Technischer organisatorische Maßnahmen

Hier finden Sie die wichtigsten Informationen zum Thema technische, organisatorische Maßnahmen. Kurz TOM genannt.


Diese Sammlung dient der Information und stellt keine rechtliche Beratung dar!


Was sind TOM?

Technische, organisatorische Maßnahmen sind Maßnahmen, die sie zum Schutz der personenbezogenen Daten treffen müssen. Diese müssen zeitgemäß und verhältnismäßig sein.

Beispiel: Sie haben ein Mitgliederverwaltungsprogramm auf einem Notebook, das je nach Bedarf vom Vorstand und dem Kassenwart benutzt wird. Nun müssen Sie technische und organisatorische Maßnahmen ergreifen, um die personenbezogenen Daten auf dem Notebook zu schützen.

Ein Beispiel, wie das aussehen kann, finden Sie weiter unten in diesem Artikel.

Diese Rolle spielen TOM bei der Datenschutz-Dokumentation

Die technischen und organisatorischen Maßnahmen spielen dabei eine ganz besondere Rolle, weil sie den ganzen Datenschutz im Verein “überwachen”. Es geht also zum großen Teil darum, wie die Daten der Betroffenen (Vereinsmitglieder, Lieferanten, Mitarbeiter etc.) geschützt und abgesichert sind.

Eine besondere Bedeutung kommt den TOM dann zu, wenn es zu einem meldepflichtigen Datenleck oder Datenschutzverstoß gekommen ist. Dann können die TOM dazu dienen zu belegen, dass angemessene Maßnahmen zum Schutz getroffen wurden. Dabei sollten Sie dafür sorgen, dass die TOM am besten so schnell wie möglich dokumentiert werden und nicht erst, wenn eine Behörde nach ihnen fragt.

Die TOM richtig zu dokumentieren stellt eine wichtige Säule der Datenschutz-Dokumentation dar.

Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. hat eine Kurzvorlage zur Dokumentation zu den TOM veröffentlicht, an der man sich gut orientieren kann.

1.-Pseudonymisierung
Wikipedia definiert die Pseudonymisierung als einen Vorgang, bei dem persönliche Daten durch z.B. Zahlenfolgen ersetzt werden, so dass diese nicht mehr zuordenbar sind. Also z.B. Ersetzung einer E-Mail-Adresse durch eine User-ID.

2-Verschlüsselung
Hier geht es um den Schutz der Daten vor unberechtigtem Zugang, z.B. durch Passwörter auf Archiven.

3-Gewährleistung der Vertraulichkeit
Hier geht es um alles, was mit Zutritt und Zugang zu tun hat. Wie gewährleisten Sie, dass nur Berechtigte Zugang zum Serverraum haben?

4-Gewährleistung der Integrität
Wie gewährleisten Sie, dass die Daten, die Sie verarbeiten, an sich richtig sind? Wie steuern Sie Änderungen oder Löschungen?

5-Gewährleistung der Verfügbarkeit
Wie gewährleisten Sie, z.B. bei einem Stromausfall, die Verfügbarkeit der Daten?

6-Gewährleistung der Belastbarkeit der Systeme
Machen Sie regelmäßige Checks, ob Ihre Systeme gegen Unfälle oder Eindringlinge sicher sind?

7-Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall
Haben Sie Vorgehensweisen für einen Zwischenfall, der z.B. alle Ihre Daten auf einem Server löscht?

8-Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen
Prüfen Sie auch, ob die o.g. Maßnahmen effektiv sind? Wenn ja, wie?

9-Schriftliche Dokumentation von sonstigen Maßnahmen
Haben Sie z.B. Datenschutz-Anweisungen an Ihre Mitarbeiter ausgegeben? Haben Sie eine IT-Sicherheitszertifizierung?

Das Ganze hört sich schlimmer an als es ist. Schauen wir uns das an einem Beispiel an:

Nutzung eines Mitgliederverwaltungsprogramms auf einem Notebook

1- Das Notebook, auf dem alle Mitgliederdaten liegen, ist nur mit Passwort und Nutzername geschützt (Nr. 3 gewährleistet), die Festplatten sind verschlüsselt. (Nr. 2 gewährleistet).

2- Jede Nutzung wird protokolliert z.B. Ein- und Ausloggen, Änderungen an Datensätzen, Logins werden nicht geteilt, jedem Login ist eine Person zugeordnet (Nr. 4 gewährleistet).

3- Es bestehen Lese- und Schreibrechte, welche nach Bedarf verteilt werden.

4- Es werden regelmäßig Backups gezogen, welche sich verschlüsselt in der Cloud befinden. Diese werden regelmäßig auf Integrität getestet (Nr. 2, 5, 6, 7 gewährleistet).

5- Einmal im Jahr werden die oben genannten Maßnahmen überprüft (Nr. 8 erfüllt)

6- Es bestehen klare Anweisungen an Mitarbeiter zur Einhaltung des Datenschutzes. Jeder ehrenamtlicher Helfer / Mitarbeiter unterschreibt eine Verpflichtung auf die Vertraulichkeit nach der DS-GVO (Nr. 9 erfüllt)

Fazit: Da der Aufwand sehr überschaubar ist, empfehlen wir allen unseren Kunden die Dokumentation ihrer TOM. Unabhängig von der Dokumentation sind Sie dazu verpflichtet alle TOM, die zeitgemäß und verhältnismäßig sind, umzusetzen.

 

Quellen:

Art. 32 DSGVO Sicherheit der Verarbeitung

64 BDSG (neu)

Art. 42 DSGVO  Zertifizierung