TOM – Technische und organisatorische Maßnahmen

Datenschutz

Die technischen und organisatorischen Maßnahmen stellen die angemessene Sicherheit der Verarbeitung von personenbezogenen Daten dar.

Die Dokumentationspflicht der TOM lässt sich aus Artikel 32 des DSGVO ableiten.

Mit diesem Beitrag beschäftigen wir uns mit den technischen und organisatorischen Maßnahmen in Unternehmen.

Was sind TOM und wer muss eine solche Dokumentation erstellen?


Datenschutz Coaching

Als interne/r Datenschutzbeauftragte/r liegen unzählige Aufgaben vor Ihnen. Mit unserer Blog-Reihe „Coaching für Datenschutzbeauftragte“ erhalten Sie praktische Tipps für die Umsetzung.

Sie haben noch mehr Fragen? Gerne bieten wir Ihnen ein individuelles 1:1 Datenschutz Coaching an, in dem wir alle relevanten Themen detailliert besprechen und gemeinsam Lösungen für die direkte Umsetzung in Ihrem Unternehmen ausarbeiten. 

Unser Angebot für Sie.


Jeder Verantwortliche, sei es Unternehmen, Handwerker, Vereine, Einzelkaufleute usw., die personenbezogene Daten verarbeiten, müssen Sicherheit der Verarbeitung gewährleisten und diese nachweisen können.

Dabei entstehen häufig einige Fragen:
 

Warum müssen diese dokumentiert werden?

Im Falle einer Datenpanne und auf Anfrage einer Aufsichtsbehörde dienen diese als Nachweis dafür, dass angemessene Maßnahmen zum Schutz der Daten getroffen wurden, um Datenpannen zu verhindern. Das bedeutet umgekehrt, dass technisch alle Voraussetzungen bestmöglich sowie nach „Stand der Technik“ erfüllt wurden und pro Abteilung bzw. Bereich ausreichend dokumentiert sind.

Wann müssen TOM greifen und was muss geschützt werden?

Die TOM müssen in dem Moment an der Schnittstelle der Datenerhebung greifen und eingehalten werden, in dem die Daten erstmalig erhoben werden. Sei es bei der Eingabe neuer Kontaktdaten in ein ERP-, CRM- oder in sonstige Warenwirtschaftssysteme, in ein Kontaktformular über Outlook oder bei Eingabe der Daten in ein Smartphone oder Tablet sowie bei Ersterfassung durch Außendienstmitarbeiter oder auf Messen.
Sie gelten für sämtliche personenbezogene Daten wie z.B. persönliche Mailadressen, auch wenn es sich um Firmenadressen handelt, die persönliche Durchwahl oder Handynummer und auch die Firmenanschrift. Insbesondere aber richten sich die zu treffenden technischen und organisatorischen Maßnahmen nach dem Schutzbedarf.

Wie müssen die unterschiedlichen Daten geschützt werden?

Abhängig von der Art der erfassten Daten sind auch die zu treffenden TOM. Das bedeutet, die zu treffenden Maßnahmen müssen „verhältnismäßig“ sein und entsprechend der erfassten bzw. erhobenen Daten getroffen werden.

Artikel 32 (2) DSGVO:
„Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.“

Zur Erklärung:
Auch wenn es sich um die gleiche Art von Daten handelt wie beispielsweise Name, Anschrift und Telefonnummer, muss eine Arztpraxis die eine Kartei über Suchtkranke führt, diese Daten besser schützen als ein Handwerker, der seine Kundenkartei in Excel pflegt. In beiden Fällen sollte natürlich der Zugriff grundsätzlich per Benutzernamen und Kennwort gesichert sein. Darüber hinaus aber muss der Handwerker nicht zwingend seinen Serverraum zusätzlich abschließen (sofern er einen hat) und eine Videoüberwachung installieren, sowie die Daten auf der Festplatte verschlüsseln. Für die Arztpraxis dagegen oder sogar ein Krankenhaus wären diese Maßnahmen jedoch zu empfehlen, da der einfache Zugriffschutz durch Benutzernamen und Kennwort bei Diebstahl des Servers nicht ausreichend sein kann.
Weitere Maßnahmen hingegen, wie den Schutz vor Verlust oder Zerstörung, müssen beide Bereiche gleichermaßen erfüllen.

Welche Schutzmöglichkeiten sollten beachtet werden und welche gibt es?

