TOMs: Unterschied zwischen den Versionen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
KKeine Bearbeitungszusammenfassung
 
(6 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 7: Zeile 7:


=== Einführung ===
=== Einführung ===
Die Implementierung von technischen und organisatorischen Maßnahmen ist unerlässlich, um den Schutz personenbezogener Daten zu gewährleisten und den Anforderungen der DSGVO gerecht zu werden. Durch eine Kombination aus technischen Sicherheitsvorkehrungen und organisatorischen Maßnahmen können Unternehmen die Sicherheit ihrer Datenverarbeitung verbessern und Risiken effektiv managen. Regelmäßige Schulungen, klare Richtlinien und kontinuierliche Überwachung sind dabei ebenso wichtig wie der Einsatz moderner Technologien zur Absicherung der IT-Infrastruktur.
Die technischen und organisatorischen Maßnahmen stammen aus § 9 BSDG (alte Fassung). Diesen Paragraphen gibt es so nicht mehr. Um den Schutz personenbezogener Daten zu gewährleisten und den Anforderungen der DSGVO und des BDSG gerecht zu werden, sind in Art. 32 DSGVO "Sicherheit der Verarbeitung" nur noch vage Anforderungen definiert, der Begriff "TOM" wird aber weiterhin häufig verwendet. Mit einer Kombination aus technischen Sicherheitsvorkehrungen und organisatorischen Maßnahmen können Unternehmen die Sicherheit ihrer Datenverarbeitung verbessern und Risiken effektiv managen. Regelmäßige Schulungen, klare Richtlinien und eine kontinuierliche Überwachung sind dabei ebenso wichtig wie der Einsatz moderner Technologien zur Absicherung der IT-Infrastruktur.


=== Definition und Bedeutung ===
=== Definition und Bedeutung ===
TOMs umfassen alle technischen und organisatorischen Vorkehrungen, die erforderlich sind, um personenbezogene Daten vor unbefugtem Zugriff und Missbrauch zu schützen. Sie dienen dazu, die Sicherheit der Verarbeitung zu gewährleisten und den Anforderungen der DSGVO gerecht zu werden.
TOMs umfassen alle technischen und organisatorischen Maßnahmen, die erforderlich sind, um personenbezogene Daten vor unberechtigtem Zugriff und Missbrauch zu schützen. Sie dienen dazu, die Sicherheit der Verarbeitung zu gewährleisten und die Anforderungen der DSGVO zu erfüllen.


==== Technische Maßnahmen ====
Die DSGVO bleibt bei der konkreten Definition von TOMs für den Datenschutz eher vage. Bundesdatenschutzgesetz (BDSG). § 9 BDSG (alte Fassung) definierte technisch-organisatorische Maßnahmen und benannte konkret acht Bereiche, die hier übernommen und um weitere Anforderungen, die sich implizit aus der DSGVO ergeben, ergänzt wurden. Bei diesen TOM handelt es sich jedoch weniger um eine gesetzliche Vorgabe als vielmehr um eine "Best Practice":
'''Verschlüsselung''':
* '''Datenverschlüsselung''': Schutz personenbezogener Daten durch Verschlüsselung während der Übertragung und Speicherung.
* '''Ende-zu-Ende-Verschlüsselung''': Besonders wichtig für Kommunikationskanäle wie E-Mail und Messaging-Dienste.
'''Zugriffskontrollen''':
* '''Physische Zugangskontrollen''': Sicherstellung, dass nur autorisierte Personen Zugang zu Serverräumen und IT-Infrastruktur haben.
* '''Logische Zugangskontrollen''': Implementierung von Passwortschutz, Zwei-Faktor-Authentifizierung und rollenbasierten Zugriffskontrollen.
'''Netzwerksicherheit''':
* '''Firewalls und Intrusion Detection Systems (IDS)''': Schutz des Netzwerks vor unbefugtem Zugriff und Angriffen.
* '''Virtuelle private Netzwerke (VPNs)''': Sicherstellung einer sicheren Verbindung für Remote-Zugriffe.
'''Backup und Wiederherstellung''':
* '''Regelmäßige Backups''': Erstellung regelmäßiger Backups zur Sicherung der Daten.
* '''Disaster Recovery-Pläne''': Entwicklung von Plänen zur schnellen Wiederherstellung der Daten im Falle eines Datenverlusts.
'''Antivirus- und Anti-Malware-Software''':
* '''Regelmäßige Aktualisierung''': Sicherstellung, dass alle Systeme regelmäßig auf dem neuesten Stand gehalten werden, um gegen aktuelle Bedrohungen geschützt zu sein.
* '''Schutz vor Schadsoftware''': Einsatz von Software zur Erkennung und Abwehr von Viren und Malware.


