Technische und organisatorische Maßnahmen (TOM) einfach digital managen

von Dennis Kurpierz, Co-Founder & COO

01. April 2021

Jedes datenverarbeitende Unternehmen muss sich der Aufgabe stellen, die Sicherheit der Verarbeitung von Daten durch entsprechende technische und organisatorische Maßnahmen (TOM) zu gewährleisten. Die Datenschutz-Grundverordnung (DSGVO) stellt derartige Anforderungen explizit für die Verarbeitung personenbezogener Daten. Darüber hinaus gibt die DSGVO die Kategorien der zu implementierenden Maßnahmen vor. Relevant werden TOM insbesondere auch im Rahmen der Datenschutz-Folgenabschätzung (DSFA). Bei besonders risikobehafteten Verarbeitungsprozessen müssen angemessene TOM zur Risikominimierung festgelegt werden.

Die in Art. 32 DSGVO vorgegebenen Kategorien der zu implementierenden TOM müssen durch das datenverarbeitende Unternehmen konkretisiert werden. Hierfür gibt es zahlreiche Best-Practices, Maßnahmenkataloge und teilweise auch Empfehlungen von Datenschutzbehörden, auf die zurückgegriffen werden kann. Zu nennen ist hier insbesondere das IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik. Dieses fußt auf der IEC/ISO 27001, eine von mehreren internationalen DIN-Normen im Bereich der Informationssicherheit.

Der Einsatz von Datenschutzmanagement-Software vereinfacht die Verwaltung und Dokumentation von TOM erheblich. Vom strukturellen Erstellen, anhand von Checklisten und Vorlagen, bis hin zum einfachen Wiederverwenden bzw. Verknüpfen, z.B. innerhalb einer Datenschutz-Folgenabschätzung (DSFA).

Übergreifendes Datenschutzmanagement mit caralegal

Mit der Datenschutzmanagement-Software von caralegal können die zu ergreifenden TOM übergreifend dokumentiert werden. Die TOM können schnell und praktisch über eine Eingabemaske angelegt und verwaltet werden. Sofern ein Unternehmen bereits über eine TOM Dokumentation verfügt erfolgt die Integration in caralegal unkompliziert durch eine Importfunktion.

Die TOM können sodann in anderen Bereichen des Datenschutzmanagements berücksichtigt werden. Möglich macht dies eine Verknüpfung der TOM mit den verschiedenen Softwarefeatures: Verzeichnis von Verarbeitungstätigkeiten, DSFA und Dienstleistermanagement.

Die geeigneten TOM, zur Risikominimierung im Rahmen einer DSFA, werden in der Software beliebig angelegt und einfach in Gruppen verwaltet. Sie sind direkt mit den hinterlegten Risikokategorien verknüpft und werden entsprechend automatisiert mit der DSFA synchronisiert.

Die vorangehende DSGVO-konforme DSFA kann mit caralegal einfach, strukturiert und teilweise automatisiert durchgeführt werden. Unternehmen haben auch die Sicherheit von Datenverarbeitungen außerhalb des Unternehmens mit Auftragsverarbeitern zu gewährleisten.

Auftragsverarbeiter sind Dienstleister, an die die Verarbeitung personenbezogener Daten ausgelagert wird. Das sind beispielsweise die hinter der genutzten Cloud-Lösung stehenden Cloud-Anbieter. Es ergeben sich hierbei teilweise spezifische, potenzielle Risiken für die Datenverarbeitung. Bei Cloud-Lösungen etwa Datenverlust, Datenmanipulation und vorübergehende Nichtabrufbarkeit der Daten.

Wichtige To-Do’s sind in diesem Zusammenhang die Auswahl geeigneter und vertrauenswürdiger Anbieter, aber auch der Nachweis, dass der Auftragsverarbeiter sorgfältig vom Unternehmen ausgewählt wurde. caralegal unterstützt bei der Auswahl und der Dokumentation vertrauenswürdiger Auftragnehmer und deren TOM und ermöglicht dadurch ein effizientes Dienstleistermanagement.

Für die Entwicklung der Softwarefeatures für ein DSGVO-konformes und gleichzeitig effizientes Datenschutzmanagement konnten wir auf das Fachwissen und die langjährige Erfahrung aus unserer Unternehmensgruppe, die Datenschutzexperten der ISiCO Datenschutz GmbH, sowie die IT-Rechtsspezialisten von Schürmann Rosenthal Dreyer Rechtsanwälte zurückgreifen.

Beispiele für TOM nach Kategorien

Die zu ergreifenden TOM sind vielfältig, ihre Auswahl erfolgt einzelfallbezogen und orientiert sich an den Gewährleistungszielen der DSGVO. Es können innerhalb der einzelnen Kategorien folgende konkrete TOM ergriffen werden:

1. Organisationskontrolle

Hierunter fallen alle Maßnahmen, die organisatorischer Natur sind und vor allem Richtlinien, Verantwortlichkeiten und Prozesse betreffen. Sie sollen gewährleisten, dass die innerbetriebliche Organisation den Anforderungen des Datenschutzes gerecht wird. Zu nennen sind hier etwa,

organisationsübergreifende Richtlinien für Datenschutz und Informationssicherheit

das Management von Datenschutzvorfällen (durch formalisierte Prozesse und Verantwortlichkeiten),

Regeln und Vorschriften für Mitarbeiter – Verpflichtung der Mitarbeiter zur Vertraulichkeit und Einhaltung des Datenschutzes bei Beschäftigungsbeginn – Dienstanweisungen

regelmäßige Datenschutzschulungen für Mitarbeiter.

