen (Lesen, Kopieren, Verändern, Entfernen), Benutzererkennung mit Passwörtern
  • Trennungsgebot: Getrennte Ordnerstrukturen (Auftragsdatenverarbeitung), getrennte Datenbanken.

Integrität

Bedeutung: Die Integrität soll sicherstellen, dass erhobene Daten nicht geändert oder gelöscht werden können.

Mögliche Maßnahmen:

  • Datensicherung: Backups, Virenscanner, Firewalls und Software-Updates
  • Weitergabekontrolle: Unbefugtes Lesen, Kopieren, Verändern, Löschen bei elektronischer Datenweitergabe verhindern.
  • Eingabekontrolle: Zur Feststellung ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt wurden, zum Beispiel durch Protokollierung oder Dokumentationsmanagement.

Verfügbarkeit

Bedeutung: Systeme und Daten sollten verfügbar und funktionsfähig sein, wenn sie benötigt werden.

Mögliche Maßnahmen:

  • Absicherung der Systeme und Daten gegen innere (z.B. Sabotage) und äußere Einflüsse (z.B. Stromausfälle, Blitzeinschläge, etc.)
    o Verfügbarkeitskontrolle durch sichere Stromanschlüsse
    o Blitzableiter
    o Virenschutz, Firewall, Backups

Belastbarkeit

Bedeutung: Datenverarbeitungssysteme müssen auch bei starker Beanspruchung (z.B. durch viele gleichzeitige Zugriffsanfragen auf Webserver; Cyberangriffe) belastbar sein.

Mögliche Maßnahmen:

  • Skalierende Systeme
  • Schutzsysteme gegen Angriffe

Wiederherstellung der Verfügbarkeit

Bedeutung: Kommt es trotz der oben aufgeführten Maßnahmen zu einem Zwischenfall bzw. einem Datenverlust, muss sichergestellt werden, dass diese schnellstmöglich wiederhergestellt werden können und die Systeme wieder abrufbar sind.

Mögliche Maßnahmen:

  • Wiederherstellungsverfahren
  • IT-Notfallpläne
  • Notstromversorgung

Überprüfung, Bewertung und Evaluierung der Wirksamkeit

Bedeutung: Wenn Sie die technischen und organisatorischen Maßnahmen eingeführt haben, müssen Sie diese regelmäßig auf den derzeitigen Stand der Technik und Funktionalität überprüfen.

Mögliche Maßnahmen:

  • Protokollierung
  • Skalierbarkeit von Systemen
  • Eindeutige Vertragsgestaltung
  • Auftragsmanagement
  • Nachkontrollen

Sie benötigen Hilfe bei der Anpassung bestehender Maßnahmen an die TOMs nach DSGVO? Wir unterstützen Sie gerne dabei, die beschriebenen Datenschutzziele mit Hilfe der technischen und organisatorischen Maßnahmen umzusetzen und Datenschutz und Datensicherheit in Ihrem Unternehmen auf den neuesten Stand zu bringen.

Unsere Services und Leistungen zum Datenschutz

Wir freuen uns auf Ihr Projekt!

Bitte geben Sie Ihren Namen ein.
Bitte geben Sie eine Nachricht ein.

CORTINA CONSULT DURCHSUCHEN

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages

Ihr Ansprechpartner

Externer Datenschutzbeauftragter Osnabrück - Jörg Ter Beek

Jörg ter Beek
+49 251 2979474-1
jtb@cortina-consult.de

Schreiben Sie uns:
0251 29794740 Schreiben Sie uns Remote-Desktop download