Technische organisatorische Maßnahmen

TOM nach DSGVO. Das gilt es zu beachten!

datenschutzberatung2
Inhalt der Seite

    Die Aufstellung der technischen und organisatorischen Maßnahmen gehören mit dem Verzeichnis der Verarbeitungstätigkeiten und der Risikoanalyse zu den drei zentralen und verpflichtenden Teilen der Dokumentation nach der DSGVO.

    Diese technischen und organisatorischen Maßnahmen müssen laut DSGVO dokumentiert und bei einer Prüfung oder einem Schadenereignis (etwa einem Datenleck) vorgelegt werden können. Alle Unternehmen, aber auch Vereine, Einzelkaufleute, Handwerker und Selbstständige, die personenbezogene Daten verarbeiten, müssen die drei genannten Dokumente führen und aktuell halten.

    Die technischen und organisatorischen Maßnahmen sind deshalb besonders wichtig, weil sie den ganzen Datenschutz im Unternehmen betreffen und kontrollieren. Sie dokumentieren, wie die Daten von Kunden, Lieferanten und Mitarbeitern geschützt und abgesichert werden.

    Was sind technische und organisatorische Maßnahmen (TOMs) laut der DSGVO?

    Datenverarbeitung ist eine Kombination aus technischen Vorgängen und organisatorischen bzw. personellen Eingriffen. Die Verarbeitung unterliegt dabei verschiedenen Risiken, was den Zugriff auf die genutzten Daten, die Gefahr des Datenabflusses und die Wiederherstellbarkeit der System betrifft. Die technischen und organisatorischen Maßnahmen umfassen alle in der Praxis getroffenen Vorkehrungen zur Gewährleistung der Sicherheit von  Daten. Sie basieren auf der Risikoanalyse für die im jeweiligen Unternehmen genutzten Prozesse.

    Je nach Verarbeitungsprozess und Automatisierungsgrad ist das Verhältnis aus Technik- und Personenanteilen unterschiedlich verteilt, aber alle Verarbeitungsprozesse, die technische Systeme – vielleicht auch automatisiert – ausführen, gehen auf von Menschen gestellte Dateneingaben und Abfragen zurück.

    Der Katalog der technischen und organisatorischen Maßnahmen dokumentiert daher beide Aspekte in Kombination. Denn die beste Backupstruktur hilft nicht weiter, wenn die Datensicherungen nur monatlich angestoßen werden, und auch eine preisgekrönte Firewall kann leicht überwunden werden, wenn das Passwort firmenweit bekannt ist.

    arrow-right

    Kostenlose Erstberatung vereinbaren

    Die Software für automatisierte Netzwerk-Inventarisierung.

    Artikel 24 DSGVO besagt, dass der Datenschutzverantwortliche für jeden Verarbeitungsprozess festlegen muss, welche Daten für den jeweiligen Verwendungszweck erhoben werden müssen und wie sie durch technische und organisatorische Maßnahmen optimal geschützt werden können.

    Dafür muss er „unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umsetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt“.

    Was versteht man unter technische Maßnahmen im Datenschutz?

    Unter technischen Maßnahmen sind alle Schutzversuche zu verstehen, die im weitesten Sinne den Zugang zu Flächen und Gebäuden sowie zu Hard- und Software regeln sowie die Verfügbarkeit der Systeme und Netzwerke sicherstellen. Dazu gehören also

    • Umzäunung des Geländes
    • Sicherung von Türen und Fenstern,
    • Alarmanlagen jeglicher Art
    • Zugangsbeschränkungen zum Gelände/Gebäude/Bereich durch Pförtner, Videoüberwachung oder Checkin-Systeme,
    • Benutzerkonteno in Computersystemen
    • Passworterzwingung
    • Logging (Protokolldateien)
    • Nutzung von VPN-Tunneln
    • Biometrische Benutzeridentifikation
    • Brandschutzmaßnahmen
    • Überspannungsschutz, Blitzableiter
    • Unterbrechungsfreie Stromversorgung
    • Klimaanlage
    • RAID (Festplattenspiegelung)
    • Backupkonzept
    • Virenschutzkonzept

    Was versteht man unter orgaisatorischen Maßnahmen im Datenschutz?

