Die Datenschutzgrundverordnung (DSGVO) sieht vor, dass die Verarbeitung personenbezogener Daten einheitlich geschützt werden muss. Dazu zählen auch die Technisch-organisatorischen Maßnahmen, kurz „TOM“. Worum es sich dabei genau handelt und was beachtet werden muss, erfahren Sie in unserem Artikel.
Die Bedeutung von technisch-organisatorische Maßnahmen (TOM)
TOM steht für technische und organisatorische Maßnahmen, die im Rahmen der neuen DSGVO von Unternehmen und Selbstständigen ergriffen und eingehalten werden müssen, um die Sicherheit personenbezogener Daten zu gewährleisten. In Art. 32 DSGVO sind einige Ziele beschrieben, an denen sich betroffene Firmen orientieren können. Dazu gehören folgende Punkte:
- die Verschlüsselung und Pseudonymisierung von personenbezogenen Daten muss gewährleistet werden
- die entsprechenden Systeme müssen die Integrität, Vertraulichkeit, Fähigkeit, Belastbarkeit und Verfügbarkeit aufweisen, um solche Daten schützen zu können
- Fähigkeit, Verfügbarkeit und Zugang zu den Daten müssen im Falle von technischen oder physischen Vorfällen schnell wiederhergestellt werden können
- es muss ein Verfahren geben, das die Wirksamkeit der TOM in regelmäßigen Abständen überprüft und bewertet, um die Sicherheit der Verarbeitung der Daten zu garantieren
Unterscheidung von technischen und organisatorischen Maßnahmen im Datenschutz
Die durchzuführenden Maßnahmen werden in zwei Kategorien unterteilt:
- Technische Maßnahmen:
Diese Maßnahmen beziehen sich auf den Vorgang der Datenverarbeitung. Inbegriffen sind beispielsweise alle technischen oder physischen Maßnahmen, um die Verarbeitung der personenbezogenen Daten bestmöglich zu schützen. Das kann unter anderem die Installation von Software oder Alarmanlagen sein, ebenso wie die Einrichtung entsprechender Nutzerkonten mit Passwortschutz.
- Organisatorische Maßnahmen:
Diese Maßnahmen beschreiben vielmehr die organisatorischen Rahmenbedingungen, die nötig sind, um den Datenverarbeitungsvorgang DSGVO-konform durchzuführen. Gemeint sind hier vor allem Richtlinien, Anweisungen und Regelungen, die es einzuhalten gilt.
Checkliste und Mustervorlage für technische und organisatorische Maßnahmen
Eine klare Definition, welche technischen und organisatorischen Maßnahmen ausgeführt und eingehalten werden müssen, gibt es nicht. Allerdings orientieren sich die deutschen Aufsichtsbehörden an bestimmten Begriffen, die in der DSGVO aufgeführt werden, um die Vorgaben für Informationssicherheit zu veranschaulichen.
Danach wurde eine Art Mustervorlage entwickelt, die folgende Punkte beinhaltet:
- Pseudonymisierung
- Verschlüsselung
- Gewährleistung der Verfügbarkeit
- Gewährleistung der Vertraulichkeit
- Gewährleistung der Integrität
- Gewährleistung der Belastbarkeit von Systemen
- Verfahren, um die Verfügbarkeit von personenbezogenen Daten nach technischen oder physischen Vorfällen schnell und einfach wiederherzustellen
- Verfahren, um die Wirksamkeit der TOM regelmäßig zu überprüfen und zu bewerten
Ein bekanntes Problem bei der Definition stellen die schlecht voneinander unterscheidbaren Begriffe dar, die wenig aussagekräftig sind. Somit ist jedes Unternehmen beim Schutz personenbezogener Daten auf sich alleine gestellt, um diese Ziele bzw. Maßnahmen entsprechend gesetzeskonform zu ergreifen und die Vorschriften einzuhalten.
Norm ISO 27002 als Leitfaden zur Umsetzung der TOM
Experten raten, sich Hilfe in der Norm ISO 27002 zu suchen, wenn Sie sich unsicher sind, welche technisch organisatorischen Maßnahmen in Ihrem Unternehmen entwickelt und umgesetzt werden müssen. Die Norm dient als hilfreicher Leitfaden für Maßnahmen zur Informationssicherheit, die zudem auch international anerkannt ist. Besonders ab Kapitel 5 wird konkret darauf eingegangen, welche Maßnahmen allgemein akzeptiert und anerkannt werden, um den Schutz von Informationen sicherzustellen. Wenn Sie sich also an dieser Norm orientieren, gehen Sie auf Nummer sicher, dass keine wesentlichen Punkte bei der Umsetzung der TOM übersehen werden.
