TOMs

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen


Technische und organisatorische Maßnahmen (TOMs) sind ein elementarer Bestandteil, um den Schutz personenbezogener Daten gemäß der Datenschutz-Grundverordnung (DSGVO) sicherzustellen. Diese Maßnahmen helfen, die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu gewährleisten und Risiken durch Datenverlust, -diebstahl oder -missbrauch zu minimieren. Der folgende Artikel gibt einen Überblick über die wichtigsten Aspekte und Beispiele für TOMs.

Einführung

Die technischen und organisatorischen Maßnahmen stammen aus § 9 BSDG (alte Fassung). Diesen Paragraphen gibt es so nicht mehr. Um den Schutz personenbezogener Daten zu gewährleisten und den Anforderungen der DSGVO und des BDSG gerecht zu werden, sind in Art. 32 DSGVO "Sicherheit der Verarbeitung" nur noch vage Anforderungen definiert, der Begriff "TOM" wird aber weiterhin häufig verwendet. Mit einer Kombination aus technischen Sicherheitsvorkehrungen und organisatorischen Maßnahmen können Unternehmen die Sicherheit ihrer Datenverarbeitung verbessern und Risiken effektiv managen. Regelmäßige Schulungen, klare Richtlinien und eine kontinuierliche Überwachung sind dabei ebenso wichtig wie der Einsatz moderner Technologien zur Absicherung der IT-Infrastruktur.

Definition und Bedeutung

TOMs umfassen alle technischen und organisatorischen Maßnahmen, die erforderlich sind, um personenbezogene Daten vor unberechtigtem Zugriff und Missbrauch zu schützen. Sie dienen dazu, die Sicherheit der Verarbeitung zu gewährleisten und die Anforderungen der DSGVO zu erfüllen.

Die DSGVO bleibt bei der konkreten Definition von TOMs für den Datenschutz eher vage. Bundesdatenschutzgesetz (BDSG). § 9 BDSG (alte Fassung) definierte technisch-organisatorische Maßnahmen und benannte konkret acht Bereiche, die hier übernommen und um weitere Anforderungen, die sich implizit aus der DSGVO ergeben, ergänzt wurden. Bei diesen TOM handelt es sich jedoch weniger um eine gesetzliche Vorgabe als vielmehr um eine "Best Practice":

Technische Maßnahmen

  • Datenverschlüsselung: Schutz personenbezogener Daten durch Verschlüsselung, um sicherzustellen, dass Unbefugte keinen Zugang zu den Daten erhalten.
  • Eingabekontrolle: Maßnahmen zur Nachvollziehbarkeit, wer welche Daten wann in ein System eingegeben, geändert oder gelöscht hat.
  • Protokollierung: Aufzeichnung von Zugriffen und Änderungen an personenbezogenen Daten, um eine Überwachung und Überprüfung der Datenverarbeitung zu ermöglichen.
  • Pseudonymisierung: Verarbeitung personenbezogener Daten in einer Weise, die ihre Zuordnung zu einer spezifischen Person erschwert, es sei denn, es werden zusätzliche Informationen hinzugezogen.
  • Transportkontrolle: Sicherstellung, dass personenbezogene Daten während ihrer Übertragung (z.B. über Netzwerke) vor unbefugtem Zugriff und Manipulation geschützt sind.
  • Verfügbarkeitskontrolle: Maßnahmen, die gewährleisten, dass personenbezogene Daten stets verfügbar und zugänglich sind, besonders im Falle eines technischen Ausfalls.
  • Wiederherstellbarkeit: Verfahren zur Wiederherstellung von Daten nach einem Verlust oder einer Beschädigung, um den normalen Betrieb schnell wiederaufzunehmen.
  • Zugangskontrolle: Mechanismen, die nur autorisierten Benutzenden den Zugang zu IT-Systemen erlauben, in denen personenbezogene Daten verarbeitet werden.
  • Zugriffskontrolle: Maßnahmen zur Kontrolle und Beschränkung, welche Benutzenden auf welche Daten zugreifen oder diese ändern dürfen.
  • Zutrittskontrolle: Physische Sicherheitsmaßnahmen, um den Zutritt zu Räumlichkeiten, in denen personenbezogene Daten verarbeitet werden, nur befugten Personen zu gestatten.

Organisatorische Maßnahmen

  • Auftragskontrolle: Sicherstellung, dass die Verarbeitung personenbezogener Daten im Auftrag nur gemäß den Weisungen des Auftraggebers/der Auftraggeberin erfolgt.
  • Datenschutz-Folgenabschätzung: Systematische Bewertung der Risiken und Folgen einer geplanten Verarbeitung für den Schutz personenbezogener Daten (Risikoanalyse der Datenverarbeitung).
  • Schulung und Sensibilisierung: Regelmäßige Schulungen und Sensibilisierung der Mitarbeitenden in Bezug auf Datenschutz und Informationssicherheit.
  • Trennungsgebot: Sicherstellung, dass personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden, getrennt verarbeitet werden, um Vermischungen zu vermeiden.
  • Zweckbindung: Sicherstellung, dass personenbezogene Daten nur für die festgelegten, rechtmäßigen Zwecke erhoben und verarbeitet werden und nicht für andere, unvereinbare Zwecke verwendet werden.
  • Vorfallmanagement: Prozesse und Maßnahmen zur Erkennung, Meldung und Bewältigung von Sicherheitsvorfällen, die den Schutz personenbezogener Daten beeinträchtigen könnten (betrifft auch Meldepflichten).
  • Weitergabekontrolle: Sicherstellung, dass personenbezogene Daten bei ihrer Weitergabe, insbesondere an Dritte, vor unbefugtem Zugriff und Veränderungen geschützt sind und nur an befugte Empfänger weiter gegeben werden.

Mapping mit Sicherheitsmaßnamen der Informationssicherheit

Die technische und organisatorische Maßnahmen (TOMs) im Datenschutz lassen sich direkt auf allgemeine Sicherheitsmaßnahmen der Informationssicherheit abbilden. Beide Bereiche verfolgen das Ziel, Daten vor unbefugtem Zugriff, Verlust und Missbrauch zu schützen. Die folgenden beiden Artikel erläutert, wie TOMs mit spezifischen Sicherheitsmaßnahmen der Informationssicherheit im BSI IT-Grundschutz und in der ISO/IEC 27001 mappen und welche Gemeinsamkeiten und Unterschiede bestehen.

TOMs im Grundschutz

TOMs in der ISO27001