Technische und organisatorische Maßnahmen (TOM)

Bei der Erstellung eines Datenschutzkonzeptes stoßen Sie zwangsläufig auf die so genannten TOM (technische und organisatorische Maßnahmen). Diese hören sich viel komplizierter an als sie eigentlich sind. Die meisten Schritte sind logisch und bei genauerem Hinschauen auch nachvollziehbar.
In diesem Beitrag versuchen wir das Prinzip zu erklären und simpel darzustellen.

Worum geht es bei den TOM?

Durch den Einsatz der technischen und organisatorischen Maßnahmen soll sichergestellt werden, dass personenbezogene Daten – grob ausgedrückt – sicher sind. Also das kein Unbefugter Zugriff darauf bekommt und die rechtlichen Bestimmungen eingehalten werden. Hierzu wurden per Gesetz verschiedene Ansatzpunkte definiert, die von Ihnen beachtet werden müssen.

Wichtig für das Verständnis der TOM ist noch, dass alle Abschnitte in eben diese zwei Segmente aufgegliedert sind: technisch und organisatorisch.

Die technischen und organisatorischen Maßnahmen unterteilen sich in einzelne Abschnitte:

  • Vertraulichkeit (gem. Art. 32 Abs. 1 lit. DSGVO)
  • Integrität (Art. 32 Abs. 1 lit. b DSGVO)
  • Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

Das hört sich erst mal wild an, wird aber umso deutlicher, wenn man es in logischer Reihenfolge betrachtet. Eine bildhafte Vorstellung der TOM hilft dem Verständnis am ehesten. Daher schauen wir uns die TOM in logischer Reihenfolge an.

Zutrittskontrolle

Eigentlich voraussehbar, dass die Zutrittskontrolle an erster Stelle steht. Immerhin muss ein Unbefugter zuerst in ein Gebäude hineinkommen. Geschieht dies trotz entsprechender Vorkehrungen, sorgen weitere Maßnahmen im Gebäude dafür, dass der Zutritt zu sensiblen Bereichen verwehrt wird.

Merke: Auch nicht befugte Mitarbeiter haben in sensiblen Bereichen – wie etwa der Personalabteilung oder dem Rechenzentrum – nichts zu suchen. Hierfür sorgt ebenfalls die Zutrittskontrolle im Normalfall. Machen wir also den Rundgang.

Hinweis: Die Auflistungen der technischen und organisatorischen Maßnahmen in unserem Beispiel sind nicht vollständig. Sie dienen lediglich als Auszug!

Wie ist das Gebäude vor Fremdzutritt geschützt?

Technisch

  • Sicherheitstüren und -Schlösser
  • vergitterte Fenster
  • elektronische Zutrittssysteme
  • Alarmanlage und/oder Videoüberwachung

Organisatorisch

  • Restriktive Schlüssel-/Transponder-Ausgabe
  • Besucheranmeldung und Besucherbegleitung
  • Pförtner und/oder Wachdienst
  • Dokumentation der Schlüssel-Ausgabe

Wie sind sensible Bereiche im Gebäude geschützt?

Hat man es dennoch ins Gebäude geschafft, muss nicht zwangsläufig auch der Zugang zu sensiblen Bereichen frei sein. Nun muss man erst mal in die Räumlichkeiten kommen, so sind folgende beispielhafte Maßnahmen durchaus sinnvoll:

Technisch

  • abschließbare Büros
  • Bewegungsmelder
  • vergitterte Fenster

Organisatorisch

  • Abschließen von Büros nach Feierabend
  • Zutrittsverbote für fachfremde Mitarbeiter in sensible Bereiche
  • Mitarbeiter-Sensibilisierung für die Thematik

Zugangskontrolle

Wer in das Gebäude und in sensible Bereiche gelangt ist, hat den ersten Teil überwunden. Nun kommt die nächste Hürde, die Zugangskontrolle. Ihr Ziel ist es, Unbefugte am wirklichen Zugang zu sensiblen Daten zu hindern. Hier ist die Art von Daten, um die es sich handelt – elektronisch gespeichert oder auf Papier – unerheblich. Der Gesetzgeber schreibt vor, dass der Zugang zu diesen Daten erschwert wird.