Laut Artikel 32 DSGVO müssen hier folgende Punkte erfüllt und berücksichtigt werden:

  1. Pseudonymisierung:
    Hiermit ist ein Vorgang gemeint der es ermöglicht, personenbezogene Daten durch z.B. Zahlenkombinationen zu ersetzen, damit diese nicht mehr einer Person zugeordnet werden können.
  2. Verschlüsselung:
    Meint den Schutz der Daten vor unberechtigtem Zugang z.B. durch Passwörter auf Archiven oder Backups.
  3. Gewährleistung der Vertraulichkeit:
    Hierin geht es um die Zutritts- und Zugangsregelungen. Wie ist gewährleistet, dass nur berechtigte Personen Zutritt zu Serverräumen oder Schränken mit Personalakten haben?
  4. Gewährleistung der Integrität:
    Es muss gewährleistet sein, dass die verarbeiteten Daten richtig sind. Ebenfalls muss die Änderung und Löschung geregelt werden.
  5. Gewährleistung der Verfügbarkeit:
    Dokumentieren Sie, wie Sie die Daten bei einem technischen Defekt der Hardware oder bei einem Stromausfall schützen.
  6. Gewährleistung der Belastbarkeit der Systeme:
    Die Sicherheitsmechanismen sollten regelmäßig geprüft werden. Die Systeme müssen vor Unfällen und gegen Eindringlinge abgesichert werden.
  7. Verfahren zur Verfügbarkeit und Wiederherstellung personenbezogener Daten nach physischen oder technischen Zwischenfällen:
    Gibt es eine Vorgehensweise für einen derartigen Zwischenfall, z.B. alle Daten auf dem Server gelöscht, Verlust durch Hardwaredefekt, Diebstahl oder Feuer?
  8. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen:
    Prüfen Sie regelmäßig, ob die getroffenen Maßnahmen auch effektiv sind und sich umsetzen lassen. Wenn ja, wie wird das gemacht und dokumentiert?
  9. Schriftliche Dokumentation von Maßnahmen und Richtlinien:
    Datenschutzanweisungen sollten an Mitarbeitende herausgegeben werden. Speicherorte für Richtlinien, Anweisungen und Verhaltensregeln sollten bekannt sein.

Was muss aktualisiert werden und wie gehe ich mit Auftragsverarbeitern/Dienstleistern um?

Es ist längst nicht ausreichend, die eigenen TOM zu dokumentieren. Diese müssen auch regelmäßig auf Aktualität geprüft werden. Es handelt sich hier nicht um ein einmalig erstelltes Dokument. Änderungen müssen hierin entsprechend berücksichtigt werden.
Allerdings nicht nur für die eigenen TOM.

Auch Auftragsverarbeiter müssen berücksichtigt werden. Sofern Sie weitere Unternehmen als Auftragsverarbeiter einsetzen wie z.B. ein Lohnbüro zur Erstellung der Lohnabrechnungen, ein Unternehmen zur Wartung Ihrer EDV-Systeme oder Wartung sowie Pflege der Drucker und Kopierer oder ein Entsorgungsunternehmen, muss zunächst einmal ein Vertrag zur Auftragsverarbeitung (AVV) geschlossen werden. Bestandteil dieses AVV sind auch immer die TOM des Auftragsverarbeiters. Es ist Ihre Verpflichtung diese zu prüfen, bevor ein Vertrag gezeichnet wird. Auch bei einer Auftragsverarbeitung bleibt stets der Auftraggeber für die Daten verantwortlich. Auch diese TOM müssen regelmäßig wiederkehrend überprüft werden.

Für wen gelten die TOM?

Für die Umsetzung und Einhaltung der Vorgaben für den täglichen Arbeitsablauf ist jedoch jeder einzelne Mitarbeitende verantwortlich. Dies gilt jeweils für die Bereiche, die den Mitarbeitenden direkt betreffen. Z.B. die Anforderung nicht benötigte Aktenordner in verschlossenen Schränken zu lagern, AU-Bescheinigungen nicht offen herumliegen zu lassen oder die Bürotür bei Verlassen zu verschließen und den Bildschirm zu sperren. Sollten Anforderungen nicht erfüllt werden können (z.B. die Anforderung, dass Bürotüren abgeschlossen werden müssen, es jedoch keine Schlösser in den Türen gibt) ist dies entsprechend zu melden. Je nach Struktur des Unternehmens entweder an den Vorgesetzten, den Abteilungsleiter oder direkt an die Geschäftsführung.

Ebenfalls ist darauf hinzuweisen, dass eventuelle weitere Themenbereiche geprüft werden müssen.
Je nach Unternehmen können hier z.B. gesonderte Punkte und Anforderungen für Automotive, GoBD, Patienten oder sonstige Bereiche hinzukommen.

