Herausforderungen der TOMs

TOMs richtig umsetzen

Wie in den vergangenen Beiträgen erwähnt, haben zahlreiche Unternehmen viele Aufgaben zur Umsetzung der DSGVO Vorgaben bereits erfüllt. Bei der Umsetzung etwas aufwendigerer Projekte kommt es jedoch weiterhin häufig zu Verzögerungen.

Das ist natürlich nachvollziehbar, zumal etwa die Erstellung eines Löschkonzepts oder die Umsetzung technischer und organisatorischer Maßnahmen häufig mit entsprechenden Kosten und entsprechendem Aufwand verbunden sind. Manchmal fehlt die Antriebskraft auch einfach, weil das notwendige Vorstellungsvermögen der einzelnen Maßnahmen (noch) nicht vorhanden ist. Zum Teil ist dies sicher auch darauf zurückzuführen, dass einzelne Bestimmungen sehr schwer zu verstehen sind und nur sehr allgemein formuliert wurden.

DSGVO Mitarbeiterschulung Compliance Datenschutz  TOMs
Die Umsetzung umfassender TOMs (Schulung von Mitarbeitern) bringen Ihrem Unternehmen einen Mehrwert abseits der DSGVO Compliance!

Was versteht man unter TOMs*?

Was versteht man nun eigentlich unter technischen und organisatorischen Maßnahmen?

Der Ausdruck findet sich gleich mehrfach in der DSGVO. So wird etwa bei der Regelung der generellen Verantwortung für die Einhaltung der DSGVO (Art 24) oder beim Datenschutz durch Technikgestaltung (Privacy by Design, Art 25) darauf verwiesen. Schließlich kommt er bei der Bestimmung zur Datensicherheit (Art 32) vor, auf die im Folgenden kurz näher eingegangen werden soll.

 

Vorab sei noch darauf hingewiesen, dass die Bestimmung zur Datensicherheit eng mit dem Grundsatz von "Privacy by Design" verbunden ist. Die Regelung „Privacy by Design“ und die Bestimmungen zur Datensicherheit überschneiden sich zum Großteil und konnen daher nicht getrennt voneinander betrachtet werden.

 

Die Bestimmung zur Datensicherheit wird durch die im Folgenden angeführten Komponenten gepragt, die sich zum Teil aus der Verordnung, zum Teil aus den Erläuterungen, und zum Teil aus der Literatur ableiten lassen. Diese Einteilung ist wichtig, weil sich die konkreten Sicherheitsmaßnahmen an diesen vier Bereichen orientieren, und viele Checklisten zu den technischen und organisatorischen Maßnahmen daher in diese vier Bereiche eingeteilt sind:

 

  1. Integritat
    Personenbezogene Daten dürfen nur von den vorgesehenen Personen und mittels vorgesehener Prozesse verändert werden
  2. Vertraulichkeit
    Personenbezogene Daten dürfen nur von den vorgesehenen Personen und mittels vorgesehener Prozesse offengelegt werden
  3. Verfügbarkeit
    Personenbezogene Daten müssen für die vorgesehenen Personen und für die vorgesehenen Prozesse bei Bedarf bereitgestellt sein
  4. Belastbarkeit
    IT Systeme sollen jene Performance bieten, die der jeweiligen Datenanwendung angemessen ist

 

Anhand dieser vier Bereiche weiß man, welches Ziel die Datensicherheitsmaßnahmen verfolgen, man weiß aber noch nicht, wie umfassend bzw. welche konkreten Maßnahmen gesetzt werden müssen. Muss ich – ganz provokativ gefragt – einen Sicherheitsbediensteten vor meinem Serverraum positionieren, um Unbefugten den Zutritt zu verweigern und damit die Vertraulichkeit zu wahren, oder reicht es aus wenn der Server in einem versperrten Raum steht, und mit einer Firewall „geschützt“ wird?

Frau vor Computer plant stretegisch die Umsetzung von TOMs
Technische und Organisatorische Maßnahmen – a.k.a. as TOMs – brauchen klare und strategische Planung.