Hier kommen auch so genannte elektronische Hindernisse ins Spiel, die gegen unbefugten Datenzugang schützen.

Verhinderung des Zugangs zu elektronisch gespeicherten Daten

Technisch

  • Einrichtung von Benutzerkonten
  • Anmeldung mit Benutzername / Passwort
  • automatische Bildschirmsperre
  • Verwendung von Firewall Systemen
  • Verwendung von ordentlichen Virenscannern
  • Mindestanforderungen an Passwörter

Organisatorisch

  • Verwalten von Benutzerberechtigungen
  • Erstellen von Benutzerprofilen
  • Zentrale Passwortvergabe
  • Richtlinie "Sicheres Passwort"
  • Richtlinie "Löschen / Vernichten"
  • Richtlinie "Clean desk"

Verhinderung des Zugangs zu Daten auf Papier

Technisch

  • Tresor für Datensicherungen / mobile Datenträger
  • abschließbare Büroschränke

Organisatorisch

  • Unterlagen wegschließen
  • Dokumente vernichten (schreddern)

Zugriffskontrolle

Die Zugriffskontrolle gewährt nur denjenigen Mitarbeitern Zugriff auf sensible Daten, die in Ihren weisungsgebundenen Aufgabenbereich fallen. Meldet sich zum Beispiel ein Mitarbeiter aus dem Marketing am PC an, sollte er keinen Zugriff auf Daten der Personalverwaltung haben. Natürlich sollen auch gänzlich unbefugte Datenzugriffe verhindert werden. Dies dürfte aber an dieser Stelle schon länger klar sein.

Die Zugriffskontrolle regelt demnach, wer auf welche Daten zugreifen darf und wie dies sichergestellt wird. Mögliche Maßnahmen hierzu sind:

Technisch

  • Firewall
  • Virenschutz
  • Benutzerrollen sinnvoll anlegen
  • Vergabe von Laufwerksrechten
  • Verschlüsselung sensibler Daten
  • sicheres Löschen von Daten

Organisatorisch

  • Minimale Anzahl an Admnistatoren
  • Berechtigungskonzept
  • Anweisung zur Verschlüsselung mobiler Datenträger
  • Keine privaten Datenträger verwenden
  • Keine lokalen Laufwerke verwenden
  • Schulung und Einweisung

Weitergabekontrolle

Die bisher genannten Maßnahmen sind sinnlos, wenn die Daten bei einer Übertragung in unbefugte Hände geraten. Hier muss also auch sichergestellt werden, dass sensible Daten nicht auf dem elektronischen Transportweg ausgelesen oder anderweitig an nicht berechtigte Dritte gelangen können.
Dies gilt natürlich auch dann, wenn Datenträger auf dem Postweg versendet oder zur Vernichtung von Akten und Datenträgern weitergegeben werden. Hierzu wieder ein paar Beispiele:

Technisch

  • E-Mail Verschlüsselung
  • Verschlüsselung von E-Mail-Anhängen
  • Nutzung von VPN Verbindungen
  • Deaktivierung von Schnittstellen (z.B. USB)
  • Sichere Transportbehälter
  • verschlüsselte Verbindungen (SFTP / HTTPS)

Organisatorisch

  • Mitarbeiter-Sensibilisierung und -Schulung
  • Konkrete / verbindliche Anweisungen
  • persönliche Übergabe mit Protokoll
  • Dokumentation der Datenempfänger
  • Beauftragung zertifizierter Entsorger
  • Kontrolle von Verbindungslogs

Eingabekontrolle

Die Gesetzgebung fordert, dass alle Datenverarbeitungsvorgänge nachvollzogen werden können. Somit bedeutet Eingabekontrolle in diesem Fall eher Nachvollziehbarkeit.
Noch bieten nicht alle Softwareanwendungen hierzu passende Funktionen. Hier muss man entweder mit dem Hersteller der eingesetzten Software sprechen, Hilfsprogramme nutzen, die eine Auditierungsfunktion bereitstellen oder ganz nach alter Schule manuell entsprechende Listen führen. Nachfolgend Beispiele für die TOM:

Technisch

  • VPN Verbindungen loggen
  • Automatisches Logging aktivieren
  • individuelle Benutzerkonten anlegen
  • Einsatz einer Auditierungssoftware

