TOMs

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen


Technische und organisatorische Maßnahmen (TOMs) sind ein elementarer Bestandteil, um den Schutz personenbezogener Daten gemäß der Datenschutz-Grundverordnung (DSGVO) sicherzustellen. Diese Maßnahmen helfen, die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu gewährleisten und Risiken durch Datenverlust, -diebstahl oder -missbrauch zu minimieren. Der folgende Artikel gibt einen Überblick über die wichtigsten Aspekte und Beispiele für TOMs.

Einführung

Die Implementierung von technischen und organisatorischen Maßnahmen ist unerlässlich, um den Schutz personenbezogener Daten zu gewährleisten und den Anforderungen der DSGVO und des BDSG gerecht zu werden. Durch eine Kombination aus technischen Sicherheitsvorkehrungen und organisatorischen Maßnahmen können Unternehmen die Sicherheit ihrer Datenverarbeitung verbessern und Risiken effektiv managen. Regelmäßige Schulungen, klare Richtlinien und kontinuierliche Überwachung sind dabei ebenso wichtig wie der Einsatz moderner Technologien zur Absicherung der IT-Infrastruktur.

Definition und Bedeutung

TOMs umfassen alle technischen und organisatorischen Vorkehrungen, die erforderlich sind, um personenbezogene Daten vor unbefugtem Zugriff und Missbrauch zu schützen. Sie dienen dazu, die Sicherheit der Verarbeitung zu gewährleisten und den Anforderungen der DSGVO gerecht zu werden.

Die DSGVO bleibt bei der konkreten Definition der TOMs für den Datenschutz eher vage. Das Bundesdatenschutzgesetz (BDSG). § 9 BDSG (alte Fassung) definierte technisch-organisatorische Maßnahmen und benannte konkret acht Bereiche, diese wurden hier um weitere Anforderungen ergänzt, die sich implizit aus der DSGVO ergeben:

Technische Maßnahmen

  • DatenverschlüsselungSchutz personenbezogener Daten durch Verschlüsselung, um sicherzustellen, dass Unbefugte keinen Zugang zu den Daten erhalten.
  • EingabekontrolleMaßnahmen zur Nachvollziehbarkeit, wer welche Daten wann in ein System eingegeben, geändert oder gelöscht hat.
  • ProtokollierungAufzeichnung von Zugriffen und Änderungen an personenbezogenen Daten, um eine Überwachung und Überprüfung der Datenverarbeitung zu ermöglichen.
  • PseudonymisierungVerarbeitung personenbezogener Daten in einer Weise, die ihre Zuordnung zu einer spezifischen Person erschwert, es sei denn, es werden zusätzliche Informationen hinzugezogen.
  • TransportkontrolleSicherstellung, dass personenbezogene Daten während ihrer Übertragung (z.B. über Netzwerke) vor unbefugtem Zugriff geschützt sind.
  • VerfügbarkeitskontrolleMaßnahmen, die gewährleisten, dass personenbezogene Daten stets verfügbar und zugänglich sind, besonders im Falle eines technischen Ausfalls.
  • WiederherstellbarkeitVerfahren zur Wiederherstellung von Daten nach einem Verlust oder einer Beschädigung, um den normalen Betrieb schnell wiederaufzunehmen.
  • ZugangskontrolleMechanismen, die nur autorisierten Benutzenden den Zugang zu IT-Systemen erlauben, in denen personenbezogene Daten verarbeitet werden.
  • ZugriffskontrolleMaßnahmen zur Kontrolle und Beschränkung, welche Benutzenden auf welche Daten zugreifen oder diese ändern dürfen.
  • ZutrittskontrollePhysische Sicherheitsmaßnahmen, um den Zutritt zu Räumlichkeiten, in denen personenbezogene Daten verarbeitet werden, nur befugten Personen zu gestatten.

Organisatorische Maßnahmen

  • AuftragskontrolleSicherstellung, dass die Verarbeitung personenbezogener Daten im Auftrag nur gemäß den Weisungen des Auftraggebers/der Auftraggeberin erfolgt.
  • Datenschutz-FolgenabschätzungSystematische Bewertung der Risiken und Folgen einer geplanten Verarbeitung für den Schutz personenbezogener Daten (Riskoanalyse der Datenverarbeitung).
  • Schulung und SensibilisierungRegelmäßige Schulungen und Sensibilisierung der Mitarbeitenden in Bezug auf Datenschutz und Informationssicherheit.
  • TrennungsgebotSicherstellung, dass personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden, getrennt verarbeitet werden, um Vermischungen zu vermeiden.
  • VorfallmanagementProzesse und Maßnahmen zur Erkennung, Meldung und Bewältigung von Sicherheitsvorfällen, die den Schutz personenbezogener Daten beeinträchtigen könnten (betrifft auch Meldepflichten).
  • WeitergabekontrolleSicherstellung, dass personenbezogene Daten bei ihrer Weitergabe, insbesondere an Dritte, vor unbefugtem Zugriff und Veränderungen geschützt sind und nur an befugte Empfäger weiter gegeben werden können.