    Organisatorische Maßnahmen betreffen den Ablauf der Datenverarbeitung und die durchführenden Personen. Sie sind dementsprechend alle nichttechnischen Maßnahmen mit denen die Datensicherheit erreicht werden soll, also Handlungsanweisungen, Verfahrens- und Vorgehensweisen. Beispiele sind etwa

    • Mitarbeiterschulungen im Datenschutz
    • Vertraulichkeitsverpfichtungen der Mitarbeiter
    • Besucheranmeldung
    • festgelegte Intervalle zur Stichprobenprüfungen
    • die Aufstellung von Berechtigungskonzepten
    • Vor-Ort-Prüfungen
    • Das Vier-Augen-Prinzip
    • Kontrollrechte des Auftraggebers

    Welche TOMs sind erforderlich?

    Der Verantwortliche muss laut Artikel 25 DSGVO geeignete technische und organisatorische Maßnahmen ergreifen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden (Datensparsamkeit).

    Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang der Verarbeitung der erhobenen personenbezogenen Daten, die Speicherfrist der erhobenen personenbezogenen Daten und die Zugänglichkeit der erhobenen personenbezogenen Daten.

    Die Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

    Jörg ter Beek

    [email protected]
    0251 297947-40

    Ihr Datenschutzbeauftragter

    Jörg ter Beek

    • zehnjährige Praxiserfahrung
    • TÜV-zertifizierter Datenschutzbeauftragter
    • ISMS-Auditor
    • Expertise in Datenschutzberatung und IT-Security

    Vorgehensweise zur Festlegung der TOMs

    Der erste Schritt ist eine gründliche Analyse aller Verarbeitungsprozesse personenbezogener Daten im Unternehmen sowie der damit verbundenen Risiken, die durch menschliche Fehler, technische Unzulänglichkeiten oder Angriffe von außen bei der Speicherung und Verarbeitung eintreten könnten (Risikoanalyse).

    Bei der Risikoanalyse muss das Unternehmen alle möglichen Gefahrenquellen, Bedrohungen und Schwachstellen mit ihrer jeweiligen Eintrittswahrscheinlichkeit und der potenziellen Schwere des Schadens für die Rechte und Freiheiten des Betroffenen betrachten. Je größer oder gefährlicher ein Risiko, desto intensivere Schutzmaßnahmen müssen getroffen werden.

    Um technische und organisatorische Maßnahmen für einen Datenverarbeitungsprozess zu erarbeiten oder zu analysieren, empfiehlt die Landesbeauftragte für den Datenschutz Niedersachsen die folgenden acht Schritte:

    datenschutzberatung

    1.

    Beschreiben Sie die Verarbeitungstätigkeit

    Schildern Sie detailliert, welche Daten die Verarbeitung betrifft, welche Zwecke mit der Verarbeitung verfolgt werden und wie die Verarbeitung durch wen abläuft. Welche Systeme kommen dabei zum Einsatz?

    dsgvo

    4.

    Identifizieren Sie Risiken und schätzen Sie den potenziellen Schaden ein

    Wir prüfen die Websites im Hinblick auf mögliche Datenschutzverstöße, zum Beispiel durch nicht korrekt eingebundene Tracker, Content-Elemente oder Cookies.

    dsgvo

    7.

    Überprüfen Sie die Gesamtheit der Maßnahmen

    Betrachten Sie die ausgewählten Maßnahmen in der geplanten Kombination. Sind bestimmte Maßnahmen vielleicht überflüssig, weil eine andere Maßnahme bereits ein besseres Schutzniveau bietet? Wird der Beitrag der Maßnahme zur Zielerreichung nicht klar, präzisieren Sie die Maßnahme.

    dsgvo

    2.

    Prüfen Sie die rechtlichen Grundlagen

    Sind die Erfassung und Verarbeitung der Daten rechtmäßig und zweckdienlich? Stellen Sie sicher, dass die Verarbeitung auf einer zulässigen Rechtsgrundlage basiert und dass die Grundsätze der DSGVO eingehalten werden.

    it-security

    5.

    Wählen Sie Schutzmaßnahmen aus

    Suchen Sie nach geeigneten Maßnahmen, um die identifizierten Risiken zu minimieren.

    web

    8.

    Setzen Sie die Maßnahmen um

    Verteilen Sie Aufgaben und Verantwortlichkeiten an die Beteiligten und priorisieren Sie ggf. Ihre Maßnahmen. Evaluieren Sie den Erfolg und steuern Sie ggf. nach, indem Sie den Prozess erneut durchlaufen.

    web

    3.