2. Logische Sicherheitsmaßnahmen

In diesen Bereich fallen eher technische Maßnahmen, die insbesondere der Vertraulichkeit, der Datenverfügbarkeit, der Integrität (d.h. keine Veränderung der Daten), der Datenminimierung (Datenverarbeitung nur soweit für die ursprünglich intendierten Zwecke erforderlich) und Zweckbindung (Datenverarbeitung nur zu dem bei Erhebung festgelegten Zweck) dienen.

2.1 Zugangs- und Zugriffskontrolle

Damit sind Maßnahmen gemeint, die den Zugang zu bestimmten Daten und Systembereichen regeln und auch den Zugriff auf Daten und die darin enthaltenen Informationen:

Login mit Benutzername und Passwort, d.h. Einrichtung eines persönlichen und individuellen Benutzerkontos, – Definition bestimmter Anforderungen für das Passwort, etwa Sonderzeichen, Mindestlänge, regelmäßiger Kennwortwechsel, – automatische Sperrung (z.B. Kennwort oder Pausenschaltung), – Protokollierung der Anmeldeversuche und Abbruch des Anmeldevorgangs nach festgelegter Anzahl von erfolglosen Versuchen,

die Vergabe von Zugriffsrechten und die Verwaltung von Benutzerberechtigungen,

Rollen- und Rechtevergabe über ein systemseitig implementiertes und dokumentiertes Rollen- und Berechtigungskonzept

die Anonymisierung von Daten, d.h. Entfernung des Personenbezugs,

die Pseudonymisierung, d.h. die derartige Veränderung von Daten, dass der unmittelbare Personenbezug entfernt und der Schutz vor missbräuchlicher Verwendung erhöht wird,

Verschlüsselung von Daten, für die verschlüsselte Speicherung oder den verschlüsselten Transport,

Multi-Faktor-Authentifizierung oder Zwei-Faktor-Authentifizierung,

Einsatz von VPN bei Remote-Zugriffen,

Schutz vor schädlichem Code (Viren, Spyware) durch den Einsatz von Firewalls und Anti-Virus-Software (Server und Mobilgeräten),

Abkapselung von sensiblen Systemen durch getrennte Netzbereiche,

Trennung von Test- und Produktivsystemen,

Systemische Trennung von Kunden- und Mitarbeiterdaten.

2.2 Eingabekontrolle

Diese Maßnahmen sollen gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind:

Protokollierung und Logging innerhalb der Systeme, wodurch nachträglich überprüft und festgestellt wird, ob und von wem Daten verändert wurden,

Protokollierung sämtlicher Systemaktivitäten und Aufbewahrung dieser Protokolle von mindestens drei Jahren,

Einsatz von Protokollauswertungsystemen.

2.3 Weitergabekontrolle

Hierunter fallen Maßnahmen, die einer sichere Übermittlung von Daten sicherstellen und auch nachvollziehbar machen, sei es indem der Übertragungsweg geschützt wird oder das Datum selbst:

Übermittlung von Daten über verschlüsselte Datennetze oder Tunnelverbindungen (VPN),

Verschlüsselungsverfahren die Datenveränderungen während des Transports aufdecken,

Logging, d.h. Speicherung von Log-Files mit den wesentlichen Informationen (Datenempfänger, Datenbereitsteller, Zweck der Übermittlung, Genehmigung, Datum der Übermittlung).

3. Physische Sicherheitsmaßnahmen

In diesen Bereich fallen insbesondere Maßnahmen, die elementarer Bestandteil von Maßnahmenkatalogen aus der Informationssicherheit (IT-Sicherheit) sind und die Vermeidung von Gefahren durch physische Einwirkungen auf die IT-Systeme betreffen. Derartige Maßnahmen die den Zutritt zu Gebäuden und Räumen, sowie den Zugriff auf Dokumente und Daten innerhalb von Räumen betreffen, sollten sinnvollerweise durch organisatorische Maßnahmen (d.h. Dienstanweisungen, die das Verschließen von Räumen bei Abwesenheit oder das Wegschließen von sensiblen Dokumenten vorsehen) ergänzt werden:

physische Zugangskontrollen, die unbefugten Personen den Zutritt zu IT-Systemen und Datenverarbeitungsanlagen verwehren, – Klingelanlagen, – automatische Zutrittskontrollsysteme mittels Chipkarten und Transpondern – Kontrolle des Zutritts durch einen Empfang oder Pförtnerdienste etc.,

Schutz von Hardware, d.h. insbesondere Servern, Telekommunikationsanlagen, Netzwerktechnik vor äußerem Zugriff durch, – verschließbare Serverschränke, – Überwachungseinrichtungen z.B. Alarmanlagen, Videoüberwachung,

Sicherheit im Umgang mit Papierdokumenten und Datenträgern, – abschließbare Schränke und Büros, – Aktenschredder und Aktentonne zur Aktenvernichtung, – sicherer Transportbehälter bei einem physischen Transport eines Datenträgers,

Schutz von Daten gegen zufällige Zerstörung oder Verlust, etwa durch Konzepte zum Brandschutz und zur Datensicherung, Systemmonitoring etc.