==== Organisatorische Maßnahmen ====
=== Technische Maßnahmen ===
'''Datenschutzrichtlinien und -verfahren''':
 
* '''Erstellung und Implementierung''': Entwicklung klarer Datenschutzrichtlinien und -verfahren, die den gesetzlichen Anforderungen entsprechen.
* '''Datenverschlüsselung:''' Schutz personenbezogener Daten durch Verschlüsselung, um sicherzustellen, dass Unbefugte keinen Zugang zu den Daten erhalten.
* '''Regelmäßige Überprüfung''': Regelmäßige Überprüfung und Aktualisierung der Richtlinien, um sicherzustellen, dass sie den aktuellen Anforderungen und Bedrohungen entsprechen.
* '''Eingabekontrolle''': Maßnahmen zur Nachvollziehbarkeit, wer welche Daten wann in ein System eingegeben, geändert oder gelöscht hat.
'''Schulung und Sensibilisierung der Mitarbeitenden''':
* '''Protokollierung''': Aufzeichnung von Zugriffen und Änderungen an personenbezogenen Daten, um eine Überwachung und Überprüfung der Datenverarbeitung zu ermöglichen.
* '''Regelmäßige Trainings''': Durchführung von Schulungen zur Sensibilisierung der Mitarbeitenden für Datenschutz und IT-Sicherheit.
* '''Pseudonymisierung:''' Verarbeitung personenbezogener Daten in einer Weise, die ihre Zuordnung zu einer spezifischen Person erschwert, es sei denn, es werden zusätzliche Informationen hinzugezogen.
* '''Awareness-Programme''': Förderung eines Bewusstseins für Datenschutzrisiken und -praktiken im Unternehmen.
* '''Transportkontrolle''': Sicherstellung, dass personenbezogene Daten während ihrer Übertragung (z.B. über Netzwerke) vor unbefugtem Zugriff und Manipulation geschützt sind.
'''Vertragsmanagement mit Drittanbietern''':
* '''Verfügbarkeitskontrolle:''' Maßnahmen, die gewährleisten, dass personenbezogene Daten stets verfügbar und zugänglich sind, besonders im Falle eines technischen Ausfalls.
* '''Vertragsgestaltung''': Sicherstellung, dass Verträge mit Drittanbietern klare Datenschutzbestimmungen und Anforderungen enthalten.
* '''Wiederherstellbarkeit''': Verfahren zur Wiederherstellung von Daten nach einem Verlust oder einer Beschädigung, um den normalen Betrieb schnell wiederaufzunehmen.
* '''Überwachung und Kontrolle''': Regelmäßige Überprüfung der Einhaltung der Datenschutzanforderungen durch Drittanbieter.
* '''Zugangskontrolle''': Mechanismen, die nur autorisierten Benutzenden den Zugang zu IT-Systemen erlauben, in denen personenbezogene Daten verarbeitet werden.
'''Datenschutz-Folgenabschätzungen (DSFA)''':
* '''Zugriffskontrolle:''' Maßnahmen zur Kontrolle und Beschränkung, welche Benutzenden auf welche Daten zugreifen oder diese ändern dürfen.
* '''Risikobewertung''': Durchführung von Datenschutz-Folgenabschätzungen für Prozesse und Systeme, die potenziell hohe Risiken für die Rechte und Freiheiten der betroffenen Personen darstellen.
* '''Zutrittskontrolle''': Physische Sicherheitsmaßnahmen, um den Zutritt zu Räumlichkeiten, in denen personenbezogene Daten verarbeitet werden, nur befugten Personen zu gestatten.
* '''Maßnahmen zur Risikominderung''': Entwicklung und Implementierung von Maßnahmen zur Minimierung identifizierter Risiken.
 
'''Vorfallmanagement''':
=== Organisatorische Maßnahmen ===
* '''Erstellung eines Notfallplans''': Entwicklung von Plänen und Prozessen zur Bewältigung von Datenschutzvorfällen.
 