Verschlüsselung:

  • Datenverschlüsselung: Schutz personenbezogener Daten durch Verschlüsselung während der Übertragung und Speicherung.
  • Ende-zu-Ende-Verschlüsselung: Besonders wichtig für Kommunikationskanäle wie E-Mail und Messaging-Dienste.

Zugriffskontrollen:

  • Physische Zugangskontrollen: Sicherstellung, dass nur autorisierte Personen Zugang zu Serverräumen und IT-Infrastruktur haben.
  • Logische Zugangskontrollen: Implementierung von Passwortschutz, Zwei-Faktor-Authentifizierung und rollenbasierten Zugriffskontrollen.

Netzwerksicherheit:

  • Firewalls und Intrusion Detection Systems (IDS): Schutz des Netzwerks vor unbefugtem Zugriff und Angriffen.
  • Virtuelle private Netzwerke (VPNs): Sicherstellung einer sicheren Verbindung für Remote-Zugriffe.

Backup und Wiederherstellung:

  • Regelmäßige Backups: Erstellung regelmäßiger Backups zur Sicherung der Daten.
  • Disaster Recovery-Pläne: Entwicklung von Plänen zur schnellen Wiederherstellung der Daten im Falle eines Datenverlusts.

Antivirus- und Anti-Malware-Software:

  • Regelmäßige Aktualisierung: Sicherstellung, dass alle Systeme regelmäßig auf dem neuesten Stand gehalten werden, um gegen aktuelle Bedrohungen geschützt zu sein.
  • Schutz vor Schadsoftware: Einsatz von Software zur Erkennung und Abwehr von Viren und Malware.

Organisatorische Maßnahmen

Datenschutzrichtlinien und -verfahren:

  • Erstellung und Implementierung: Entwicklung klarer Datenschutzrichtlinien und -verfahren, die den gesetzlichen Anforderungen entsprechen.
  • Regelmäßige Überprüfung: Regelmäßige Überprüfung und Aktualisierung der Richtlinien, um sicherzustellen, dass sie den aktuellen Anforderungen und Bedrohungen entsprechen.

Schulung und Sensibilisierung der Mitarbeitenden:

  • Regelmäßige Trainings: Durchführung von Schulungen zur Sensibilisierung der Mitarbeitenden für Datenschutz und IT-Sicherheit.
  • Awareness-Programme: Förderung eines Bewusstseins für Datenschutzrisiken und -praktiken im Unternehmen.

Vertragsmanagement mit Drittanbietern:

  • Vertragsgestaltung: Sicherstellung, dass Verträge mit Drittanbietern klare Datenschutzbestimmungen und Anforderungen enthalten.
  • Überwachung und Kontrolle: Regelmäßige Überprüfung der Einhaltung der Datenschutzanforderungen durch Drittanbieter.

Datenschutz-Folgenabschätzungen (DSFA):

  • Risikobewertung: Durchführung von Datenschutz-Folgenabschätzungen für Prozesse und Systeme, die potenziell hohe Risiken für die Rechte und Freiheiten der betroffenen Personen darstellen.
  • Maßnahmen zur Risikominderung: Entwicklung und Implementierung von Maßnahmen zur Minimierung identifizierter Risiken.

Vorfallmanagement:

  • Erstellung eines Notfallplans: Entwicklung von Plänen und Prozessen zur Bewältigung von Datenschutzvorfällen.

Mapping mit Sicherheitsmaßnamen der Informationssicherheit

Die technische und organisatorische Maßnahmen (TOMs) im Datenschutz lassen sich direkt auf allgemeine Sicherheitsmaßnahmen der Informationssicherheit abbilden. Beide Bereiche verfolgen das Ziel, Daten vor unbefugtem Zugriff, Verlust und Missbrauch zu schützen. Die folgenden beiden Artikel erläutert, wie TOMs mit spezifischen Sicherheitsmaßnahmen der Informationssicherheit im BSI IT-Grundschutz und in der ISO/IEC 27001 mappen und welche Gemeinsamkeiten und Unterschiede bestehen.

TOMs im Grundschutz

TOMs in der ISO27001

Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=TOMs&oldid=1165