TOMs DSGVO

Datenschutz und Datensicherheit


13. April 2018, von in IT-Sicherheit

Auslegungssache: Mit diesem Begriff ist schon viel über die EU-Datenschutz-Gundverordnung (DSGVO) gesagt. Auch was die technisch organisatorischen Maßnahmen (TOMs) betrifft, wird die DSGVO nur in zwei Punkten wirklich konkret. Ansonsten herrscht eine gewisse Abgrenzungs- und Definitionsproblematik. Welche Details Sie bei den TOMs DSGVO beachten sollten, erfahren Sie hier.

toms dsgvo, datenschutz und datensicherheit, toms, dsgvo, technisch organisatorische maßnahmen

TOMs DSGVO sollen für mehr Datenschutz und Datensicherheit sorgen. Foto: pixabay, TheDigitalArtist/Pete Linforth

Definitionsprobleme der TOMs DSGVO

Die DSGVO gibt im Artikel 32 technisch organisatorische Maßnahmen (TOMs) vor, mit denen die Sicherheit der Datenverarbeitung gewährleistet werden soll. Jedoch benennt sie dabei keine konkreten Handlungsanweisungen, sondern beschreibt vielmehr Datenschutzziele. Dieser Umstand trägt nicht gerade dazu bei, dass sich Unternehmen bei der Umsetzung der TOMs DSGVO rechtlich auf der sicheren Seite wissen. Außerdem legt die DSGVO es in Ihr eigenes Ermessen, welche und wie viele technisch organisatorische Maßnahmen Sie treffen. Das geht allerdings auch aus dem alten Bundesdatenschutzgesetz (BDSG) hervor.

Das alles entscheidende Kriterium bei der DSGVO ist das Risiko Ihrer Datenverarbeitung für die betroffenen Personen. Je riskanter Ihre Verarbeitung personenbezogener Daten ist, desto mehr müssen Sie für Datenschutz und Datensicherheit tun. Daher ist es empfehlenswert, so viele TOMs DSGVO wie möglich abzudecken.

So bestimmen Sie Risiko und Schutzniveau: DSFA – Wann sind Firmen dazu verpflichtet?
und Datenschutz-Folgenabschätzung – Kennen Sie Ihr Risiko?

TOMs DSGVO: Was ist gemeint?

Bei der Auswahl Ihrer TOMs DSGVO schreibt der Gesetzgeber lediglich vor, dass Unternehmen den Stand der Technik sowie anfallende Implementierungskosten berücksichtigen sollen. Insbesondere diese beiden schwammigen Umschreibungen sorgen unter Juristen jetzt schon für Gesprächsstoff. Es bleibt absolut diskutabel, was als angemessen zu verstehen ist, wenn von Stand der Technik sowie Verhältnismäßigkeit von Implementierungskosten die Rede ist. Bereits jetzt versuchen Rechtsexperten, die Bedeutung dieser unbestimmten Rechtsbegriffe zu erläutern:

1. Stand der Technik

Mit Stand der Technik meint der Gesetzgeber, dass Sie Technologien einsetzen, die

  • bekannt sind,
  • auf dem Markt verfügbar,
  • etabliert und wirksam sind,
  • sich in der Praxis bereits als geeignet und effektiv bewiesen haben und damit einen ausreichende Sicherheitsstandard bieten.

Als Beispiel für TOMs DSGVO bietet sich der Einsatz von SSL-Zertifikaten im Onlinehandel an, der bereits allgemein üblich ist. Hierbei werden personenbezogene Daten, die Benutzer über Bestellformulare oder Loginseiten versenden, verschlüsselt übertragen. ABER: Unter Stand der Technik fallen KEINE Technologien, die gerade neu entwickelt und in der Praxis (noch) nicht ausreichend getestet worden sind.

Hinzu kommt, dass der Stand der Technik kein statischer Zustand ist. Sie wissen selbst, dass er im Vergleich zu vorangegangenen Jahrzehnten mittlerweile eine ziemlich kurze Lebensdauer hat: Neue Technologien werden entwickelt, etablierte offenbaren von Zeit zu Zeit große Schwächen. Das zeigten beispielsweise die WPA2 Sicherheitslücke in der einst als so sicher geltenden WLAN-Verschlüsselung oder Meltdown und Spectre als namentliche Sicherheitslücken in Computer-Prozessoren.