    Führen Sie eine Strukturanalyse durch

    Ermitteln und beschreiben Sie die zu schützenden Dienste, Systeme, Räume und Daten und ihre Beziehung zueinander. Hierzu gehören sowohl technische wie organisatorische Aspekte, insbesondere Gebäude/Räume sowie Personen.

    datenschutzbeauftragter-dsb

    6.

    Bewerten Sie das Restrisiko

    Ermitteln Sie die Risikowahrscheinlichkeit und -schwere, wenn die nach Punkt 5 ausgewählten Maßnahmen implementiert wären. Lassen sich Risiken durch technische und organisatorische Maßnahmen nicht gänzlich ausräumen, und wie schwerwiegend wäre dies? Sollte weiterhin ein hohes Risiko bestehen, müssen Sie neue/weitere Maßnahmen bestimmen oder den Verarbeitungsprozess anpassen.

    Am schwierigsten erscheint oft die Entwicklung solcher technischen und organisatorischen Maßnahmen, die diese Risiken so weit wie möglich reduzieren – siehe Punkt 5 der Liste oben. Artikel 32 DSGVO listet Maßnahmen auf, die nach Einschätzung des Risikos eingesetzt werden können und sollen. Das sind

    • 1 Die Pseudonymisierung und Verschlüsselung personenbezogener Daten
    • 2 Die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
    • 3 Die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
    • 4 Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

    Dabei sollen besonders Risiken bewertet und minimiert werden, die mit der Verarbeitung verbunden sind, beispielsweise

    • Unbeabsichtigte/r oder unrechtmäßige/r Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von personenbezogenen Daten
    • unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden

    Auch die Zugänglichkeit der Daten (Zugriff) und deren Speicherungsdauer muss so knapp wie möglich ausgestaltet werden. Insbesondere müssen die Personen, die auf die Daten Zugriff haben, abschließend aufgezählt werden und Vorkehrungen gegen eine Veröffentlichung geschützter Daten eingerichtet werden.

    Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 DSGVO oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 DSGVO kann als Faktor für Einhaltung der technischen und organisatorischen Maßnahmen herangezogen werden.

    Eine detaillierte Checkliste über die Vorüberlegungen und Aspekte zu den technischen und organisatorischen Maßnahmen finden sich in der folgenden Checkliste: https://www.lda.bayern.de/media/checkliste/baylda_checkliste_tom.pdf

    Wer muss die TOMs festlegen?

    Der Verantwortliche und der Auftragsverarbeiter haben sicherzustellen, dass ihnen unterstellte Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen in der dafür vorgesehenen Weise verarbeiten.

    Für die Festlegung, Einhaltung und Dokumentation der technischen und organisatorischen Maßnahmen ist der jeweilige Datenschutzverantwortliche zuständig. Die technischen und organisatorischen Maßnahmen müssen im Verzeichnis von Verarbeitungstätigkeiten aufgeführt werden.

    Wozu dienen die TOMs?

    Die ausgewählten technischen und organisatorischen Maßnahmen müssen nach Artikel 32 Absatz 1b DSGVO geeignet sein, die folgenden vier Schutzziele sicherzustellen:

    • 1 Vertraulichkeit: Personenbezogene Daten sind für Unbefugte nicht zugänglich und werden nur Befugten verfügbar gemacht.
    • 2 Integrität: Es werden Maßnahmen zum Schutz vor Verfälschung von Daten ergriffen, wie etwa die Weitergabe- oder Eingabekontrolle.
    • 3 Verfügbarkeit von Systemen: Die Maßnahmen müssen sicherstellen, dass informationstechnische Systeme stets gemäß ihrem Zweck und Funktionsumfang genutzt werden können. Darunter fällt etwa der Schutz der personenbezogenen Daten gegen zufällige Zerstörung oder Verlust durch Virenschutz, unterbrechungsfreie und Notstromversorgung, Brandschutzmaßnahmen oder Datensicherungen, IT-Notfallpläne
    • 4 Belastbarkeit der Systeme und Dienste: Maßnahmen zur Ausfallkontrolle von Systemen bei hoher Nutzlast und der Abwehr von Überlastungsangriffen (DOS, Cyberangriffe) durch skalierende und Schutzsysteme.

