Technische und organisatorische Maßnahmen (TOM) zum Schutz personenbezogener Daten

Geeignete technische und organisatorische Maßnahmen (kurz TOM) sind entsprechend § 9 des Bundesdatenschutzgesetzes (BDSG) in Verbindung mit der Anlage zu § 9 Satz 1 BDSG von allen Stellen, die personenbezogene Daten erheben, verarbeiten oder nutzen, umzusetzen.  Auch schreibt § 11 Abs. 2 Satz 1 BDSG vor, dass im Falle einer Auftragsdatenverarbeitung der Auftragnehmer – unter Berücksichtigung der von ihm getroffenen technischen und organisatorischen Maßnahmen – sorgfältig auszuwählen ist. Als externer Datenschutzbeauftragter fällt jedoch in der Praxis häufig auf, dass viele verantwortliche Stellen, egal ob Unternehmen, Vereine oder Behörden, gar nicht wissen, welche Maßnahmen ergriffen werden sollten, da im Bundesdatenschutzgesetz zwar Anforderungen aufgeführt, allerdings keine Maßnahmen zur Erfüllung dieser Anforderungen benannt werden. Zudem fehlt den meisten Dienstleistern auch die Dokumentation über bereits getroffene Maßnahmen TOM.

Welche Anforderungen sieht das Bundesdatenschutzgesetz vor?

In der Anlage zu § 9 Satz 1 BDSG werden acht Anforderungen benannz, die im Folgenden näher erläutert werden:

Zutrittskontrolle

Mit der Zutrittskontrolle soll Unbefugten die räumliche Annährung an Datenverarbeitungsanlagen verwehrt werden.

Beispiele für bauliche Maßnahmen der Zutrittskontrolle

• Einbruchmeldeanlage/n
• Vergitterung von Fenstern
• abschließbare Fenster
• usw.

Beispiele für organisatorische Maßnahmen der Zutrittskontrolle

• Abholung und Begleitung von Besuchern
• Kontrollgänge
• Protokollierung der Zutritte und Abgänge
• usw.

Zugangskontrolle

Mit der Zugangskontrolle soll verhindert werden, dass Unbefugte Zugang zu IT-Systemen erhalten.

Beispiele für technische Maßnahmen der Zugangskontrolle

• Sperren von Bildschirmen
• Technische Prüfung der Passwortqualität
• Einsatz einer Firewall
• usw.

Beispiele für organisatorische Maßnahmen der Zugangskontrolle

• Erstellung einer Passwortrichtlinie
• Bildschirme für Dritte nicht einsehbar aufstellen/ausrichten
• Arbeitsanweisung zur Bildschirmsperre
• usw.

Zugriffskontrolle

Unter Zugriffskontrolle versteht man, dass nur berechtigte Benutzer Daten in IT-Systemen erheben, verarbeiten und nutzen dürfen.

Beispiele für technische Maßnahmen der Zugriffskontrolle

• Verschlüsselungsverfahren nach dem Stand der Technik
• Abweisung nicht autorisierter Computer und Endgeräte im Netzwerk
• Kopierkontrolle
• usw.

Beispiele für organisatorische Maßnahmen der Zugriffskontrolle

• Verriegelung von Laufwerken / PC-Gehäusen
• Dokumentation von Datenvernichtungsmaßnahmen
• Kontrolle der Fernwartung
• usw.

Weitergabekontrolle

Mittels der Weitergabekontrolle soll verhindert werden, dass personenbezogene Daten bei der Übermittlung oder dem Transport von Unbefugten eingesehen oder verarbeitet werden können.

Beispiele für technische Maßnahmen der Weitergabekontrolle

• Verschlüsselungsverfahren nach dem Stand der Technik
• Protokollierung der Datenübermittlung
• Sicheres Löschen von Daten auf Datenträgern
• usw.

Beispiele für organisatorische Maßnahmen der Weitergabekontrolle

• Beauftragung zuverlässiger Transportunternehmen
• Führung eines Datenträgereingangs- bzw. –ausgangsbuches
• Dokumentation des Transportweges
• usw.

