Technische und organisatorische Maßnahmen im Datenschutz

Beim Thema Datenschutz wirst du immer wieder die Begriffe technische und organisatorische Maßnahmen (kurz TOM) hören. Diese sind oder sollten ein zentraler Bestandteil deines Datenschutzmanagement-Systems (DSMS) sein. Und auch wenn wir den Datenschutz mal ausblenden, solltest du das Thema nicht unterschätzen. Technische und organisatorische Maßnahmen existieren schließlich nicht nur zum Selbstzweck, sondern sollen dich, deine Mitarbeiter, deine Kunden, dein Unternehmen vor unberechtigten Zugriff und Verlust deiner Daten schützen. Sie sind also nicht nur Bestandteil deines DSMS, sondern Kern deiner IT-Sicherheit und deines Informationsmanagement-Systems. Am Ende des Artikesl findest du einen Link zu unserer Musterübersicht für technische und organisatorische Maßnahmen.

 

Ein dem Risiko angemessenes Schutzniveau …

Durch technische und organisatorische Maßnehmen soll ein Schutzniveau zu gewährleistet werden, dass dem bei der Verarbeitung von personenbezogene Daten entstehendem Risiko angemessenen ist.

Die DSGVO sieht einen risikobasierten Ansatz vor. Dreh- und Angelpunkt sind die Risiken für die Rechte und Freiheiten natürlicher Personen. Bei der Beurteilung der Technischen und organisatorischen Maßnahmen musst du überlegen, mit welcher Wahrscheinlichkeit bestimmte Risiken eintreten und wie schwer der potenziell daraus entstehenden Schaden ist, im Hinblick auf einen physischen, materiellen oder immateriellen Schaden. Die DSGVO stellt dabei besonders auf Schäden ab, die zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug führen. Explizit erwähnt sind auch finanzielle Verluste, eine Rufschädigung, ein Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, die unbefugte Aufhebung der Pseudonymisierung oder andere erheblichen wirtschaftliche oder gesellschaftliche Nachteile. Besonders aufmerksam solltest du auch bei Daten besonderer Kategorien nach Art. 9 DSGVO sein, bei Daten von Kindern oder wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft.

 

Vertraulichkeit, Integrität und Verfügbarkeit

Maßgeblich sind dabei die drei Grundziele der Informationssicherheit: „Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“. Diese werden im Englischen auch oft einfach „CIA“ genannt für Confidentiality, Integrity, und Accesability.

 

Vertraulichkeit

Durch die Vertraulichkeit stellst du sicher, dass nur berechtigte Personen Zugriff auf die personenbezogenen Daten bekommen. Hier solltest du dich immer fragen, ob es akzeptabel ist, wenn Dritte unberechtigt Zugriff auf personenbezogene Daten bekommen, die in deiner Verantwortung verarbeitet werden.

 

Integrität

Die Integrität von Daten bezieht sich auf den Schutz vor nicht autorisierten Änderungen der Daten. Hier geht es in erster Linie um die Richtigkeit, Verlässlichkeit und Vollständigkeit der personenbezogenen Daten.

 

Verfügbarkeit

Bei der Verfügbarkeit geht es darum, dass du jederzeit Zugriff auf die Daten nehmen kannst. Hier geht es einmal darum, dass deine Systeme funktionieren, aber auch um die Möglichkeit, dass du die Daten durch Backups bei einem Ausfall wiederherstellen kannst.

 

Keine konkreten Vorgaben

Zentrale Norm ist Art. 32 DSGVO. Nach Art. 32. DSGVO bist du, genauer gesagt dein Unternehmen verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die DSGVO macht dir dabei aber keine starren Vorgaben, welche Maßnahmen du genau treffen musst. Hier kommt es immer auf den Einzelfall an. Je sensibler die Daten und je höher die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, desto höher sind auch die Anforderungen an die TOM. Bei der Auswahl musst du den Stand der Technik berücksichtigen, die Implementierungskosten und die Art, den Umfang sowie die Umstände und die Zwecke der Verarbeitung.

Als mögliche Maßnahmen nennt die DSGVO:

 

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Kontext der Verarbeitung auf Dauer sicherzustellen;
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

 

Praktische Maßnahmen

Die in der DSGVO genannten Maßnahmen sind sehr abstrakt. In der Praxis musst du das Ganze irgendwie auf „reale“ Maßnahmen umschlagen. Dabei fangen deine Technischen und organisatorischen Maßnahmen nicht erst bei deinen IT-Systemen an. Das Ganze geht schon bei der Frage los, wer in unter welchen Bedingungen in deine Büros kommen kann.

Folgende Themen solltest du dabei berücksichtigen:

 

Zutrittskontrolle

Durch Zutrittskontrolle stellst du sicher, dass nur befugte Personen den physikalischen Zutritt zu Datenverarbeitungsanlagen erhalten. Das Ganze kann schon bei einem Zaun um das Bürogebäude losgehen, setzt sich mit einer abgeschlossenen Bürotür fort und geht weiter bei der Frage, wer alles in den Serverraum kommt. Selbst Regelungen zu abgeschlossenen Fenstern sind hier denkbar.

 

Zugangskontrolle

Die Zugangskontrolle verhindert die Nutzung der Datenverarbeitungsanlagen durch Unbefugte. Eine denkbare Maßnahme wäre etwa ein Passwortschutz.

 

Zugriffskontrolle

Die Zugriffskontrolle stellt sicher, dass ausschließlich befugte Personen Zugriff auf personenbezogene Daten, Programme und Dokumente erhalten. Hier kannst du Datenträger verschlüsseln und ein Management zur Rechteverwaltung einrichten.

