05

Sicherheit

Ergreifen Sie Maßnahmen zur Sicherheit Ihrer Verarbeitungen. Diese können sowohl technischer als auch organisatorischer Art sein.

Ergreifen Sie Maßnahmen zur Sicherheit Ihrer Verarbeitungen. Diese können sowohl technischer als auch organisatorischer Art sein.

06 Klare Regeln
04 Weitersagen

Worum geht‘s?

Durch gezielt getroffene Maßnahmen soll – so gut es geht – verhindert werden, dass eine Vernichtung, ein Verlust, eine Veränderung, aber auch die unbefugte oder versehentliche Offenlegung oder ein unbefugter Zugriff auf personenbezogene Daten stattfinden kann.

Die Maßnahmen können sowohl technischer als auch organisatorischer Art sein. Man spricht daher auch gerne vereinfacht von den „TOM“ (technische und organisatorische Maßnahmen).

Eine technische Maßnahme kann zum Beispiel ein bestimmter Schlüssel für eine Tür sein oder der Abgleich eines Fingerabdrucks, um Eintritt in einen bestimmten Raum/Bereich zu erhalten. Die zugehörige organisatorische Maßnahme ist die Vorgabe und Regulierung der Schlüsselvergabe und der Zutrittsberechtigung.

Da es viele Faktoren zu berücksichtigen gilt, gibt es nicht die EINE Liste der TOM, welche für alle passt.

Betreffende Artikel der DSGVO und Erwägungsgründe

  • Art. 24 DSGVO – Verantwortung des für die Verarbeitung Verantwortlichen
  • Art. 32 DSGVO – Sicherheit der Verarbeitung
  • Erwägungsgrund 78

In der Sprache des Datenschutzes und der Datensicherheit geht es hier um die Gewährleistung folgender Schutzziele:

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit von personenbezogenen Daten
  • Belastbarkeit von datenverarbeitenden Systemen und Anwendungen

Einen hundertprozentigen Schutz zu erreichen ist schwierig und oftmals gar nicht möglich. Dennoch können die getroffenen Maßnahmen den Schutz der Verarbeitung und der Daten erheblich unterstützen.

Was ist zu tun?

Legen Sie Ihre technischen und organisatorischen Maßnahmen (TOM) fest, um die Schutzziele aus der DSGVO zu gewährleisten. Das hört sich einfacher an, als es ist, denn schließlich gibt es keine konkreten Vorgaben im Gesetz. Die Maßnahmen sind auch nicht immer eindeutig zwischen den einzelnen Schutzzielen abzugrenzen. Gute Nachricht: Einmal festgelegt, ändern sich die TOM in der Regel nicht allzu häufig.

Nachfolgend geben wir Ihnen Anregungen dazu, welche Maßnahmen zu den Schutzzielen passen. In einem Praxisbeispiel haben wir ausgeführt, wie die Maßnahmen in einem Dokument beschrieben werden könnten. Dabei ist zu beachten, dass Sie die Maßnahmen auch planen und deren Umsetzung und Wirksamkeit dokumentieren müssen. Das findet üblicherweise in einer gesonderten internen Dokumentation statt.

Allgemeine organisatorische Maßnahmen

Legen Sie die organisatorischen Maßnahmen fest, die Sie umsetzen wollen oder bereits umgesetzt haben. Bevor überhaupt eine Verarbeitung stattfindet, kann schon einiges dafür getan werden, dass diese auch rechtskonform und sicher durchgeführt werden kann.

Ob die beschlossenen Maßnahmen tatsächlich umgesetzt werden und wirksam sind, sollten Sie im Rahmen einer regelmäßigen Kontrolle prüfen. Das muss nicht jeden Tag sein. Eine jährliche und somit regelmäßige Überprüfung der TOM reicht als Standard aus. Darüberhinaus sollte eine Prüfung auch dann stattfinden, wenn sich im Verarbeitungsprozess eine Änderung ergibt oder wenn neue IT-Anwendungen umgesetzt werden sollen.