Umfang der zu treffenden Maßnahmen

Was den Umfang der Maßnahmen betrifft, so haben sich diese an Folgendem zu orientieren:

 

Der Verantwortliche (und der Auftragsverarbeiter!) muss geeignete technische und organisatorische Maßnahmen setzen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, und zwar unter Berücksichtigung folgender Kriterien:

  • des Standes der Technik
  • der Implementierungskosten
  • der Art, des Umfanges, der Umstände und der Zwecke der Verarbeitung
  • der Eintrittswahrscheinlichkeit von Risiken
  • Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen (Risiko der Vernichtung, des Verlusts, der unbefugten Veränderung, der unbefugten Offenlegung, des unbefugten Zugangs)

 

Die soeben erwähnten berücksichtigungswürdigen Parameter sind bei der Beurteilung heranzuziehen, ob in ausreichendem Maße technische und organisatorische Maßnahmen gesetzt wurden.

Das heißt, je mehr personenbezogene Daten und je häufiger personenbezogene Daten verarbeitete werden, umso mehr muss für die Datensicherheit getan werden.

Mindeststandards sind jedoch von jedem Unternehmen, unabhängig von Größe oder Ausrichtung des Geschäftes, einzuhalten.

 

Als TOM kommen etwa in Frage:

  • Pseudonymisierung und Verschlüsselung
  • Backupsysteme erstellen
  • Virenschutz, Firewall
  • Regelmäßige Überprüfung, Bewertung und Evaluierung der Maßnahmen
  • Maßnahmen zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme
  • Erstellen eines Zugangsberechtigungsblattes
  • Passwortmanagement
  • Regelmäßige Schulung aller beteiligten Mitarbeiter
  • Zutrittskontrollen installieren (Schlüssel, Magnet- oder Chipkartensysteme; elektronische Türöffner, Portier, Sicherheitspersonal, Alarmanlagen, Videoanlagen etc.)
  • Protokollierung von Zugriffen
  • Schutzmaßnahmen gegen zufällige und mutwillige Zerstörung (deshalb regelmäßig Backups machen!)

Wenn Sie Fragen zu diesem konkreten Thema haben, können Sie uns natürlich auch gerne jederzeit kontaktieren!

Weiterführende Informationen

*TOMs: Technisch-Organisatorische-Maßnahmen – siehe: https://de.wikipedia.org/wiki/Technische_und_organisatorische_Ma%C3%9Fnahmen

Weitere Maßnahmen, die als TOM in Frage kommen, lassen sich aus der ISO 27002, abrufbar unter www.iso.org oder www.as-institute.at (kostenpflichtig), ableiten

Über den Autor:

Dr. Gerald Mair ist Rechtsanwalt in Wien mit den Spezialgebieten Marken-, Design- und Patentrecht sowie Datenschutzrecht.

Er beschäftigt sich schon seit langem mit der DSGVO Neu und gilt in Fachkreisen als Kenner dieses Spezialgebietes.

Nicht zuletzt deswegen wurde er 2016 und 2017 als The Legal 500 EMEA Recommended Lawyer ausgezeichnet.

Doktor Gerald Mair Mitarbeiterschulung Datenschutz DG7App
Dr. Gerald Mair


Einfachste Mitarbeiterschulung mit der DG7App

Vermeiden Sie einfach Haftungen und sparen Sie Geld UND Zeit, anstatt sich mit Beschwerden oder Anzeigen herumzuschlagen – denn wir von DG7 sind der Überzeugung, Sie und Ihre Mitarbeiter haben besseres zu tun, als sich um die DSGVO zu kümmern!

 

Und wenn Sie noch Fragen zur einfachsten Art, Ihr Team datenschutzfit zu machen haben, freuen wir uns über Ihre Anfrage – entweder via mail an info@datenschutzfit.eu oder telefonisch. Und selbstverständlich haben Sie auch die Möglichkeit sich eine kostenlose Testversion auf Ihr Hndy zu laden oder sich einfach eine Hörprobe anzuhören.