* '''Meldung und Dokumentation''': Sicherstellung der ordnungsgemäßen Meldung von Datenschutzverletzungen an die zuständigen Aufsichtsbehörden und betroffenen Personen.
* '''Auftragskontrolle:''' Sicherstellung, dass die Verarbeitung personenbezogener Daten im Auftrag nur gemäß den Weisungen des Auftraggebers/der Auftraggeberin erfolgt.
* '''Datenschutz-Folgenabschätzung:''' Systematische Bewertung der Risiken und Folgen einer geplanten Verarbeitung für den Schutz personenbezogener Daten (Risikoanalyse der Datenverarbeitung).
* '''Schulung und Sensibilisierung:''' Regelmäßige Schulungen und Sensibilisierung der Mitarbeitenden in Bezug auf Datenschutz und Informationssicherheit.
* '''Trennungsgebot''': Sicherstellung, dass personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden, getrennt verarbeitet werden, um Vermischungen zu vermeiden.
* '''Zweckbindung:''' Sicherstellung, dass personenbezogene Daten nur für die festgelegten, rechtmäßigen Zwecke erhoben und verarbeitet werden und nicht für andere, unvereinbare Zwecke verwendet werden.
* '''Vorfallmanagement:''' Prozesse und Maßnahmen zur Erkennung, Meldung und Bewältigung von Sicherheitsvorfällen, die den Schutz personenbezogener Daten beeinträchtigen könnten (betrifft auch Meldepflichten).
* '''Weitergabekontrolle:''' Sicherstellung, dass personenbezogene Daten bei ihrer Weitergabe, insbesondere an Dritte, vor unbefugtem Zugriff und Veränderungen geschützt sind und nur an befugte Empfänger weiter gegeben werden.


=== Mapping mit Sicherheitsmaßnamen der Informationssicherheit ===
=== Mapping mit Sicherheitsmaßnamen der Informationssicherheit ===

Aktuelle Version vom 11. August 2024, 07:58 Uhr


Technische und organisatorische Maßnahmen (TOMs) sind ein elementarer Bestandteil, um den Schutz personenbezogener Daten gemäß der Datenschutz-Grundverordnung (DSGVO) sicherzustellen. Diese Maßnahmen helfen, die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu gewährleisten und Risiken durch Datenverlust, -diebstahl oder -missbrauch zu minimieren. Der folgende Artikel gibt einen Überblick über die wichtigsten Aspekte und Beispiele für TOMs.

Einführung

Die technischen und organisatorischen Maßnahmen stammen aus § 9 BSDG (alte Fassung). Diesen Paragraphen gibt es so nicht mehr. Um den Schutz personenbezogener Daten zu gewährleisten und den Anforderungen der DSGVO und des BDSG gerecht zu werden, sind in Art. 32 DSGVO "Sicherheit der Verarbeitung" nur noch vage Anforderungen definiert, der Begriff "TOM" wird aber weiterhin häufig verwendet. Mit einer Kombination aus technischen Sicherheitsvorkehrungen und organisatorischen Maßnahmen können Unternehmen die Sicherheit ihrer Datenverarbeitung verbessern und Risiken effektiv managen. Regelmäßige Schulungen, klare Richtlinien und eine kontinuierliche Überwachung sind dabei ebenso wichtig wie der Einsatz moderner Technologien zur Absicherung der IT-Infrastruktur.

Definition und Bedeutung

TOMs umfassen alle technischen und organisatorischen Maßnahmen, die erforderlich sind, um personenbezogene Daten vor unberechtigtem Zugriff und Missbrauch zu schützen. Sie dienen dazu, die Sicherheit der Verarbeitung zu gewährleisten und die Anforderungen der DSGVO zu erfüllen.

