Grundsätzliches

• Da die DSGVO bei der konkreten Definition der TOM im Datenschutz eher vage bleibt, bietet das Bundesdatenschutzgesetz (BDSG) wertvolle Klarstellungen.
• Gemäß § 9 BDSG (alte Fassung) werden technisch-organisatorische Maßnahmen präzisiert und folgende Bereiche konkret benannt:

Umsetzung

Zutrittskontrolle

• Es ist erforderlich, den physischen Zutritt zu Datenverarbeitungsanlagen, wie beispielsweise Serverräumen, mittels Zutrittskontrolle zu verhindern.
• Elektronische Zugangssysteme oder Pförtner können hier als geeignete Mittel dienen.

Zugangskontrolle

• Ein digitaler Zugriff auf Datenverarbeitungsanlagen sollte Dritten untersagt sein.
• Dies lässt sich durch Verschlüsselungen, Mehr-Faktor-Authentifizierungen oder strikte Passwortverfahren gewährleisten.

Zugriffskontrolle

• Strenge Berechtigungskonzepte stellen sicher, dass unbefugte Dritte weder Schreib- noch Lesezugang zu sensiblen Daten erhalten.
• Die Möglichkeit, Daten unbefugt zu kopieren oder zu löschen, darf ebenfalls nicht gegeben sein.

Weitergabekontrolle

• Durch ausreichende Verschlüsselungen wird sichergestellt, dass sensible Daten selbst bei der Übertragung nicht offengelegt werden, selbst wenn sie in die Hände unbefugter Dritter gelangen.
• Unberechtigte Dritte dürfen weder lesen, verändern, kopieren noch Daten löschen können.

Eingabekontrolle

• Protokollierungssysteme erfassen jeden Zugriff auf personenbezogene Daten und ermöglichen die Nachverfolgung jeder Änderung oder Löschung.

Auftragskontrolle

• Die Datenverarbeitung durch befugte Dritte wird durch AV-Verträge (Auftragsverarbeitungsverträge) geregelt.
• Diese Verträge entsprechen den Vorgaben des Auftraggebers.

Verfügbarkeitskontrolle

• Firewalls und Backups sind nur zwei der Möglichkeiten, um Daten vor ungewünschten Verlusten und Angriffen zu schützen.
• Zudem muss gewährleistet werden, dass die Daten im Verlustfall wiederhergestellt werden können.

Trennungsgebot

• Der Einsatz separater Systeme soll gewährleisten, dass für unterschiedliche Zwecke erhobene Daten nur für den jeweiligen Erhebungszweck verwendet werden.

Schlussfolgerung

• Natürlich müssen nicht alle Maßnahmen von allen Unternehmen umgesetzt werden.
• Allerdings ist wichtig, dass mittels Risikoanalyse abgeklärt wird, für welche Unternehmen bestimmte Maßnahmen relevant sind.