CRM

TOM – Kontrollen über Kontrollen

Thiemo Sammern14.05.2018
DSGVO: TOM – Kontrollen über Kontrollen

An vielen Stellen des Gesetzestextes der Datenschutz-Grundverordnung (DSGVO), aber auch in der Sekundärliteratur, stößt man auf den Begriff der „technisch-organisatorischen Maßnahmen“, was auch oft mit „TOM“ abgekürzt wird.

Wenn man die wichtigsten Ziele der DSGVO nennen will so sind die wahrscheinlich die Folgenden:

  1. Nur berechtigte Personen sollen Daten verarbeiten können.
  2. Die betroffenen Personen sollen immer informiert sein, wer was mit welchen Daten anstellt und sie sollen ihre diesbezüglichen Rechte in Anspruch nehmen können.

Der erste Punkt dieser Ziele bedeutet also, dass unberechtigte Personen, Daten nicht verarbeiten können sollen. Das betrifft sowohl unberechtigte Personen innerhalb der Organisation (bspw. sollte ein Mitarbeiter aus der Marketingabteilung nicht die Daten der Personalabteilung sehen können), als auch unberechtigte Personen von außerhalb der Organisation (wie beispielsweise der Hacker, der gerade durch Ausnützen einer Sicherheitslücke den PC übernehmen möchte).

Unter „Verarbeitung“ ist hier die sehr weit gehende Definition aus Art. 4 der DSGVO gemeint:

„Verarbeitung“: jeden, mit oder ohne Hilfe automatisierter Verfahren, ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

Also: so ziemlich alles, was man sich mit Daten vorstellen kann, ist eine Verarbeitung.

Um diese unberechtigte Verarbeitung möglichst auszuschließen, müssen Maßnahmen gesetzt werden. Manche davon sind technisch (wie bspw. der Einsatz eines Virenscanners), andere organisatorisch (wie Richtlinien zur Übermittlung von Daten an externe Partner).

Da diese TOM ein wichtiges Element in Bezug auf den Schutz der personenbezogenen Daten darstellen, müssen Sie auch im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) angeführt werden.

Weiteres ist zu beachten, dass bei Verarbeitungen, die aufgrund der Art, des Zwecks, des Umfangs oder der verwendeten Technologien ein großes Risiko für die betroffenen Personen bedeuten, eine Datenschutzfolgeabschätzung nach Art. 35 DSGVO durchgeführt werden muss, bei der die im Unternehmen vorhandenen TOM mit dem Risiko in Einklang gebracht werden müssen.

In vielen Unternehmen gibt es eine ganze Reihe von TOM, die bereits seit langer Zeit eingesetzt werden. Für die Dokumentation und die Rechenschaftspflicht der DSGVO ist es aber nützlich, diese TOM strukturiert zu erfassen. Dabei hat es sich bewährt, „Kontrollen“ zu definieren. Die DSGVO gibt nicht vor, welche TOM eingesetzt werden. Sie sollen aber dem „Stand der Technik“ und dem zu erwartenden Risiko entsprechen. Daher wird eine Großbank oder ein Krankenhaus auch andere TOM im Einsatz haben, als ein kleines KMU mit B2B-Fokus. Die Bezeichnungen der einzelnen Kontrollen stammen ursprünglich aus einer Anlage zum alten Bundesdatenschutzgesetz in Deutschland, sind jedoch weiterhin aktuell:

Organisationskontrolle

Ziel der Organisationskontrolle ist es, die innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Gemeint ist damit, dass sich der Datenschutz nicht an die Organisation, sondern die Organisation an den Datenschutz anpassen sollte.