4. Maßnahmen zur Sicherstellung der Datenverfügbarkeit

Darunter werden Maßnahmen gefasst, die personenbezogene Daten gegen Verlust oder zufällige Zerstörung schützen:

Notfallpläne und Backupkonzepte, die alle Daten und Systeminformationen umfassen und absichern,

regelmäßige Datensicherung,

Spiegeln von Festplatten,

Unterbrechungsfreie Stromversorgung, – die Absicherung kritischer Systeme mit einer robusten Stromversorgung (Kompensation von Stromschwankungen, Ausgleich von Stromausfall) – Nutzung unterschiedlicher Stromquellen

Brandschutz, d.h. insbesondere Ausstattung der Serverräume mit Brand- und Rauchmeldern,

Installation von Klimaanlagen zum Schutz der Hardware vor Überhitzung,

Alarmanlage,

regelmäßige Tests der Datenwiederherstellung.

5. Überprüfung, Bewertung und Evaluierung

Diese Maßnahmen dienen dazu, die kontinuierliche datenschutzkonforme und sichere Verarbeitung personenbezogener Daten sicherzustellen:

kontinuierliche Überprüfung und Weiterentwicklung des Datenschutzmanagements,

regelmäßige Re-Zertifizierung, d.h. neuerliche Prüfung ob die Anforderungen festgelegter Kompetenzen noch erfüllt werden,

formalisiertes Auftragsmanagement, d.h. für den Einsatz von Auftragsverarbeitern werden feste Regeln festgesetzt insb. hinsichtlich Auswahl, Überprüfung, Abschluss notwendiger Zusatzvereinbarungen

Service-Level-Agreements für die Durchführung von Kontrollen

FAQ – Die wichtigsten Fragen zum Thema TOM

Was sind TOM?

TOM ist eine Abkürzung für technische und organisatorische Maßnahmen. Unter diesem Begriff werden in Art. 32 DSGVO alle Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung von personenbezogenen Daten gefasst. Welche Maßnahmen dies konkret sind, ist nicht abschließend bestimmt. Die DSGVO macht jedoch Vorgaben im Hinblick auf die Kategorien der zu implementierenden Maßnahmen, die durch das datenverarbeitende Unternehmen konkretisiert werden müssen. Hierfür gibt es zahlreiche Best-Practices, Maßnahmenkataloge und teilweise auch Empfehlungen von Datenschutzbehörden, auf die zurückgegriffen werden kann. Zu nennen ist hier insbesondere das IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik. Dieses fußt auf der IEC/ISO 27001, eine von mehreren internationalen DIN-Normen im Bereich der Informationssicherheit.

Wann ist eine TOM “geeignet”?

Ob eine Maßnahme zur Gewährleistung der Sicherheit der Verarbeitung “geeignet” ist, kann nicht pauschal, sondern nur einzelfallbezogen beantwortet werden. In der DSGVO bestimmt sich die Eignung einer TOM danach, inwieweit sie ein dem Risiko der Verarbeitung angemessenes Schutzniveau gewährleisten kann. Das bedeutet, diese Frage muss immer mit Bezug zur konkreten Verarbeitungstätigkeit und im Kontext des Gesamtkonzepts für Datenschutz und IT-Sicherheit in einem Unternehmen gesehen werden. Denn nur im Zusammenspiel verschiedener Maßnahmen über den gesamten Prozess der Daten- und Informationsverarbeitung kann die Sicherheit der Verarbeitung gewährleistet werden. Für Datenverarbeitungen die voraussichtlich ein hohes Risiko für die diese Rechte haben, schreibt Art. 35 DSGVO mit der sogenannten Datenschutz-Folgenabschätzung (DSFA) eine verpflichtende Analyse und Dokumentation der Risiken der Datenverarbeitung vor.

Welchen Vorteil bietet eine Datenschutzsoftware beim Management von TOM?

Beim Management der TOM geht es vor allem darum bei der Vielzahl der Verarbeitungstätigkeiten und der zur Gewährleistung der Sicherheit der Verarbeitung getroffenen Maßnahmen, den Überblick zu behalten und eine effiziente Datenschutzdokumentation zu erreichen. Eine professionelle Datenschutzsoftware kann hierbei unterstützen, indem sie eine strukturierte Dokumentation, eine Verknüpfung verschiedener Elemente der Datenschutzdokumentation und auch eine Unterstützung bei der Anlage und Auswahl der TOM bietet.