Die DSGVO bleibt bei der konkreten Definition von TOMs für den Datenschutz eher vage. Bundesdatenschutzgesetz (BDSG). § 9 BDSG (alte Fassung) definierte technisch-organisatorische Maßnahmen und benannte konkret acht Bereiche, die hier übernommen und um weitere Anforderungen, die sich implizit aus der DSGVO ergeben, ergänzt wurden. Bei diesen TOM handelt es sich jedoch weniger um eine gesetzliche Vorgabe als vielmehr um eine "Best Practice":

Technische Maßnahmen

  • Datenverschlüsselung: Schutz personenbezogener Daten durch Verschlüsselung, um sicherzustellen, dass Unbefugte keinen Zugang zu den Daten erhalten.
  • Eingabekontrolle: Maßnahmen zur Nachvollziehbarkeit, wer welche Daten wann in ein System eingegeben, geändert oder gelöscht hat.
  • Protokollierung: Aufzeichnung von Zugriffen und Änderungen an personenbezogenen Daten, um eine Überwachung und Überprüfung der Datenverarbeitung zu ermöglichen.
  • Pseudonymisierung: Verarbeitung personenbezogener Daten in einer Weise, die ihre Zuordnung zu einer spezifischen Person erschwert, es sei denn, es werden zusätzliche Informationen hinzugezogen.
  • Transportkontrolle: Sicherstellung, dass personenbezogene Daten während ihrer Übertragung (z.B. über Netzwerke) vor unbefugtem Zugriff und Manipulation geschützt sind.
  • Verfügbarkeitskontrolle: Maßnahmen, die gewährleisten, dass personenbezogene Daten stets verfügbar und zugänglich sind, besonders im Falle eines technischen Ausfalls.
  • Wiederherstellbarkeit: Verfahren zur Wiederherstellung von Daten nach einem Verlust oder einer Beschädigung, um den normalen Betrieb schnell wiederaufzunehmen.
  • Zugangskontrolle: Mechanismen, die nur autorisierten Benutzenden den Zugang zu IT-Systemen erlauben, in denen personenbezogene Daten verarbeitet werden.
  • Zugriffskontrolle: Maßnahmen zur Kontrolle und Beschränkung, welche Benutzenden auf welche Daten zugreifen oder diese ändern dürfen.
  • Zutrittskontrolle: Physische Sicherheitsmaßnahmen, um den Zutritt zu Räumlichkeiten, in denen personenbezogene Daten verarbeitet werden, nur befugten Personen zu gestatten.

Organisatorische Maßnahmen

  • Auftragskontrolle: Sicherstellung, dass die Verarbeitung personenbezogener Daten im Auftrag nur gemäß den Weisungen des Auftraggebers/der Auftraggeberin erfolgt.
  • Datenschutz-Folgenabschätzung: Systematische Bewertung der Risiken und Folgen einer geplanten Verarbeitung für den Schutz personenbezogener Daten (Risikoanalyse der Datenverarbeitung).
  • Schulung und Sensibilisierung: Regelmäßige Schulungen und Sensibilisierung der Mitarbeitenden in Bezug auf Datenschutz und Informationssicherheit.
  • Trennungsgebot: Sicherstellung, dass personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden, getrennt verarbeitet werden, um Vermischungen zu vermeiden.
  • Zweckbindung: Sicherstellung, dass personenbezogene Daten nur für die festgelegten, rechtmäßigen Zwecke erhoben und verarbeitet werden und nicht für andere, unvereinbare Zwecke verwendet werden.
  • Vorfallmanagement: Prozesse und Maßnahmen zur Erkennung, Meldung und Bewältigung von Sicherheitsvorfällen, die den Schutz personenbezogener Daten beeinträchtigen könnten (betrifft auch Meldepflichten).
  • Weitergabekontrolle: Sicherstellung, dass personenbezogene Daten bei ihrer Weitergabe, insbesondere an Dritte, vor unbefugtem Zugriff und Veränderungen geschützt sind und nur an befugte Empfänger weiter gegeben werden.

Mapping mit Sicherheitsmaßnamen der Informationssicherheit

Die technische und organisatorische Maßnahmen (TOMs) im Datenschutz lassen sich direkt auf allgemeine Sicherheitsmaßnahmen der Informationssicherheit abbilden. Beide Bereiche verfolgen das Ziel, Daten vor unbefugtem Zugriff, Verlust und Missbrauch zu schützen. Die folgenden beiden Artikel erläutert, wie TOMs mit spezifischen Sicherheitsmaßnahmen der Informationssicherheit im BSI IT-Grundschutz und in der ISO/IEC 27001 mappen und welche Gemeinsamkeiten und Unterschiede bestehen.

TOMs im Grundschutz

TOMs in der ISO27001