    Eine erste Hilfe zur Auswahl eines angemessenen Schutzniveaus, wie es die DSGVO fordert, kann der Leitfaden des Landesbeauftragten für den Datenschutz Niedersachsen (LfD) für die Auswahl der Maßnahmen sein.

    • hilfe

      Wie können wir Ihnen helfen?

    Wir helfen Ihnen bei Fragen zu unseren Produkten oder zum Thema Datenschutz gerne weiter:

    Sprechen Sie uns an.

    Wir beraten Sie gerne

    +49 251 297 947 40

    Jörg ter Beek

    Ihr Ansprechpartner

    Jörg ter Beek
    +49 251 297 947 40
    [email protected]

    Jörg ter Beek

    Beispiel TOM nach DSGVO

    Nehmen wir an, in Ihrem Unternehmen werden personenbezogene Daten verarbeitet und zu einem definierten Verarbeitungszweck auf einem bestimmten Laufwerk/Festplatte abgelegt.

    Es besteht das Risiko eines Datenverlustes, falls diese Festplatte einen Defekt aufweist – hier wäre die technische und organisatorische Maßnahme, ein Backup-System zu installieren und regelmäßige Backups durchzuführen, das im Falle eines Ausfalles reibungslos und mit demselben Datenbestand automatisch für die dann defekte Festplatte einspringt.

    Es besteht aber auch das Risiko, dass durch Fehler in der Datenablage, unsichere Passwörter oder eine „Hack“ der Zugangsdaten unbefugte Dritte Zugriff auf die Datenbestände erlangen könnten. Hierfür wären technische und organisatorische Maßnahmen, zum einen den Datenzugriff auf bestimmte, dokumentierte Personen zu begrenzen, die Datenablage und die Passwortstärke detailliert vorzugeben (organisatorisch) und zudem eine Zugriffssperre gegen unbefugten Datenabgriff durch Hacking einzurichten, etwa eine komplexe Firewall (technisch).

    Die technischen Systeme, aber auch die Organisationsstrukturen im Zusammenhang mit der Datenverarbeitung müssen dabei immer auf dem aktuellen Stand der Technik gehalten werden. Auch die technischen und organisatorischen Maßnahmen müssen immer aktuell sein und den Ist-Zustand im Unternehmen abbilden, um im Schadensfall Aufzeichnungen über die getroffenen Vorkehrungen zu haben.

    Wie setze ich die DSGVO-Anforderungen optimal um?

    Die DSGVO bleibt bei den konkreten Anweisungen für technische und organisatorische Maßnahmen etwas vage. Das Bundesdatenschutzgesetz (BDSG), das der Datenschutz-Grundverordnung voranging, beschreibt in der Anlage zu § 9 Absatz 1 der alten Fassung folgende technische und organisatorische Maßnahmen:

    Zutrittskontrolle: Der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, wie einem Serverraum muss Unbefugten durch Zutrittskontrollen (Pförtner, Personenkontrolle, Alarmanlagen, Videoüberwachung, elektrische Türöffner, Magnet- und Chipkartenleser, Sicherheits- oder Codeschlösser) verwehrt werden.

    Zugangskontrolle: Der digitale Zugriff Dritter auf Datenverarbeitungsanlagen und die Nutzung der personenbezogenen Daten muss z. B. durch Verschlüsselung von Datenträgern, Mehr-Faktor-Authentifizierungen, Passworterzwingung, automatische Sperrmechanismen verhindert werden.

    Zugriffskontrolle: Durch strenge Berechtigungskonzepte, bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen und Benutzererkennung mit Passwörtern wird sichergestellt, dass die Datenverarbeitung nur durch die hierfür berechtigten Personen im Unternehmen erfolgt, diese ausschließlich Zugriff auf die Daten erhalten, zu deren Verarbeitung sie berechtigt sind, und dass unbefugte Dritte weder Schreib- oder Lesezugang zu sensiblen Daten erhalten noch unbefugte Datenkopier- oder Löschvorgänge ausführen können.

    Weitergabekontrolle: Auch während der Übertragung und Speicherung sensibler Daten dürfen unbefugte Dritte keinen Zugriff auf die Daten haben. Hierzu sind ausreichende Verschlüsselungstechnologien einzusetzen. Alle Stellen, an denen eine Datenweitergabe erfolgt, sind zu dokumentieren und zu sichern.