Um also seine TOMs DSGVO auf dem Stand der Technik zu haben, müssen Sie Ihre veralteten technologischen Sicherheitsmaßnahmen durch neue ersetzen und diese gezwungenermaßen regelmäßig überprüfen und gegebenenfalls anpassen. Um den Ist-Stand Ihrer Firmen-EDV zu erfassen, können ein IT-Sicherheitscheck oder eine IT-Infrastrukturanalyse nützlich sein.

2. Implementierungskosten

Laut EU-Datenschutzrecht soll der finanzielle Aufwand für die Umsetzung und Integration der TOMs DSGVO die dadurch erreichbare Verbesserung des Datenschutzniveaus nicht übersteigen. Das heißt im Klartext: Je höher das Risiko Ihrer Datenverarbeitung ist, desto höher können die Implementierungskosten für Ihr Unternehmen sein. Wenn das Risiko für Datenschutz und Datensicherheit besonders groß ist, zieht das Argument nicht, dass eine Maßnahme zu teuer gewesen wäre.

Sensible Daten verlangen unter Umständen relativ teure Maßnahmen. Jedoch gilt hierbei ebenso: Wenn eine Maßnahme teuer ist, sie Datenschutz und Datensicherheit aber nur geringfügig verbessert, muss sie nicht unbedingt eingeführt werden. Demnach müssen Sie Kosten und Nutzen gegenüberstellen.

TOMs DSGVO: Nutzen Sie Standards für Datenschutz und Datensicherheit

Technische und rechtliche Unsicherheiten, die durch die Datenschutz-Grundverordnung entstehen, kann Ihr Unternehmen grundlegend entgegenwirken. Unser Tipp: Greifen Sie auf international anerkannte Normen und Standards in der Informationssicherheit zurück, wie beispielsweise die ISO 27002.

Diese Sicherheitsstandards können Ihnen helfen, selbst geeignete technische und organisatorische Maßnahmen zu entwickeln und umzusetzen oder auch die TOMs DSGVO Ihres Auftragsdatenverarbeiters zu überprüfen. Nichtsdestotrotz muss dieser standardisierte Kriterienkatalog auf den Einzelfall angepasst werden. Aber zumindest sorgt er als Leitfaden dafür, dass Sie Sicherheitsmaßnahmen nicht doppelt und dreifach für ein und dasselbe Schutzziel ergreifen.

TOMs DSGVO Beispiele

Alle TOMs DSGVO sind nur mögliche Maßnahmen, um Datenschutz und Datensicherheit zu verbessern. Verpflichtend sind sie jedoch nicht. Allerdings werden in der DSGVO zwei konkrete Maßnahmen genannt, die Sie sicherlich umsetzen sollten: die Pseudonymisierung und Verschlüsselung von Daten. Was das genau bedeutet, erläutern wir im Folgenden.

Pseudonymisierung

Pseudonymisierung dient vor allem dazu, die Zuordnung von Daten und Person zu erschweren (Art. 32 Abs. 1aArt. 25 Abs. 1 DSGVO). Was Sie dafür tun müssen?

  • Versehen Sie Daten beispielsweise mit einem nicht personenbezogenen Namen, einer Nummer oder ähnlichem – sofern Ihre Datenverarbeitung dies zulässt.
    • Ein Pseudonym bestehend aus Anfangsbuchstabe des Nachnamens und dem vollständigen Vornamen ist nicht ausreichend, da es möglich wäre, diese Daten mit dem betreffenden Nutzer in Verbindung zu bringen.
  • Stellen Sie sicher, dass die pseudonymisierten Daten ohne weitere Informationen keine Zuordnung zu betroffenen Personen zulassen.
  • Bewahren Sie das Pseudonym und die zur Identifizierung notwendigen Daten getrennt voneinander auf – räumlich und technisch
    • zum Beispiel in verschiedenen Aktenschränken in verschiedenen Räumen oder durch getrennte Datenbanken
    • Auch weitere Ver- bzw. Bearbeiter der pseudonymisierten Daten müssen daran gehindert werden, ohne Weiteres auf die zur Identifizierung notwendigen Daten zuzugreifen zu können.

