DSGVO einfach erklärt: TOMs – Technisch-organisatorische Maßnahmen

Nach Art.32 DSGVO sind technisch organisatorische Maßnahmen, vorgeschriebene Maßnahmen, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten.

Hierzu treffen wir eine Abgrenzung zwischen technischen und organisatorischen Maßnahmen:

Diese sind alle Maßnahmen, die in der Regel physisch umsetzbar sind. Aber auch Softwaremaßnahmen, wie etwa Anti-Viren-Software, Verschlüsselung, etc. gehören dazu.

Beispiele hierfür sind angebrachte Alarmanlagen, Sicherung von Türen und Fenstern, Umzäunung eines Geländes etc.

Hier wird die Frage „wie“ sind die Maßnahmen des Datenschutzes umzusetzen beantwortet. Dies sind beispielsweise Handlungsanweisungen, Verfahrens- und Vorgehensweisen.

Vor allem das Vier-Augen-Prinzip, Arbeitsanweisungen zum Umgang mit fehlerhaften Druckerzeugnissen sollen Beispiele für die konkrete Ausgestaltung von organisatorischen Maßnahmen sein.. In der Organisationslehre stellt das Vier-Augen-Prinzip eine präventive Kontrolle dar, bei der bestimmte Ablaufabschnitte, Arbeitsabläufe, Arbeitsprozesse, Arbeitsvorgänge, etc. von mindestens zwei Personen durchgeführt werden müssen.

Die DSGVO schreibt keine konkreten Maßnahmen vor, sondern nur die Sicherstellung der obersten Schutzziele, wie etwa Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit personenbezogener Daten. Um die Schutzziele einhalten zu können, sind je nach Unternehmen verschiedene Maßnahmen notwendig. Für einen umfassenden Schutz von personenbezogenen Daten durch technisch-organisatorische Maßnahmen sind daher die folgenden Punkte im Unternehmen zu implementieren:

In Bezug auf personenbezogene Daten sollen Zutrittskontrollen verhindern, dass Unbefugte einen räumlichen Zugang zu Datenverarbeitungsanlagen erhalten.

Dies kann konkret beispielsweise durch eine Alarmanlage oder durch einen Sicherheitsdienst passieren. Auch Videoüberwachung, der Einsatz von Codeschlössern und Chipkartenlesern sind empfehlenswert. Abzuraten ist z.B. von Fingerabdruckscannern mit veralteter Technologie, da diese leichter umgangen werden können und oftmals nicht funktionieren, falls der zur Authentifizierung nötige Finger verschmutzt ist.

Darunter versteht man Maßnahmen, die geeignet sind, Unbefugten den Zugang auf Datenverarbeitungssysteme (z.B. Computer) zu verwehren. Bei der Vergabe von Passwörtern, biometrischer Zugangsidentifikationen, etc. kann man dem Zugang durch Unbefugte entgegenwirken. Bei der Konzipierung von Passwörtern ist auf den Stand der Technik zu achten, welche das Bundesamt für Sicherheit in der Informationstechnik vorgibt. Dabei sollte das Passwort nicht weniger als 8 Zeichen haben. Hierbei gilt, je länger das Passwort und je höher die Komplexität, desto sicherer ist dieses. Es dürfen keine durch einfachste Algorithmen herauszufindende Passwörter sein, sondern jene, die nicht in Beziehung mit der konkreten Person stehen.

Die Zugriffskontrolle soll gewährleisten, dass nur Berechtigte auf Daten zugreifen können, sodass Unbefugte diese nicht lesen, verändern, kopieren oder entfernen können.

Lösungsmöglichkeiten für Unternehmen sind beispielsweise zertifikatsbasierte Zugriffsberechtigung, Erstellung eines Berechtigungskonzeptes, gesicherte Schnittstellen, etc.

Außerdem ist noch das Trennungsgebot zu beachten. Dieses stellt sicher, dass personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden, getrennt voneinander verarbeitet werden können.

Hier geht es vor allem um die elektronische Übertragung von personenbezogenen Daten. Auch hier gilt es zu verhindern, dass unbefugte Dritte die Daten während ihres Transports oder der Speicherung auf einen Datenträger lesen, kopieren, verändern oder entfernen. Der Einsatz von Verschlüsselungstechniken und das Virtual Private Network sind zwei Beispiele für den sicheren Transfer von Daten. Auch bei Weitergabe von Informationen durch beispielsweise USB-Sticks, können diese durch ein Passwort gesichert werden. So haben nur Berechtigte Zugriff.

Wenn Zugriffe kontrolliert werden, kann später nachgewiesen werden, wer widerrechtlich in die Datenübertragung eingegriffen hat. Geklärt werden muss noch, wer die Berechtigung bzw. den Zugriff auf die Veränderung des Protokolls hat.

Personenbezogene Daten müssen gemäß den Weisungen des Auftraggebers weitergegeben werden. Sie können dies beispielsweise durch Stichprobenprüfung kontrollieren. Der Verantwortliche und der Auftragsverarbeiter haben die Aufgabe, Maßnahmen zu ergreifen, dass personenbezogenen Daten nur auf Anweisung verarbeitet werden. Die organisatorische Maßnahme besteht in der Konzipierung und anschließender Unterzeichnung von Auftragsverarbeitungsverträgen nach Art.28 DSGVO, welche insbesondere die Inhaltsvorgaben nach Art.28 Abs.3 DSGVO aufzuweisen haben.