Zutrittskontrolle, Zugangskontrolle und Zugriffskontrolle – die Unterschiede
Die obenstehenden Begriffe gehören zu den sogenannten acht Geboten des Datenschutzes. Diese wurden für alle Organisationen und Unternehmen festgelegt, die personenbezogene Daten erheben, speichern und verarbeiten und einen entsprechenden Datenschutz gewährleisten müssen. Zu den insgesamt acht Regelungen gehören:
- Zutrittskontrolle
- Zugangskontrolle
- Zugriffskontrolle
- Weitergabekontrolle
- Eingabekontrolle
- Auftragskontrolle
- Verfügbarkeitskontrolle
- Trennungsgebot
1. Gebot des Datenschutzes: die Zutrittskontrolle
Hierdurch wird verhindert, dass sich unbefugte Personen den Bereichen und Anlagen nähern, in denen die Datenverarbeitung stattfindet. Ein Beispiel für die rechtssichere Umsetzung ist, dass alle Mitarbeiter mit Zutrittsberechtigung eine elektronische Zutrittskontrolle passieren müssen, um in den entsprechenden Bereich zu gelangen.
Je nach Unternehmen und schutzbedürftigen Daten kann diese Zutrittskontrolle unterschiedlich und individuell ausfallen. In der Regel sollten aber vor allem IT-Räume und Anlagen so gesichert und verschlossen werden, dass ausschließlich befugte Mitarbeiter Zutritt haben. Denn hier werden normalerweise die meisten Daten verarbeitet.
2. Gebot des Datenschutzes: die Zugangskontrolle
Bei der Zugangskontrolle muss darauf geachtet werden, dass sich Unbefugte keinerlei Zugang zu den Datenverarbeitungssystemen, also der EDV, verschaffen können. Eine gängige und notwendige Maßnahme ist hier die Vergabe von geeigneten Passwörtern oder anderen technischen Vorrichtungen. Daher sollten Sie in Ihrem Unternehmen grundsätzlich immer überlegen, welcher Mitarbeiter zu welchem System oder welchen Dateien Zugang benötigt.
3. Gebot des Datenschutzes: die Zugriffskontrolle
Für die Umsetzung der Zugriffskontrolle ist es wichtig zu wissen, wer Zugriff auf die jeweiligen Daten benötigt und wem dies untersagt wird. In einem Unternehmen kann das anhand des Tätigkeitsfeldes des Mitarbeiters entschieden und eine entsprechende Nutzungsberechtigung vergeben werden. Neben der Zugriffsberechtigung muss außerdem genau festgelegt werden, was der Mitarbeiter mit diesen Daten und Informationen machen darf. Es wird in diesem Zusammenhang dazu geraten ein „Berechtigungskonzept“ zu erstellen, in dem alle Details erfasst werden. Werden beispielsweise manche Daten rein zu Informationszwecken benötigt, reicht hier oft schon eine einfache Leseberechtigung aus, ohne dass die Daten verändert oder gelöscht werden können.
4. Gebot des Datenschutzes: die Weitergabekontrolle
Die Weitergabekontrolle sieht eine gewisse Transparenz bei der Weitergabe von Daten vor, sodass vorhersehbar ist, welche Daten an wen und unter welchen Voraussetzungen weitergegeben werden. Außerdem soll mit der Weitergabekontrolle die Sicherheit dieser (erlaubten) Datentransfers sichergestellt werden. Somit werden die zugelassenen Empfänger und auch die entsprechenden Übertragungswege definiert.
5. Gebot des Datenschutzes: die Eingabekontrolle
Dieses fünfte der acht Datenschutz-Gebote hat das Ziel, nachvollziehen zu können, wer wann personenbezogene Daten eingegeben, bearbeitet oder entfernt hat. Für die realistische und effektive Umsetzung ist es daher wichtig, personalisierte Benutzerkennungen innerhalb eines Unternehmens zu vergeben, die den einzelnen Mitarbeitern zweifelsfrei zugeordnet werden können. Wenn die Belegschaft dagegen einheitlich unter der Kennung „Administrator“ arbeitet, ist dies für die Eingabekontrolle eher kontraproduktiv.