Die Krux dabei: Viele Datenverarbeitungsvorgänge von Unternehmen sind pseudonymisiert gar nicht möglich. Ein Beispiel ist der Online-Handel: Um einem Kunden Bestellungen und Warenauslieferung überhaupt zu ermöglichen, ist eine Zuordnung seiner einzelnen Datensätze notwendig und muss daher auch weiterhin zulässig sein.

Aber für Geschäftsprozesse, in denen es kein Hindernis ist, personenbezogene Daten pseudonymisiert zu verarbeiten, ist es sinnvoll auf diese Technik zurückzugreifen, zum Beispiel für eine allgemeine Geo-Analyse, um herauszufinden aus welchen Ländern oder Regionen Kunden bestellen. Besonderen Wert sollten Sie auf die Pseydonomisierung legen, wenn Sie solche Datenanalysen oder andere Datenverarbeitungen an externe Dienstleister weitergeben. Als Negativ-Beispiel sei hier der jüngste Facebook-Datenskandal genannt.

Verschlüsselung

Mittels Verschlüsselungsverfahren können personenbezogene Daten mithilfe kryptographischer Verfahren in eine unleserliche Zeichenfolge verwandelt werden. Im Gegensatz zur Pseudonymisierung bleibt bei der Verschlüsselung der Personenbezug der Daten erhalten. Die Daten werden jedoch so verändert gespeichert, dass sie Unbefugte wie Hacker ohne zugehörigen Entschlüsselungscode nicht oder nur mit absolut unverhältnismäßigem Aufwand lesbar machen können.

Verschlüsselung ist mittlerweile üblich und entspricht damit dem Stand der Technik, auf dem Ihr Unternehmen bereits jetzt sein sollte. Insbesondere Passwörter sollten mithilfe einer  kryptographischen Hashfunktion verschlüsselt übermittelt werden. Das Ganze wird im Fachjargon auch gern „gesalzen“  genannt.

TOMs DSGVO: Welche Maßnahmen für welche Schutzziele?

Die anderen technisch organisatorischen Maßnahmen bezeichnet die DSGVO nicht so konkret wie Pseudonymisierung und Verschlüsselung. Sie sind vielmehr Vorgaben, die es zu erfüllen gilt. Wie Sie das tun, bleibt allerdings Ihnen überlassen. Wir geben Ihnen jedoch Handlungsempfehlungen für die Praxis an die Hand. Doch zunächst die unkonkreten TOMs DSGVO im Überblick:

  • Dauerhaftes Sicherstellen der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Datenverarbeitung
  • Rasche Wiederherstellung der Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall
  • Gewährleistung der Sicherheit der Verarbeitung durch ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

Die Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.) dröselt in der Anlage ihrer Praxishilfe zur Auftragsverarbeitung (S. 21/22 PDF) die einzelnen TOMs DSGVO sehr verständlich und praxisnah auf. Hier folgt eine Zusammenfassung möglicher Maßnahmen für die entsprechenden Schutzziele.

Vertraulichkeit

  • Bedeutung: Ihre TOMs DSGVO sollen die Vertraulichkeit der verwendeten Systeme und Dienste schützen. Sie sollen verhindern, dass es zu unbefugter oder unrechtmäßiger Verarbeitung kommt. (Art. 32 Abs. 1b DSGVO)
  • Mögliche Maßnahmen: Regeln Sie Zutritt, Zugang und Zugriff auf Systeme und Dienste, zum Beispiel durch bauliche Maßnahmen
    • Zutrittskontrolle: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Pförtner, Alarmanlagen, Videoanlagen
    • Zugangskontrolle: sichere Passwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern
    • Zugriffskontrolle: Unterbinden von unbefugtem Lesen, Kopieren, Verändern oder Entfernen von Daten, zum Beispiel durch Berechtigungskonzepte, bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen
    • Trennungskontrolle: Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, zum Beispiel durch Mandantenfähigkeit und Sandboxing