    Eingabekontrolle: Jeder Zugriff auf personenbezogene Daten, jede Eingabe, Änderung oder Löschung wird im System protokolliert und über ein Dokumentationsmanagement vollständig nachvollziehbar gemacht.

    Auftragskontrolle: Auftragsverarbeitungsverträge stellen sicher, dass die Datenverarbeitung durch befugte Dritte ausschließlich den Regelungen des Auftraggebers entsprechend erfolgen kann.

    Verfügbarkeitskontrolle: Firewalls, Virenscanner, Backups, Software-Updates und andere technische Verfahren stellen sicher, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind bzw. vollständig wiederhergestellt werden können. Hierzu gehört auch eine Absicherung der Systeme und Daten gegen innere (z.B. Sabotage) und äußere Einflüsse (z.B. Stromausfälle, Blitzeinschläge, etc.)

    Trennungsgebot: Es werden separate Systeme und getrennte Datenbanken genutzt, um zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Auftragsdatenverarbeitung, Testsysteme).

    Welche dieser Maßnahmen im jeweiligen Unternehmen umgesetzt werden müssen, ist das Ergebnis der zu Beginn erfolgten Risikoanalyse. Damit wird erkennbar, wie wichtig dieser erste Schritt bei der Erarbeitung der technischen und organisatorischen Maßnahmen ist.

    Eine noch detailliertere Aufstellung für technische Sicherungsmaßnahmen liefert Ihnen die Norm ISO/IEC 27002 „Leitfaden für Informationssicherheitsmaßnahmen“.

    Welche Vorteile erhält mein Unternehmen durch TOMs?

    Technische und organisatorische Maßnahmen und deren Dokumentation bringen Ihrem Unternehmen eine höhere Reputation, gerade im Fall einer Datenpanne. Sie können damit nachweisen, dass Ihr Unternehmen alles unternommen hat, um den Schaden gering zu halten und die Ihnen anvertrauten Daten zu schützen.

    Die Einhaltung der festgelegten Maßnahmen bringt Ihrem Unternehmen außerdem eigene Vorteile:

    • Sie schützen auch Geschäftsgeheimnisse und sensible Unternehmensdaten
    • Sie ermitteln Effizienzpotenziale bei den eigenen Geschäftsprozessen
    • Sie stärken die Integrität und Verfügbarkeit des gesamten Datenbestands, auch jenseits der personenbezogenen Daten
    • Sie verbessern die Belastbarkeit Ihrer IT-Infrastruktur und verringern das Risiko eines kostspieligen Systemausfalls.

    Welche Folgen entstehen bei Nichtverwendung der TOMs?

    Verstöße oder Versäumnisse bei den technischen und organisatorischen Maßnahmen können sehr teuer werden. Besonders wichtig ist die Risiko- und Folgenabschätzung und die Dokumentation der daraufhin getroffenen Vermeidungsmaßnahmen. Sind diese Aufzeichnungen im Fall einer Überprüfung oder einer bekannt gewordenen Datenpanne nicht aktuell, nicht vollständig oder gar nicht vorhanden, sind Bußgelder von bis zu 10 Millionen Euro oder 2 % des Bruttoumsatzes (je nachdem, welche Betrag höher ist) möglich.

    Verstöße an anderen Stellen der technischen und organisatorischen Maßnahmen können bis zu 300.000 Euro Bußgeld bedeuten. Dabei sollte sich der Datenschutzbeauftragte regelmäßig fortbilden, um etwa auf dem erforderlichen „Stand der Technik“ zu bleiben und entsprechende Anpassungen umgehend vornehmen zu können.

    Falls Sie mit einem Auftragsverarbeiter zusammenarbeiten, so lassen Sie sich dessen technischen und organisatorischen Maßnahmen vorlegen und prüfen Sie sie in Hinblick auf die Prozesse, die Ihr Unternehmen von diesem Dienstleister durchführen lässt. Eine Checkliste hierfür finden Sie unter https://www.gdd.de/downloads/praxishilfen/prax-praxishilfen-neustrukturierung/gdd-praxishilfe-ds-gvo-mustervertrag-zur-auftragsverarbeitung-gemaess-art-28-ds-gvo

    Sie haben noch Fragen zum Thema oder zum Datenschutz im Allgemeinen?

    Wir helfen Ihnen gerne:

    Jörg ter Beek

    Ihr Ansprechpartner

    Jörg ter Beek
    Datenschutzexperte
    [email protected]
    +49 251 29794740