 

Trennungskontrolle

Ein weiterer wichtiger Punkt ist die Trennungskontrolle. Hier geht es darum, dass personenbezogene Daten, die du zu unterschiedlichen Zwecken erhoben hast, auch getrennt voneinander verarbeitest. Eine wichtige Maßnahme ist die Mandantentrennung, die Daten unterschiedlicher Mandanten getrennt voneinander speichert. Das kann physisch oder organisatorisch geschehen.

 

Pseudonymisierung

Die DSGVO benennt bereits die Pseudonymisierung. Bei der „Pseudonymisierung“ werden die personenbezogenen Daten so verändert, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Voraussetzung ist, dass diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. Maßnahmen können hier etwa die Kürzung von Datensätzen sein, Ersetzen der Namen und anderer Merkmale zur Identifizierung durch Codes oder Identifikationsnummern oder die Verschlüsselung der personenbezogenen Daten und die Verwendung von Pseudonymen.

 

Weitergabekontrolle

Selbstverständlich musst du dir auch Gedanken machen, wie du Daten transportierst. Hier kommen gesicherte Transportbehälter infrage oder VPN-Technologie und E-Mail-Verschlüsselung.

 

Eingabekontrolle

Daten müssen nicht immer durch Externe gefährdet werden. Auch die eigenen Mitarbeiter können unberechtigt auf Daten zugreifen. Hier hilft dir u. U. ein digitales Berechtigungskonzept (z. B. Active Directory) oder die Protokollierung der Eingabe, Veränderung und Löschung von Daten, die Einrichtung und Verwendung von individuellen Benutzernamen und die Vergabe von Zugriffsberechtigungen.

 

Verfügbarkeit

Technische und organisatorische Maßnahmen schützen sollen nicht nur durch Zugriff von außen schützen. Sie sollen auch sicherstellen, dass Daten bei Bedarf verfügbar sind. Backups und Diebstahlsicherungen sind dabei ebenso hilfreich wie ein Notfall-Management.

 

Belastbarkeit

Deine Systeme sind verschiedenen Einflüssen ausgesetzt. Eine gewisse Belastbarkeit ist daher zwingende Voraussetzung. Hier helfen z. B. die Klimatisierung des Serverraums oder eine unterbrechungsfreie Stromversorgung.

 

Wiederherstellbarkeit

Kein noch so gutes Konzept kann jeden Datenverlust verhindern. Die Möglichkeit zur Wiederherstellung deiner Daten ist deshalb ebenfalls von zentraler Bedeutung für dich. Hier helfen Backups und regelmäßige Tests zum Wiedereinspielen.

 

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Art. 32 DSGVO sieht auch vor, dass du Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen etablierst. Hier geht es um das bekannte Plan-Do-Act-Check-Prinzip. Informationssicherheit ist keine einmalige Angelegenheit, sondern ein fortwährender Prozess. Als Maßnahmen kannst du hier z. B. regelmäßige interne und externe Audits durchführen, Penetrationstests machen und deine Mitarbeiter schulen und sensibilisieren.

 

Auswahl der richtigen Maßnahmen

Je nach Risiko sind die Anforderungen an deine technischen und organisatorischen Maßnahmen höher oder niedriger. Hier musst du dich fragen, welche Maßnahme im Einzelfall angemessen ist. Eine Orientierungshilfe kann dir das ZAWAS Modell des Landesbeauftragten für den Datenschutz Niedersachsen geben (Übersicht ZAWAS-Modell und Download ZAWAS-Folien).

Eine noch ausführlichere Hilfestellung findest du im Reifegradmodell des Bitkom e. V. : Datenschutz-Reifegradmodell

 

keine angemessenen technischen und organisatorischen Maßnahmen

Technische und organisatorische Maßnahmen setzt du nicht um ihrer selbst willen um. Ziel ist der Schutz deiner personenbezogenen Daten und deiner Informationen im Allgemeinen. Durch vernünftige technische und organisatorische Maßnahmen schützt du also auch deine Geschäftsgeheimnisse und deine Assets. Allein das sollte Grund genug sein, um das Thema wirklich ernst zu nehmen.

Allerdings ist heute kein System mehr sicher ist. Sollte es doch zu einer Datenschutzverletzung (Die vier häufigsten Datenschutzverletzungen) kommen, können unterschiedliche Konsequenzen drohen.

Unter bestimmten Umständen, musst du die Datenschutzverletzung an die Datenschutzbehörde melden. Diese kann dann im schlimmsten Fall ein Bußgeld gegen dich verhängen.

Außerdem können betroffene Personen ggf. Schadensersatzansprüche gegen dich geltend machen. Je mehr Personen betroffen sind, z. B. bei großen Datenpannen mit einer Vielzahl von betroffenen Personen, desto mehr Ansprüchen stehst du gegenüber.

Datenschutzverletzungem gehen regelmäßig auch mit einem Image-Schaden einher.

Wie gesagt, wirst du nicht jedes Szenario immer ausschließen können. Aber wenn deine Technischen und organisatorischen Maßnahmen passen, kann dies durchaus Auswirkungen auf die Haftung haben.

Link Übersicht technische und organisatorische Maßnahmen

Unser Muster für eine Übersicht an technischen und organisatorischen Maßnahmen findest du auf unserer Download-Seite. Der Download ist bei Anmeldung für unseren Newsletter möglich. 

Schufa und Datenschutz