Eingabekontrolle

Bei der Eingabekontrolle soll die Überprüfung, wer, wann, welche Daten und auf welchen Systemen eingegeben und verarbeitet hat, erfolgen.

Beispiele für technische Maßnahmen der Eingabekontrolle

• Protokollierung der Eingabe, Änderung und Löschung von Daten
• Einsatz von Protokollauswertungssystemen
• usw.

Beispiele für organisatorische Maßnahmen der Eingabekontrolle

• Definition der zur Eingabe, Änderung und Löschung personenbezogener Daten Berechtigten
• Definition von Plausibilitätskontrollen zur Eingabe, Änderung und Löschung
• Sichere Ablage und fristgerechte Löschung von Protokollen
• usw.

Auftragskontrolle

Bei der Auftragskontrolle soll sichergestellt werden, dass der externe Dienstleister die personenbezogenen Daten alleinig nach Weisung des Auftraggebers verarbeitet.

Beispiele für Maßnahmen der Auftragskontrolle

• Schriftliche Verträge zwischen dem Auftraggeber und dem Auftragnehmer (Vertrag zur Auftragsdatenverarbeitung gemäß § 11 BDSG) unter anderem zur Fixierung der Weisungen und Berichtspflichten
• Sorgfältige Auswahl des Auftragnehmers nach dem Niveau seiner technischen und organisatorischen Maßnahmen

Verfügbarkeitskontrolle

Unter der Verfügbarkeitskontrolle versteht man den Schutz vor Datenverlust und Zerstörung, sowie sämtliche Maßnahmen zu Wiederherstellung.

Beispiele für technische Maßnahmen der Verfügbarkeitskontrolle

• E-Mail-Archivierung
• Unabhängige Stromversorgung
• usw.

Beispiele für organisatorische Maßnahmen der Verfügbarkeitskontrolle

• Sicher Aufbewahrung von Datensicherungen
• Klimaanlage in Serverräumen
• usw.

Trennungsgebot

Bei der letzten Anforderung soll eine getrennte Verarbeitung sichergestellt werden, damit keine Zweckentfremdung der personenbezogenen Daten möglich ist. Der Zweck für den die Daten erhoben wurden, darf nicht geändert werden. Aus diesem Grund ist es wichtig, dass Daten, die zu unterschiedliche Zwecken erhoben wurden, vollständig getrennt voneinander gespeichert werden. (Zweckbindungsgrundsatz)

Beispiele für technische Maßnahmen zur getrennten Verarbeitung

• Strikte Trennung von Entwicklungs- und Produktivsystem
• Einsatz von Routern zur Bildung von Netzwerksegmenten
• Einrichtung logischer Datenbanken
• usw.

Beispiele für organisatorische Maßnahmen zur getrennten Verarbeitung

• Ausführliche Dokumentation der Datenbanken
• Klare innerbetriebliche Vorgaben für die Datenerhebung, Datenspeicherung und Datenverarbeitung
• usw.

Welche Anforderungen sieht die DS-GVO vor?

Die DS-GVO sieht– ebenso wie das BDSG – technische und organisatorische Maßnahmen vor, die unter Berücksichtigung der Verhältnismäßigkeit und dem Stand der Technik zum Schutz personenbezogener Daten ergriffen werden sollten. In Artikel 32 Abs. 1 DS-GVO heißt es:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“

Neben den – aus dem BDSG – bekannten Anforderungen, wie der Verfügbarkeit oder Vertraulichkeit, greift die DS-GVO die Belastbarkeit der Systeme auf, allerdings werden auch in der DS-GVO keine Maßnahmen genannt, die zur Erfüllung der Anforderung beitragen sollen.

Fazit

Mit Blick auf die DS-GVO, die ebenfalls technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten aufgreift, sollten Organisationen schnellstens handeln. Zumal die Sanktionen im Datenschutz zukünftig um ein Vielfaches höher ausfallen können.

Ein positiver Nebeneffekt, der sich durch das Ergreifen von technischen und organisatorischen Maßnahmen ergibt, ist der Schutz sonstiger schützenswerter Daten / (Betriebs-)Geheimnisse.