Technisch- und organisatorische Maßnahmen (TOM)
Organisationskontrolle
Zweck: Die innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Gemeint ist damit, dass sich der Datenschutz nicht an die Organisation, sondern die Organisation an den Datenschutz anpassen sollte.
Maßnahmen:
- Mitarbeiter werden regelmäßig (mindestens alle zwei Jahre) auf das Datengeheimnis verpflichtet
- Mitarbeiter werden regelmäßig (mindestens einmal jährlich) auf den Datenschutz am Arbeitsplatz sensibilisiert
- Es wird regelmäßig eine Auditierung durch den Datenschutzbeauftragten vorgenommen
- Ein Datensicherheitskonzept / Informationssicherheitsmanagement ist vorhanden
Pseudonymisierung gem. Art. 32 Abs. 1 lit. a DSGVO
Maßnahmen:
- Es werden, soweit möglich, pseudonymisierte und anonymisierte Daten verwendet
Verschlüsselung gem. Art 32 Abs.1 lit. a DSGVO
Maßnahmen:
- Verschlüsselung von Festplatten mit personenbezogenen Daten
- Verschlüsselung von Smartphone-Inhalten
- Verschlüsselung von mobilen Datenträgern
- Verschlüsselung von E-Mails (Transportschichtverschlüsselung)
- Vertraulichkeit gem. Art 32 Abs.1 lit. b DSGVO
a) Zutrittskontrolle
Zweck: Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
Maßnahmen:
- Alarmanlage
- Automatisches Zutrittskontrollsystem über PIN
- Sicherheitsschlösser
- Sorgfältige Auswahl von Reinigungspersonal
b) Zugangskontrolle
Zweck: Verhinderung, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
Maßnahmen:
- Authentifikation mit Benutzer und Passwort
- Verwaltung von Benutzerberechtigungen
- Erstellen von Benutzerprofilen
- Einsatz von Anti-Viren-Software
- Passwortvergabe/Passwortregeln
- Umgehende Sperrung von Berechtigungen beim Ausscheiden von Mitarbeitern
- Blickschutzfolien für mobile Rechner
c) Zugriffskontrolle
Zweck: Gewährleistung, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Maßnahmen:
- Schriftliches Berechtigungskonzept vorhanden
- Zuordnung von Benutzerrechten/Erstellen von Benutzerprofilen
- Verwaltung der Rechte durch System-Administrator
- Anzahl der Administratoren auf das "Notwendigste" reduziert
- Gesicherte Nutzung von USB-Schnittstellen
- Automatische Sperrung des Arbeitsplatzes
- Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Date
- Einsatz von Akten-/Datenträgervernichtern
- Verschlüsselung von Datenträgern
- Sichere Aufbewahrung von Datenträgern
d) Trennungskontrolle
Zweck: Gewährleistung, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Maßnahmen:
- Physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern
- Logische Mandantentrennung (softwareseitig)
- Trennung von Produktiv- und Testsystem
- Technologie zur Festlegung von Datenbankrechten
- Trennung von Daten verschiedener Auftraggeber
e) Weitergabekontrolle
Zweck: Gewährleistung, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Maßnahmen:
- Weitergabe von Daten in anonymisierter oder pseudonymisierter Form bzw. Verschlüsselung
- E-Mail-Verschlüsselung
- Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen
- Protokollierung von Übermittlungen
Integrität gem. Art 32 Abs. 1 lit. b DSGVO
a) Eingabekontrolle
Zweck: Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Maßnahmen:
- Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
- Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind
- Protokollauswertungssysteme vorhanden
- Aufbewahrungs-/Löschungsfrist für Protokolle vorhanden
b) Dokumentationskontrolle
Zweck: Gewährleistung, dass die Verfahrensweisen bei der Verarbeitung personenbezogener Daten in einer Weise dokumentiert werden, dass sie in zumutbarer Weise nachvollzogen werden können.
Maßnahmen:
- Führung eines Verarbeitungsverzeichnisses
- Dokumentation der eingesetzten IT- Systeme und deren Systemkonfiguration
c) Auftragskontrolle
Zweck: Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
Maßnahmen:
- Kontrolle der Vertragsausführung
- Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
- Zugriffsberechtigte Mitarbeiter sind auf das Datengeheimnis verpflichtet
- Mitarbeiter haben Arbeitsanweisungen/Richtlinien oder Merkblätter erhalten, die über Maßnahmen zur Einhaltung des Datenschutzes sowie der IT-Sicherheit informieren
- Bei Fehlern hinsichtlich der Datenverarbeitung oder Verstoß gegen den Datenschutz erfolgt unverzügliche Information an den Auftraggeber
Verfügbarkeitskontrolle gem. Art. 32 Abs. 1 lit. b DSGVO
Zweck: Gewährleistung, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
Maßnahmen:
- Überspannungsschutz
- Feuer- und Rauchmeldeanlagen
- Virenschutzsystem
- Festplatten, Cluster Storage
- Automatisierte Standardroutinen für regelmäßige Aktualisierung von Schutzsoftware (z. B. Virenscanner, Malware-Protection und Firewallsysteme)
- Anmerkungen: EDV-Infrastruktur via Google Cloud
Belastbarkeit gem. Art. 32 Abs. 1 lit. b DSGVO
Zweck: Gewährleistung, dass die Systeme auch unter unvorhergesehener Last noch arbeiten.
Maßnahmen:
- High-Availability-Cluster
- Virtuelle Serverumgebung
- Mixed Cloud-Anwendung
- Festgelegte/Nachvollziehbare Belastungsgrenzwerte
- Überwachungssoftware im Einsatz
- Automatische Server-Alarmmeldungen an verantwortliche Personen
- Anmerkungen: EDV-Infrastruktur via Google Cloud
Wiederherstellung gem. Art. 32 Abs. 1 lit. c DSGVO
Zweck: Gewährleistung, dass nach einer Störung eine Wiederherstellung personenbezogener Daten erfolgen kann.
Maßnahmen:
- Backup-Konzept
- Desaster-Recovery-Konzept
- Testen von Datenwiederherstellungen
- Testen von Serverwiederherstellungen
- Aufbewahrung von Datensicherungen an einem sicheren, ausgelagerten Ort
Regelmäßige Überprüfung gem. Art. 32 Abs. 1 lit. d DSGVO
Zweck: Gewährleistung, dass Verfahren aktuell bleiben und eingesetzte Techniken dem „Stand der Technik“ entsprechen.
Maßnahmen:
- Regelmäßige Bewertung eingesetzter Verfahren
- Meldepflicht an den DSB von neu eingesetzten Verfahren
- Regelmäßige Software-Security-Updates
- Regeln zur Hardwarebeschaffung