Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
05. Juli 2024

Technisch-organisatorische Maßnahmen: Das gehört ins Datensicherheitskonzept

Technisch-organisatorische Maßnahmen: Das gehört ins Datensicherheitskonzept
Bild: i3D_VR / iStock / Thinkstock
4,75 (4)
drucken
Inhalte in diesem Beitrag
DSGVO / BDSG: Datenschutzkontrollen
Neben rechtlichen Anforderungen an den Datenschutz sind es neue Bedrohungslagen und neue, digitale Technologien, die Änderungen am Konzept für die Datensicherheit und bei den technisch-organisatorischen Maßnahmen (TOMs) notwendig machen. An welche TOMs sollten Sie dabei denken?

➧ Was sagt die DSGVO zu den sogenannten TOMs?

Datenschutzkonzepte für die Sicherheit der Verarbeitung personenbezogener Daten dienen insbesondere der Umsetzung von Artikel 32 Datenschutz-Grundverordnung (DSGVO). In der DSGVO findet man aber keine umfangreiche Liste an sogenannten TOMs (technisch-organisatorische Maßnahmen), an der man sich orientieren könnte, wenn man Maßnahmen plant, um neue Bedrohungslagen zu adressieren oder neue, digitale Technologien in das Schutzkonzept aufzunehmen.

Anders ist dies im Bundesdatenschutzgesetz (BDSG). Hier findet sich eine Liste von TOMs in § 64 BDSG, die Datenschutzbeauftragten und Unternehmen sowie Behörden Orientierung bieten kann.

➧ Welche TOMs nennen DSGVO und BDSG?

Die DSGVO besagt in Artikel 32, dass die Maßnahmen für die Sicherheit der Verarbeitung „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ zu treffen sind. Das soll ein dem Risiko angemessenes Schutzniveau gewährleisten.

DSGVO: wenige konkrete Maßnahmen

Die DSGVO nennt dabei nicht viele konkrete TOMs. Zu finden ist nur die Forderung

  • nach Pseudonymisierung und Verschlüsselung personenbezogener Daten,
  • nach Fähigkeiten, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen,
  • nach der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, sowie
  • nach einem Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

BDSG: Liste von TOMs

Für die notwendige Risikobewertung neuer Bedrohungslagen oder Technologien kann es aber hilfreich sein, Abhilfemaßnahmen anhand einer Liste von TOMs strukturiert zu prüfen und zu überlegen. Welche TOMs dies sein können, dazu bietet § 64 BDSG eine Übersicht:

  1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle)
  2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle)
  3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle)
  4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle)
  5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle)
  6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle)
  7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle)
  8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle)
  9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit)
  10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit)
  11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität)
  12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle)
  13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)
  14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit)

Im Vergleich zur früher bekannten Anlage zu § 9 Satz 1 BDSG-alt nennt das aktuelle BDSG neue Datenschutzkontrollen, die bei der Umsetzung der DSGVO hilfreich sein können.

➧ Wie helfen die TOMs bei der Umsetzung der DSGVO?

Die genannten TOMs unterteilen die notwendigen Datenschutzkontrollen genauer und strukturierter. Das ist positiv für die Vorbereitung, Umsetzung und Überwachung der Kontrollen. Die TOMs berücksichtigen auch konkret Forderungen, die bei der Umsetzung der DSGVO nach Artikel 32 zu beachten sind:

  • Verantwortliche müssen gewährleisten, dass sie eingesetzte Systeme im Störungsfall wiederherstellen können (Wiederherstellbarkeit).
  • Sie müssen gewährleisten, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit).
  • Sie müssen gewährleisten, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität).

Deshalb ist es sinnvoll, die Struktur der TOMs zu nutzen, um die Sicherheit der Verarbeitung nach DSGVO zu planen.

➧ Warum sind Wiederherstellbarkeit, Zuverlässigkeit und Datenintegrität so zentral?

Nicht nur die Cyber-Angriffe mit Ransomware haben gezeigt, dass viele Unternehmen und Behörden nach Attacken und Störungen nicht über geeignete Maßnahmen für die Wiederherstellbarkeit verfügen. Deshalb fordert dies die DSGVO ganz konkret.

Leider kommt es auch immer wieder zu Mängeln in der Zuverlässigkeit bei IT-Systemen und bei der Datenintegrität. Das zeigen Datenpannen durch Systemausfälle und Manipulationen an Daten durch unbefugte Dritte immer wieder.

Hier gilt es, unbedingt nachzubessern – nicht nur, aber auch für die Einhaltung der DSGVO. Nutzen Sie deshalb die komplette Liste der TOMs als Orientierungshilfe, um die Vollständigkeit Ihres Datensicherheitskonzepts zu prüfen.

Praxis-Tipp

Oliver Schonschek

Oliver Schonschek
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
drucken
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
Verwandte Beiträge
22. November 2024
DP+
Die personenbezogenen Daten, die die Fahrzeugsysteme verarbeiten, reichen von einfachen Kontaktinformationen im Infotainmentsystem bis hin zu komplexeren Daten in der Fahrzeugtechnik, die Rückschlüsse auf die individuelle Nutzung und das Fahrverhalten zulassen
Bild: iStock.com/studio-fi

Datenschutzkontrolle im technischen Fuhrpark

Praxisbericht
22. November 2024
DP+
Neuer Microsoft-Servicevertrag: Datenschutzfragen zu Windows, Office, OneDrive und Teams im Fokus – was Nutzer jetzt wissen sollten.
Bild: iStock.com/bubaone

Viele Fragen beim Servicevertrag von Microsoft

Ratgeber
KI Microsoft 365
22. November 2024
DP+
Büroflächenverkleinerungen scheinen zunächst simpel, bieten aber hinsichtlich des Datenschutzes eine Vielzahl von Fallstricken. Vorteilhaft sind hier ein Zeitplan, eine Checkliste und eine sorgfältige Dokumentation der ergriffenen Maßnahmen.
Bild: iStock.com/onurdongel

Datenschutzfalle Büroflächenverkleinerung

Ratgeber
Checklisten
21. November 2024
DP+
Wenn Krankenhäuser mit externen Dienstleistern zusammenarbeiten, um personenbezogene Daten verarbeiten zu lassen, wirft das Fragen im Bereich Datenschutz auf. Die DSGVO erlaubt zwar die externe Verarbeitung von Patientendaten, verlangt aber besondere Schutzvorkehrungen.
Bild: iStock.com/metamorworks

Auftragsverarbeitung von Patientendaten

Ratgeber
Checklisten
21. November 2024
DP+
Kanban ist eine Arbeitsmanagementmethode, die dabei hilft, Abläufe in Organisationseinheiten effektiv zu steuern, anzupassen und zu optimieren. Der Datenschutz darf bei der Ntzung von Kanban-Boards jedoch nicht außer Acht gelassen werden.
Bild: iStock.com/AndreyPopov

Datenschutz bei Kanban-Boards

Ratgeber
Checklisten
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.