Beispiele für organisatorische Maßnahmen

Dazu gehören zum Beispiel:

  • eine Ansprechperson für Datenschutzangelegenheiten,
  • eine Ansprechperson für IT-Angelegenheiten,
  • Datenschutz-Schulungen und Security-Awareness-Schulungen
  • Verpflichtung der Beschäftigten auf Vertraulichkeit bei der Verarbeitung von personenbezogenen Daten,
  • Anweisungen zum Datenschutz an Beschäftigte,
  • Anweisungen zum Arbeiten im Homeoffice,
  • Vorhalten einer Passwort-Richtlinie,
  • sorgfältige Prüfung von Auftragsverarbeitern,
  • Vorgaben zur Umsetzung von datenschutzfreundlichen Prinzipien:
  • So wenig Daten wie möglich, aber so viel wie nötig erheben und weiterverarbeiten
  • So wenig Daten wie möglich, aber so viel nötig zugänglich machen
  • So schnell wie möglich Daten pseudonymisieren.

Maßnahmen zur Vertraulichkeit

Sorgen Sie dafür, dass nicht alle an die Daten herankommen

Hiermit sind allgemeine Zutritts-, Zugangs- und Zugriffsbeschränkungen gemeint. Sorgen Sie zuerst dafür, dass unbefugte Personen nicht einfach in Ihre Büroräume, an offene Aktenschränke, an den Arbeitscomputer, an die IT-Technik oder auch an ein Aktenarchiv herankommen.

Wenn dann doch jemand in Ihren Arbeitsräumen vor den Akten, an Ihrem Arbeitsplatz oder an IT-Komponenten steht, sorgen Sie dafür, dass ein unbefugter Zugriff auf die Daten verhindert oder deutlich erschwert wird. Alle Maßnahmen in diesem Bereich dienen der Gewährleistung der Vertraulichkeit.

Beispiele für einen möglichen Schutz im Themenbereich Vertraulichkeit sind z. B. folgende Maßnahmen (nicht abschließend):

Mögliche technische/physische Maßnahmen

  • Schlüssel, Sicherheitsschlösser
  • Abschließbare Türen und Schränke
  • Sichtschutz an Fenstern und Monitoren
  • Kopiergerät/Drucker/Fax in geschützten Bereichen aufstellen
  • Diskretionsbereiche schaffen
  • Alarmanlage
  • Videokamera
  • Passwortschutz
  • 2-Faktor-Authentifizierung
  • Differenzierung zwischen Nutzungskonten für administrative und verwalterische Tätigkeiten

Mögliche zusätzliche organisatorische Maßnahmen (nicht abschließend)

  • Berechtigungsvorgaben: Wer benötigt welche Schlüssel, wer hat Zugang zu PCs und IT-Systemen, wer darf welche Softwareanwendungen nutzen und auf Videoaufzeichnungen oder IT-Protokolldaten zugreifen
  • Entziehung von Zugriffsberechtigungen bei Ausscheiden eines Beschäftigten
  • Regelmäßige Kontrolle der Zugriffsberechtigungen
  • Möglichkeiten zur Kontrolle der Zugriffe bei Verdachtsfällen schaffen
  • Ausreichende Lizenzen bei relevanten Softwareanwendungen, so dass sich nicht mehrere Personen eine Lizenz und somit einen Zugriff und das Passwort teilen müssen

Maßnahmen zur Integrität

Stets korrekt und richtig sollen die Daten sein

Die personenbezogenen Daten sollen in erster Linie richtig sein. Das heißt, sie dürfen sich nicht unbefugt oder versehentlich verändern oder fälschen lassen – auch nicht, während sie physisch weitergegeben oder übermittelt werden. Dies betrifft u. a. die Manipulation von unverschlüsselten E-Mails. Gemeint ist vor allem, dass technische Maßnahmen die Integrität der Daten sicherstellen.

Dies gilt auch, wenn zum Beispiel jemand auf der Website ein Formular ausfüllt. Hier spielt es eine große Rolle, die Integrität der Daten im Übertragungsprozess zu gewährleisten.

Ebenfalls sehr wichtig ist, dass es zumindest erkenntlich und nachvollziehbar ist, sollte jemand Daten unbefugt oder versehentlich verändert haben.

Bei wichtigen Angelegenheiten sollten Sie sicherstellen, dass die Person, mit der Sie kommunizieren, auch diejenige ist, für die sie sich ausgibt. Dies betrifft üblicherweise, dass man die Identität eines Absenders oder einer Kommunikationspartnerin sicherstellt.

