TOMs

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen


Technische und organisatorische Maßnahmen (TOMs) sind ein elementarer Bestandteil, um den Schutz personenbezogener Daten gemäß der Datenschutz-Grundverordnung (DSGVO) sicherzustellen. Diese Maßnahmen helfen, die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu gewährleisten und Risiken durch Datenverlust, -diebstahl oder -missbrauch zu minimieren. Der folgende Artikel gibt einen Überblick über die wichtigsten Aspekte und Beispiele für TOMs.

Einführung

Die Implementierung von technischen und organisatorischen Maßnahmen ist unerlässlich, um den Schutz personenbezogener Daten zu gewährleisten und den Anforderungen der DSGVO und des BDSG gerecht zu werden. Durch eine Kombination aus technischen Sicherheitsvorkehrungen und organisatorischen Maßnahmen können Unternehmen die Sicherheit ihrer Datenverarbeitung verbessern und Risiken effektiv managen. Regelmäßige Schulungen, klare Richtlinien und kontinuierliche Überwachung sind dabei ebenso wichtig wie der Einsatz moderner Technologien zur Absicherung der IT-Infrastruktur.

Definition und Bedeutung

TOMs umfassen alle technischen und organisatorischen Vorkehrungen, die erforderlich sind, um personenbezogene Daten vor unbefugtem Zugriff und Missbrauch zu schützen. Sie dienen dazu, die Sicherheit der Verarbeitung zu gewährleisten und den Anforderungen der DSGVO gerecht zu werden.

Die DSGVO bleibt bei der konkreten Definition der TOMs für den Datenschutz eher vage. Das Bundesdatenschutzgesetz (BDSG). § 9 BDSG (alte Fassung) definierte technisch-organisatorische Maßnahmen und benannte konkret acht Bereiche, diese wurden hier um weitere Anforderungen ergänzt, die sich implizit aus der DSGVO ergeben:

Technische Maßnahmen

  • Datenverschlüsselung: Schutz personenbezogener Daten durch Verschlüsselung, um sicherzustellen, dass Unbefugte keinen Zugang zu den Daten erhalten.
  • Eingabekontrolle: Maßnahmen zur Nachvollziehbarkeit, wer welche Daten wann in ein System eingegeben, geändert oder gelöscht hat.
  • Protokollierung: Aufzeichnung von Zugriffen und Änderungen an personenbezogenen Daten, um eine Überwachung und Überprüfung der Datenverarbeitung zu ermöglichen.
  • Pseudonymisierung: Verarbeitung personenbezogener Daten in einer Weise, die ihre Zuordnung zu einer spezifischen Person erschwert, es sei denn, es werden zusätzliche Informationen hinzugezogen.
  • Transportkontrolle: Sicherstellung, dass personenbezogene Daten während ihrer Übertragung (z.B. über Netzwerke) vor unbefugtem Zugriff geschützt sind.
  • Verfügbarkeitskontrolle: Maßnahmen, die gewährleisten, dass personenbezogene Daten stets verfügbar und zugänglich sind, besonders im Falle eines technischen Ausfalls.
  • Wiederherstellbarkeit: Verfahren zur Wiederherstellung von Daten nach einem Verlust oder einer Beschädigung, um den normalen Betrieb schnell wiederaufzunehmen.
  • Zugangskontrolle: Mechanismen, die nur autorisierten Benutzenden den Zugang zu IT-Systemen erlauben, in denen personenbezogene Daten verarbeitet werden.
  • Zugriffskontrolle: Maßnahmen zur Kontrolle und Beschränkung, welche Benutzenden auf welche Daten zugreifen oder diese ändern dürfen.
  • Zutrittskontrolle: Physische Sicherheitsmaßnahmen, um den Zutritt zu Räumlichkeiten, in denen personenbezogene Daten verarbeitet werden, nur befugten Personen zu gestatten.

Organisatorische Maßnahmen

  • Auftragskontrolle: Sicherstellung, dass die Verarbeitung personenbezogener Daten im Auftrag nur gemäß den Weisungen des Auftraggebers/der Auftraggeberin erfolgt.
  • Datenschutz-Folgenabschätzung: Systematische Bewertung der Risiken und Folgen einer geplanten Verarbeitung für den Schutz personenbezogener Daten (Riskoanalyse der Datenverarbeitung).
  • Schulung und Sensibilisierung: Regelmäßige Schulungen und Sensibilisierung der Mitarbeitenden in Bezug auf Datenschutz und Informationssicherheit.
  • Trennungsgebot: Sicherstellung, dass personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden, getrennt verarbeitet werden, um Vermischungen zu vermeiden.
  • Vorfallmanagement: Prozesse und Maßnahmen zur Erkennung, Meldung und Bewältigung von Sicherheitsvorfällen, die den Schutz personenbezogener Daten beeinträchtigen könnten (betrifft auch Meldepflichten).
  • Weitergabekontrolle: Sicherstellung, dass personenbezogene Daten bei ihrer Weitergabe, insbesondere an Dritte, vor unbefugtem Zugriff und Veränderungen geschützt sind und nur an befugte Empfänger weiter gegeben werden können.

Mapping mit Sicherheitsmaßnamen der Informationssicherheit

Die technische und organisatorische Maßnahmen (TOMs) im Datenschutz lassen sich direkt auf allgemeine Sicherheitsmaßnahmen der Informationssicherheit abbilden. Beide Bereiche verfolgen das Ziel, Daten vor unbefugtem Zugriff, Verlust und Missbrauch zu schützen. Die folgenden beiden Artikel erläutert, wie TOMs mit spezifischen Sicherheitsmaßnahmen der Informationssicherheit im BSI IT-Grundschutz und in der ISO/IEC 27001 mappen und welche Gemeinsamkeiten und Unterschiede bestehen.

TOMs im Grundschutz

TOMs in der ISO27001