Integrität

  • Bedeutung: Integrität umfasst, dass die von Ihnen erhobenen Daten nicht unbeabsichtigt oder beabsichtigt geändert oder zerstört werden können (Fälschungssicherheit) (Art. 32 Abs. 1b DSGVO).
  • Mögliche Maßnahmen: Datensicherung durch Backups, Prüfsummen, Virenscanner, Firewalls, Software-Updates
    • Weitergabekontrolle: Unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Datenübertragung verhindern, beispielsweise mittels Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur
    • Eingabekontrolle: Zur Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, zum Beispiel durch Protokollierung oder Dokumentenmanagement

Verfügbarkeit

  • Bedeutung: Daten und die zur Verarbeitung notwendigen Systeme sollen stets dann verfügbar sein, wenn sie benötigt werden. Stichwort: Lauffähigkeit. Je häufiger Systeme verwendet werden, desto höher ist der Anspruch, dass sie auch reibungslos funktionieren (Art. 32 Abs. 1b DSGVO)
  • Mögliche Maßnahmen: Sichern Sie Ihre Systeme bestmöglichst gegen innere und äußere Einflüsse ab, zum Beispiel im Falle eines Stromausfalls, Wassereinbruchs oder Blitzeinschlags. Aber schützen Sie sie auch gegen Sabotage oder Vandalismus.

NEU: Belastbarkeit

  • Bedeutung: Datenverarbeitungssysteme und -dienste müssen auch belastbar sein. Das bedeutet: Ihre IT muss widerstandsfähig aufgestellt sein, um starke Beanspruchung überstehen zu können ohne gänzlich zusammenzubrechen. Zum Beispiel können zu viele gleichzeitige Zugriffsanfragen auf Ihren Webserver Ihre Systeme belasten (Denial of Service). Oftmals sind sie sogar Teil eines Cyberangriffs, dem es gilt Stand zu halten (Art. 32 Abs. 1b DSGVO).
  • Mögliche Maßnahmen: Steigern Sie die Belastbarkeit Ihrer Firmen-EDV beispielsweise durch Skalierende Systeme, Schutztechniken gegen DDoS-Angriffe, RAID-Systeme

Wiederherstellung der Verfügbarkeit bei Zwischenfall

  • Bedeutung: Kommt es trotz der obigen TOMs DSGVO zu Systemstörungen oder einem IT-Ausfall, muss Ihr Unternehmen in der Lage sein, die Daten schnellstmöglich wiederherzustellen und Ihre Systeme alsbald wieder einsatzbereit zu haben (Art. 32 Abs. 1c DSGVO).
  • Mögliche Maßnahmen: Backup-Systeme inklusive Wiederherstellungsverfahren, IT-Notfallplan, Vertretungspläne für Personal, Notstromversorgung, gespiegelte Datenbanken oder redundante Server.

Überprüfung, Bewertung und Evaluierung der Wirksamkeit

  • Bedeutung: Sie haben die TOMs DSGVO eingeführt. Doch das reicht nicht aus. Sie müssen diese Maßnahmen zu Datenschutz und Datensicherheit regelmäßig dahingehend überprüfen, ob sie ihren Zweck noch erfüllen und auf dem derzeitigen Stand der Technik sind. Einen bestimmten Turnus zur Überprüfung schreibt der Gesetzgeber nicht vor. Allerdings raten Experten, dass Sie Ihre TOMs DSGVO mindestens jährlich kontrollieren sollten – je nach Risikoniveau auch häufiger. Außer Frage steht jedoch: Wenn eine Sicherheitslücke bei einem von Ihnen verwendeten System bekannt wird, müssen Sie schnell handeln (Art. 32 Abs. 1d, Art. 25 Abs. 1 DSGVO).
  • Mögliche Maßnahmen: Protokollieren Sie Ihre regelmäßigen Prüfungen, Penetrationstests, Skalierbarkeit von Systemen, Evaluierungen durch Nutzer und Betroffene
    • Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
    • Auftragskontrolle durch eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht sowie Nachkontrollen

TOMs DSGVO: Kriterienkatalog im BDSG NEU

Aufgrund der DSGVO muss auch das Bundesdatenschutzgesetz (BDSG) angepasst werden. Das BDSG-neu ist als Teil des Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) beschlossen worden. Was die TOMs betrifft, finden Sie im § 64 BDSG-neu detaillierte Kriterien für öffentliche Verwaltungsstellen. Für private Unternehmen kann es aber sicherlich nicht schaden, diese Maßnahmen als Auslegungshilfe für ihre eigene Umsetzung der TOMs DSGVO zu nutzen.