6. Gebot des Datenschutzes: die Auftragskontrolle
Die Auftragskontrolle ist nur für die Unternehmen relevant, die einen externen Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt haben. Sofern dies der Fall ist, muss die Auftragskontrolle sowohl vom Auftragnehmer wie auch vom Auftraggeber beachtet und eingehalten werden. Dabei ist der Auftraggeber verpflichtet, klare und eindeutige Anweisungen zu geben und den Auftragnehmer dahingehend zu kontrollieren
. Denn als Auftraggeber bleiben Sie selbst bei einer solchen Auslagerung verantwortlich für alle Vorgänge und haften für eventuelle Schäden, die durch den Auftragnehmer verursacht werden könnten. Der Auftragnehmer muss sich auf der anderen Seite genau an die Anweisungen und Vorgaben halten und dem Auftraggeber bei Bedarf entsprechende Kontrollen ermöglichen. Außerdem muss der Auftragnehmer sein Personal entsprechend schulen, damit gewährleistet ist, dass es die Aufträge korrekt bearbeiten und die Datenschutzrichtlinien einhalten kann.
7. Gebot des Datenschutzes: die Verfügbarkeitskontrolle
Das siebte Gebot verlangt einen angemessenen Schutz personenbezogener Daten vor unbeabsichtigtem Verlust oder gar Zerstörung. Zusätzlich muss garantiert werden, die Daten nutzen zu können, wann und wo immer dies notwendig ist. Somit ist es im Rahmen der Verfügbarkeitskontrolle nicht nur wichtig, die Daten vor Zerstörung zu schützen, sondern auch für die entsprechenden Systeme und Netzwerke zu sorgen, die deren Verfügbarkeit bzw. Verwendung sicherstellen. Der Schutz der relevanten IT-Anlagen ist hier ebenso gefragt wie die Sicherung von Stromversorgung und der Schutz vor äußeren Einflüssen wie Feuer oder Wasser.
8. Gebot des Datenschutzes: das Trennungsgebot
Das achte und letzte Gebot im Datenschutz konzentriert sich auf die Trennung von Daten gemäß deren Zweck. Einer der Hintergründe ist, die Daten einer bestimmten Abteilung oder einem Kunden zuordnen zu können und auf der anderen Seite die Einhaltung der Datenschutzrichtlinien in Bezug auf die zweckgebundene Verwendung der Daten. Das Trennungsgebot dient somit dem sogenannten Zweckbindungsgrundsatz. Dieser ist einer der wichtigsten Bestandteile im deutschen Datenschutz und gibt klar vor, dass Daten nur zu dem Zweck genutzt und verarbeitet werden dürfen, für den sie ursprünglich auch erhoben wurden. Daher müssen Unternehmen dafür sorgen, dass alle Daten auch entsprechend nach Zwecken getrennt verarbeitet werden.
Technisch-organisatorische Maßnahmen: Eine Neuerung in der DSGVO ist die Belastbarkeit
In Bezug auf die verwendeten Begriffe weichen die technischen und organisatorischen Maßnahmen der DSGVO vom BDSG-alt in einigen Punkten voneinander ab. Dennoch gibt es zahlreiche inhaltliche Übereinstimmungen, die auch heute noch gelten. Punkte wie Zugangs- und Zutrittskontrolle kennen wir z. B. bereits aus dem alten Bundesdatenschutzgesetz.
Eine Neuerung, die nun in der DSGVO erwähnt wird, ist die Belastbarkeit. Hier wird verlangt, dass Unternehmen alles in die Wege leiten, damit die Systeme und Netzwerke derart widerstandsfähig sind, dass diese im Notfall auch Überlastung und Hackerangriffe mühelos überstehen.
Generell waren Datenschutz und Datensicherheit schon nach dem alten BDSG ein wichtiger Punkt, der eingehalten werden musste. Durch die neue Datenschutzgrundverordnung, die nun europaweit gilt, wurde die Rechtslage jedoch weiter verschärft und es drohen auch bei Verstößen oder Nichteinhaltung höhere Sanktionen.