Beispiele für einen möglichen Schutz im Themenbereich Integrität sind folgende Maßnahmen:

Mögliche technische/physische Maßnahmen (nicht abschließend)

  • Sichere Übertragungsstandards bei Formularen auf Websites
  • Sicherheitszertifikate für Websites
  • Double-Opt-in-Verfahren bei Newslettern
  • Veränderungssperre in Datenbanken und Dokumenten

Mögliche zusätzliche organisatorische Maßnahmen (nicht abschließend)

  • Einkauf von neuer Software, welche die Anforderungen der DSGVO berücksichtigt (u. a. Umsetzung von Lösch- und Sperrvermerken, Berechtigungsvergaben, Protokollierungsmöglichkeiten, differenziertes Lizenzmodell)
  • Schulungen zum richtigen Umgang mit neuer Software und den Gefahren von Datenmanipulationen
  • Differenziertes Berechtigungskonzept innerhalb einer Softwareanwendung
  • Einsatz eines Hash-Verfahrens, um Manipulation an Daten zu erkennen

Maßnahmen zur Verfügbarkeit

Sind die Daten dann doch einmal weg…

Nun ist es passiert. Ein Zwischenfall führt dazu, dass Sie nicht mehr an die Daten herankommen. Besonders wenn es sich um digitale Daten handelt, sollten diese möglichst schnell wiederhergestellt werden können.

Mögliche technische/physische Maßnahmen

  • Datenspeicherungen (Back-ups) durchführen
  • Daten an mehreren Orten speichern
  • Kontrollieren, ob die Back-ups auch alle notwendigen Daten richtig enthalten
  • Testen lassen, ob eine Wiederherstellung von digitalen Daten im Zweifelsfall klappen würde

Mögliche zusätzliche organisatorische Maßnahmen

  • Konzept und Vorgabe zur Speicherung von Daten
  • Back-up-Konzept für die Datensicherung
  • Erstellen eines Notfallplans für den Ernstfall
  • Abschluss einer Cyberversicherung
  • fachkundige Hilfe über abgeschlossene Cyber-Versicherung

Maßnahmen zur Belastbarkeit

Widerstandsfähig und belastbar soll es sein

IT-Systeme sollen verlässlich, stabil, sicher und oftmals ununterbrochen arbeiten. Doch wie der Mensch sind auch IT-Systeme hohen Belastungen, also Stress, ausgesetzt.

Es ist dafür Sorge zu tragen, dass die IT-Systeme gleichmäßig stabil und auch TROTZ erhöhter Belastungen oder Störungen sicher weiterfunktionieren.

Mögliche technische/physische Maßnahmen

  • Server in sicheren, geschützten, trockenen, klimatisierten Umgebungen aufstellen
  • Belastungstest, Stresstest (Penetrationstest/Pentest) durchführen
  • Erkennen von Systembelastungen
  • Ausreichend Speicher und Verarbeitungskapazitäten vorhalten
  • Regelmäßiges Patchen und Updaten der IT-Systeme und Software
  • Einsatz von Hard- und Software, die dem aktuellen Stand der Technik entspricht

Mögliche zusätzliche organisatorische Maßnahmen

  • Bei Planungen Zeiten mit hohen Belastungen berücksichtigen
  • Einkauf von Hard- und Software mit laufendem Support für Patching und IT-Helpdesk

Kümmern Sie sich um die wichtigen Sachen zuerst

Ermitteln Sie die Verarbeitungen, die ein hohes Risiko für eine betroffene Person darstellen können, falls diese Daten gestohlen, offengelegt oder manipuliert werden. Um angemessene Maßnahmen definieren zu können, sollten Sie das Risiko und damit Ihren Handlungsbedarf kennen.

Legen Sie Maßnahmen fest und dokumentieren Sie diese

Die technischen und organisatorischen Maßnahmen (auch TOM genannt) zu dokumentieren, ist ein wichtiger Schritt bei der Erfüllung von Nachweispflichten. Mit niedergeschriebenen TOM können Aufsichtsbehörden und Auftraggeber besser nachvollziehen, ob und wie Sie Maßnahmen getroffen haben, und diese auch einfacher überprüfen.

Vermeiden Sie die Erstellung oder das reine Kopieren einer Liste von TOM, welche nicht auf Ihr Unternehmen zutreffen. Besser ist es, die technischen und organisatorischen Maßnahmen für jede der Verarbeitungstätigkeiten zu notieren. Die DSGVO sieht dies im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten (VVT) vor: „Wenn möglich, [enthält das VVT] eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen […]“.