Dabei sollen Maßnahmen gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Verfügbarkeit bezieht sich unter anderem auf die ununterbrochene Stromversorgung. Man kann dies beispielsweise durch einen Dieselgenerator, der als Notstromaggregat den benötigten Strom liefert, gewährleisten. Umweltbewusster ist der Einsatz einer unterbrechungsfreien Stromversorgung (USV) durch Lithium-Ionen-Akkus.

Bei übermäßiger Beanspruchung der Systeme kann man Datenspitzen über einen passenden Softwarevertrag auslagern. Der eingesetzte Dienstleister soll den geltenden Datenschutzbestimmungen auf einem Datenschutzniveau nach den Vorgaben der DSGVO entsprechen.

Ein entsprechender Virenschutz, der dem Stand der Technik entspricht, ist zwingend erforderlich, um Hackerangriffe abzuwehren. Durch Hackerangriffe kann die gesamte IT lahmgelegt werden, wodurch immense materielle Schäden, bis hin zu Reputationsschäden entstehen.

Für die Aufbewahrung von physischen Datenträgern sollten Sie einen geeigneten, abschließbaren Ort wählen. Der Schlüssel dafür darf nur sehr wenigen Personen zugänglich sein, was schriftlich zu protokollieren ist. Wenn es um die Entsorgung von personenbezogenen Daten geht, sind Datentonnen gute Alternativen zu speziellen Shreddern. Um die Entsorgung der Inhalten der Datentonnen kümmert sich ein externer Dienstleister.

Die Redundanz ist bei kritischen IT-Systemen sehr wichtig und daher sind technisch-organisatorische Maßnahmen hierfür zu treffen.

Als Handlungsempfehlung kann ein Ampelsystem dienen, das überprüft, in welchem Stadium die genannten Maßnahmen sind und bei welchen dringend nachgebessert werden muss. Schon eine Excel-Tabelle, die noch unzureichende technisch-organisatorische Maßnahmen listet, kann eine sinnvolle Hilfe darstellen. Die regelmäßige Überprüfung und entsprechende Aktualisierung bzw. Anpassung dieser Bewertungssysteme ist unbedingt notwendig.

Pseudonymisierung bezeichnet dabei die Verarbeitung von Daten, womit in der Folge nur mit zusätzlichen Informationen ein konkreter Personenbezug hergestellt werden kann (Art.4 Nr.5 DSGVO). Die Pseudonymisierung ist nicht immer notwendig. Deshalb sollten Sie hierfür die Vorgaben der DSGVO beachten. So kann man die Pseudonomisierunge durch die „trusted third party“ erreichen. Dies ist eine Dritte Instanz, welcher zwei Parteien vertrauen. TTPs sammeln die Daten als Pseudonyme, bewahren sie auf und machen sie im Bedarfsfall zugänglich. So ist die Wiederherstellung der personenbezogenen Daten auch nach einem technischen Zwischenfall möglich.

Bei einer Löschung von personenbezogenen Daten ist entweder eine vollständige Vernichtung oder eine Anonymisierung erforderlich, da diese in der Regel nicht mehr wiederherstellbar werden und daher nicht mehr unter die DSGVO fallen, da sie keinen Personenbezug mehr aufweisen. Bei der Anonymisierung werden personenbezogenen Daten derart verändert, dass diese eine natürliche Person nicht mehr oder nur mit unverhältnismäßig großem Aufwand an Zeit, Geld und Arbeitskraft identifizierbar oder bestimmbar macht.

Einen Mittelweg zwischen Pseudonymisierung und Anonymisierung bietet die Verschlüsselung. Hier existiert zwar ein Schlüssel zur Wiederherstellung der Originaldaten, aber man verwendet keine Pseudonyme. Das heißt konkret, dass die verschlüsselten Daten ohne den Schlüssel keine Aussagekraft mehr haben, da der Text in unleserliche Zeichenfolgen umgestaltet wurde. So können Sie beispielsweise auf einem gemeinsam genutzten Computer Daten für die Mitbenutzer unlesbar machen. Diverse Informationen, die auf mobilen Geräten gespeichert sind, kommen nicht in falsche Hände oder bei Verlust des mobilen Speichermediums, sind die verschlüsselten Daten unbrauchbar. Erreicht wird die Verschlüsselung durch monoalphabetische Substitution, bei dem die Buchstaben des zu verschlüsselnden Textes gemäß einer Ersetzungstabelle gegen andere Buchstaben ausgetauscht werden.

Dieses System ist veraltet und auch nicht sicher, daher gibt es eine zweite Möglichkeit und zwar ist das das modernere bzw. gängigere Verfahren, welches als „Advanced Encryption Standard (AES)” bezeichnet wird. Darüber hinaus gibt es noch weitere Möglichkeiten, die als sicher gelten.

Bei der Implementierung der TOMs sollte immer der Rat eines Experten hinzugezogen werden, da beispielsweise bei den Überwachungseinrichtungen, insbesondere Videoüberwachungseinrichtungen, die datenschutzrechtlichen Erfordernisse und die eventuelle Mitbestimmung des Betriebsrates beachtet werden müssen.

Abschließend ist zu beachten, dass für die technisch organisatorischen Maßnahmen nach Art.32 DSGVO ein sog. Verhältnismäßigkeitsgrundsatz gilt. Das heißt, dass personenbezogene Daten angemessen geschützt werden müssen. Klar sein dürfte, dass es einen absoluten Schutz nicht geben kann. Schutzmaßnahmen können Probleme nur minimieren, aber nicht ausschließen.

Sie haben noch keine technisch-organisatorischen Maßnahmen im Unternehmen implementiert oder brauchen Unterstützung bei der Dokumentation? Wir unterstützen Sie gerne. Kontaktieren Sie uns einfach mittels unseres Kontaktformulars.