Ein paar Beispiele für getroffene und entsprechend zu dokumentierende TOM:

  1. Das eingesetzte Serversystem oder NAS-Laufwerk, auf dem sich alle Lieferanten- und Kundendaten befinden, ist nur nach Authentifizierung mit Benutzernamen und Kennwort erreichbar. Es gibt keine sonstige Möglichkeit ohne Authentifizierung an die Daten zu gelangen. Weiterhin ist die Tür zu dem Raum, in dem sich der Server oder das NAS-Laufwerk befinden, abgeschlossen.
    Mit diesen Maßnahmen wäre der Punkt 3 laut Artikel 32 DSGVO erfüllt.
  2. Mit Protokollierung der Nutzung, z.B. den An- und Abmeldungen, der Änderung an Datensätzen, der Sicherstellung, dass Logindaten nicht geteilt werden, jedem Login nur eine natürliche Person zugeordnet ist, wäre der Punkt 4 (die Integrität) gewährleistet.
  3. Es besteht eine Berechtigungsstruktur der Lese- und Schreibrechte je nach Erfordernis. Nicht notwendige Informationen werden für den Bearbeiter entweder gar nicht angezeigt oder sind nur als ID oder Kennung dargestellt. Hiermit wäre die Pseudonymisierung (Punkt 1) erfüllt.
  4. Es gibt regelmäßige Backups die verschlüsselt bei einem Cloudanbieter abgelegt werden. Diese werden regelmäßig auf Integrität geprüft und getestet. Damit würden die Punkte 2, 5, 6 und 7 erfüllt.
  5. Es gibt einen festgelegten Prozess der quartalsweise, je nach Größenordnung und Änderungshäufigkeit im Unternehmen auch halbjährlich oder jährlich pro Abteilung die zuvor genannten Maßnahmen überprüft. Aus diesem Schritt ergibt sich die Erfüllung des Punktes 8.
  6. Es gibt klar formulierte Anweisungen und Richtlinien hinsichtlich des Datenschutzes, welche dokumentiert sind und allen Mitarbeitenden zur Verfügung stehen. Über Änderungen wird informiert. In regelmäßigen Intervallen werden diese an die Mitarbeitenden versendet oder es finden regelmäßig wiederkehrende Schulungen oder Datenschutzunterweisungen statt, die dokumentiert werden. Hierdurch wäre der Punkt 9 erfüllt.

Wie können TOM dokumentiert werden?

Zur Erfassung sollte eine Fragen- bzw. Auditliste erstellt werden. Die darin enthaltenden Fragen überschneiden sich meistens für die einzelnen Abteilungen. Das ist aber notwendig, um die Maßnahmen pro Abteilung dokumentieren zu können, was allerdings eher für größere Unternehmen umgesetzt würde. Die Fragen und Einhaltung der darin aufgelisteten TOM können und müssten durch die jeweilige Abteilung - gegebenenfalls gemeinsam mit der IT-Abteilung beantwortet werden.

Die Pflege der Dokumentation kann dann zentral je nach Unternehmensgröße z.B. in einem Datenschutz-Tool, einer Excel-/Word-Datei oder in sonstiger Form dokumentiert werden.

Je nach Unternehmensgröße und Anzahl der Verfahren kann der Umfang bzw. die Anzahl der Fragen variieren.

Bei kleineren Unternehmen sollten die entsprechenden TOM direkt dokumentiert und in einer Word- oder Excel-Datei festgehalten werden.

Getroffene Maßnahmen die entsprechend dokumentiert werden sollten:

  • Zutrittsbeschränkungen durch verschließbare Büros/Schränke
  • Zugriffsbeschränkungen durch Berechtigungsstruktur für Benutzer, unterschiedliche Gruppen für unterschiedliche Bereiche
  • Zugangsbeschränkungen durch gesicherte PC-Systeme, Login mit Kennwort und Benutzernamen
  • Virenschutz / Firewall
  • Regelmäßige Durchführung von Updates der Betriebssysteme und Drittanbietersoftware
  • Updates auf sonstigen Produkten wie Router, NAS, Firewall, Wlan-Access-Points
  • Backupkonzept und funktionsfähiges Backup, das regelmäßig auf Verfügbarkeit und Wiederherstellbarkeit geprüft wird
  • Absicherung der Server durch USV (Notstromversorgung) und/oder Überspannungsschutz
  • Absicherung gegen Hardwaredefekte durch beispielsweise gespiegelte Festplatten oder zusätzliche Netzteile (Redundanz), eventuelle Erhöhung der Verfügbarkeit durch Server und Datenspeicher als Cluster.
    Aufteilung der Dienste auf unterschiedliche Server; fällt ein System oder Dienst aus, ist nicht sofort das gesamte Unternehmen „offline“

Wiederanlaufplan und Notfallkonzept:
Vollständige Dokumentation auch der eingesetzten und notwendigen Hard- und Softwarekomponenten für den Fall, dass Geräte neu angeschafft werden müssen.
Verfügbarkeit aller notwendigen Kennwörter auch ohne lauffähige EDV-Systeme, um im Notfall Zugriff auf Daten und Backups zu erhalten.


Haben Sie weitere Fragen oder gar Themenwünsche, die wir in unserer Reihe „Coaching für Datenschutzbeauftragte“ aufnehmen sollten?

Melden Sie sich gerne oder besuchen Sie auch unsere regelmäßige offene Datenschutzsprechstunde.

Vielleicht sehen wir uns auch bei einem 1:1 Datenschutzcoaching?