TOMs DSGVO: Das haben Sie jetzt zu tun

Wenn Sie Ende Mai keine bösen Überraschungen erleben wollen, sollten Sie Ihre technisch organisatorischen Maßnahmen grundlegend überprüfen und gegebenenfalls anpassen. Denn künftig drohen Bußgelder von bis zu zehn Millionen Euro bzw. bis zu zwei Prozent des weltweit erzielten Jahresumsatzes, wenn sich Ihre TOMs DSGVO als unzureichend oder ungeeignet herausstellen.

TOMs DSGVO – Ihre To Dos

  1. Prüfen Sie Ihre ADV-Verträge auf DSGVO-Konformität.
  2. Gehen Sie auf Datensuche und identifizieren Sie personenbezogene Daten, die Sie oder ein Dienstleister verarbeitet.
  3. Überprüfen Sie bereits bestehende Maßnahmen auf ihre Wirksamkeit und ob sie die neuen Schutzkategorien abdecken und damit auch die neuen, leicht erhöhten Anforderungen erfüllen.
  4. Ordnen Sie die alte Maßnahmen den neuen Schutzkategorien nach DSGVO zu und ergänzen Sie gegebenenfalls Maßnahmen in diesen Bereichen, um das erforderliche, leicht erhöhte Datenschutzniveau zu erreichen.
  5. Addieren Sie Ihre TOMs DSGVO: Je größer die Summe der getroffenen Sicherheitsmaßnahmen, desto höher sind Datenschutz und Datensicherheit.
  6. Kommen Sie Ihrer Dokumentationspflicht mit einem Verarbeitungsverzeichnis nach.
  7. Analysieren Sie das Risiko der Datenverarbeitung für die einzelnen Verarbeitungsvorgänge.
  8. Nehmen Sie gegebenenfalls eine Datenschutz-Folgenabschätzung vor.
  9. Legen Sie gesteigerten Wert auf die Sicherheit Ihrer Systeme. Denn durch die DSGVO bekommt das Thema IT-Sicherheit eine höhere Gewichtung.
  10. Informieren und instruieren Sie Ihre Mitarbeiter hinsichtlich Änderungen und Einhaltung zum Thema Datenschutz und Datensicherheit.

Je nachdem, wie gut Ihr Betrieb aufgestellt ist, ändert die DSGVO nicht zwangsläufig die technisch organisatorischen Maßnahmen, die Sie ergreifen müssen. Die wirklich zeitaufwendige und mühselige Arbeit entsteht Ihnen aller Wahrscheinlichkeit nach durch die gestiegene Dokumentationspflicht.

Die beschriebenen Kontrollverfahren verlangen von Ihnen, dass Sie konkrete Modernisierungsaufgaben erledigen und Präventionsmaßnahmen ergreifen, um die Abläufe und Prozesse datenschutztechnisch auf den neuesten Stand zu bringen. Wenn Sie hierbei Beratung und technische Unterstützung benötigen, stehen Ihnen die Dienstleister des IT-SERVICE.NETWORK gern zur Verfügung.

Weitere Informationen zu konkreten Themen der DSGVO finden Sie auch hier im Blog:

Verfahrensverzeichnis und Verarbeitungsverzeichnis
Datenschutz-Folgenabschätzung und DSFA
Auftragsdatenverarbeitung
Europäische Datenschutzverordnung – Tipps zur Umsetzung
EU-Datenschutz – Wie Sie die DSGVO in der Cloud umsetzen


Alle Tipps und Informationen zur DSGVO finden Sie natürlich ebenfalls hier bei uns im Blog.


Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.