Beispiele: Bestellung eines Datenschutzbeauftragten, IT-Sicherheitsrichtlinien, Risikoanalysen, Beachtung des Prinzips „Privacy by design“, Beschaffungsrichtlinien

Zutrittskontrolle

Maßnahmen der Zutrittskontrolle dienen dazu, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

Beispiele: Alarmanlagen, Schließsysteme, Schlüsselregelungen, Besucherregelungen, Bewachung, …

Zugangskontrolle

Ziel der Zugangskontrolle ist es zu verhindern, dass Unbefugte Zugang zu solchen Datenverarbeitungsanlagen (auch PC und mobile Rechner) haben, mit denen personenbezogene Daten verarbeitet werden. Unter Zugang versteht man dabei, dass die Person Daten einsehen oder auf das System einwirken kann.

Beispiele: Passwort-Richtlinien, Verschlüsseln von mobilen Datenträgern, Software-Updates (damit Sicherheitslücken nicht ausgenutzt werden können), Firewalls,…

Zugriffskontrolle

Die Zugriffskontrolle soll gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Beispiele: Berechtigungskonzepte, Verwendung von Datenaustausch-Plattformen, Kopiereinschränkungen, Verschlüsselungsrichtlinien,…

Weitergabekontrolle

Die Weitergabekontrolle dient der Datensicherheit, wenn personenbezogene Daten z.B. an Auftragsverarbeiter weitergegeben werden.

Beispiele: Sorgfältige Auswahl von Auftragsverarbeitern, Verwendung sicherer Übertragungstechnologien, …

Eingabekontrolle

Innerhalb der Eingabekontrolle soll die nachträgliche Überprüfbarkeit und Feststellung gewährleistet werden, ob und von wem personenbezogene Daten in Datenverarbeitungssystemen eingegeben, verändert oder entfernt worden sind.

Beispiele: auditierte Datenbankfelder, Protokollierung von Administrationstätigkeiten,…

Auftragskontrolle

Maßnahmen, die geeignet sind, „zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können"

Beispiele: Definition von Datenübergabe, Verarbeitung, Rückgabe bei Auftragsverarbeitungen

Verfügbarkeitskontrolle

Personenbezogene Daten sind vor Verlust und zufälliger Zerstörung zu schützen.

Beispiele: Brandschutz-Maßnahmen, Backups, Datensicherungskonzepte, USV, IDS/IPS, System-Monitoring

Trennungskontrolle

Daten, die zu unterschiedlichen Zwecken erhoben wurden, müssen getrennt verarbeitet werden. Auch wenn es recht praktisch erscheint, die Daten aus verschiedenen Quellen einfach zusammenzuführen, ist dies nicht zulässig. Vielmehr muss durch geeignete Maßnahmen verhindert werden, dass die Daten einfach gemischt werden können.

Beispiele: Mandantenfähigkeit, Rollenkonzepte in Anwendungen, Trennung von Systemen für Entwicklung / Test / Integration / Produktion

Für Fragen rund um das Thema der Datenschutz-Grundverordnung, die Erfassung und Einstufung der in Ihrem Unternehmen vorhandenen TOM oder die Analyse Ihrer Datenprozesse (auch hinsichtlich der Erreichung einer hohen Datenqualität) steht Ihnen das Team von COSMO CONSULT und data.mill gerne zur Verfügung.

Ist Ihr Unternehmen bereit für die DSGVO?

Details rund um das Thema DSGVO und Infos zu unseren DSGVO-Packages finden Sie auf der Website.

Jetzt informieren

Über den Gastautor: Thiemo Sammern

COSMO CONSULT Blogautor Thiemo Sammern
COSMO CONSULT Blogautor Thiemo Sammern

Arbeitet seit mehr als 25 Jahren im IT-Bereich, davon die meiste Zeit im Bereich von Datenverarbeitungslösungen für Rechtsberufe, Direkt-Marketing und CRM und beschäftigt sich seit vielen Jahren mit allen Aspekten des Datenschutzes. Er ist Co-Founder der data.mill GmbH aus Salzburg, die unter anderem Kunden wie die BMW Group, RICOH, Physiotherm oder Atomic berät und betreut.

Beitrag teilen