Organisatorisch

  • Vergabe von Lese- und Schreibrechten
  • klare Zuständigkeiten definieren
  • Übersicht relevanter Programme führen
  • Aufbewahrung von Papierformularen

Trennungskontrolle

Die Vermischung von Daten oder Datenteilen findet der Gesetzgeber nicht gut. Demnach müssen Daten funktionsbezogen verarbeitet werden. Das heißt im Klartext, dass zum Beispiel Mitarbeiterdaten und Kundendaten nicht vermischt werden sollen. Hier sollen logische und/oder physikalische Bereiche zur Verfügung gestellt werden, welche die betroffenen Daten trennen und somit für Übersicht sorgen. Simpel ausgedrückt liegen die Kundendaten auf Laufwerk F und die Personalverwaltung auf Laufwerk G.

Außerdem sollen Personen in Programmen als Mandanten angelegt und logisch voneinander getrennt werden. Schließlich sollten sinnvollerweise Testumgebungen von Produktivsystemen getrennt werden. Auch hier wieder Beispiele:

Technisch

  • Mandantenfähigkeit in Anwendungen
  • physikalische Trennung von Datenbeständen
  • logische Trennung von Datenbeständen
  • separate Testumgebung für neue Applikationen

Organisatorisch

  • Kontrolle der Datenbestände
  • Speicherkonzept erstellen
  • Steuerung über Berechtigungskonzepte
  • Datensätze mit Zweckattributen versehen

Verfügbarkeitskontrolle

Super – bis hierhin ist alles sicher. Dennoch kann das gesamte Datenschutzkonzept ganz schnell in den Brunnen fallen.
Ein Verlust von Daten hat für Unternehmen in erster Linie keine datenschutzrechtlichen Folgen. Hier geht es vielmehr um Zeit und Geld für die Wiederherstellung oder im schlimmsten Fall um den unwiederbringlichen Verlust von Daten und somit von Kapital. Deswegen hat die Verfügbarkeitskontrolle in mehrfacher Hinsicht ein Recht auf höchste Aufmerksamkeit. Sie ist einer der wichtigsten Punkte – hierbei geht es schlicht um den Schutz gegen Datenverlust.

Die Verfügbarkeitskontrolle soll daher sicherstellen, dass Daten nicht unwiederbringlich verloren gehen. Hier eine Auswahl an passenden Maßnahmen:

Technisch

  • Unabhängige Stromversorgung
  • NAS System nicht in Servernähe
  • Klimatisierung gegen unkontrollierte Überhitzung
  • Verwendung redundanter Systeme
  • Installation von Rauchmeldern
  • sicheres Cloud-Backup

Organisatorisch

  • Planung und Kontrolle von Backups
  • Auswertung der Backup-Logs
  • regelmäßige Tests zur Wiederherstellung
  • sichere Aufbewahrung von Backups
  • Sicherungskonzept für mobile Geräte

Auftragskontrolle

So gut wie jedes Unternehmen setzt heute externe Dienstleister für die Verarbeitung personenbezogener Daten ein: der Hostinganbieter, das Lohnbüro. Oft ist es eine Vielzahl von externen Dienstleistern, die personenbezogene Daten in Ihrem Auftrag und nach Weisung verarbeiten. In jedem Fall muss die Vertragsgestaltung für die "Datenverarbeitung im Auftrag" gemäß DSGVO umgesetzt und der Dienstleister entsprechend verpflichtet werden. Dies geschieht i. d. R. durch einen so genannten Auftragsverarbeitungsvertrag (AVV).

Außerdem ist zu kontrollieren, ob der Dienstleister entsprechend angemessene technische und organisatorische Maßnahmen getroffen hat und diese in der Anlage zum AVV nachvollziehbar beschreibt. Hier wieder Beispiele:

Technisch

  • Keine

Organisatorisch

  • Anweisungen im Vertrag klar definieren
  • Kontrolle der TOM des Dienstleisters
  • gesetzlich vorgeschriebene Inhalte beachten

Haben Sie noch Fragen zu den technischen und organisatorischen Maßnahmen oder benötigen Sie Hilfe bei der Erstellung der TOM? Gerne stehen wir Ihnen als externer Datenschutzbeauftragter hierbei zur Seite.

^