Die DSGVO schreibt in Art. 32 vor, dass jedes verantwortliche Unternehmen personenbezogene Daten sicher verarbeiten muss. Auch auf nationaler Ebene werden die Anforderungen an die Sicherheit der Verarbeitung im § 64 BDSG beschrieben.
Diese Anforderungen sind bewusst abstrakt formuliert. Der Gesetzgeber schreibt also nicht konkret vor, welche Maßnahmen ein Unternehmen zu treffen hat. Vielmehr soll das verantwortliche Unternehmen eigenständig geeignete technische und organisatorische Maßnahmen (sog. TOMs) umsetzen.
Maßnahmen sind wiederum geeignet, wenn sie ein angemessenes Schutzniveau für die Daten gewährleisten. Ob ein angemessenes Schutzniveau vorliegt, kann anhand folgender Fragestellungen abgewogen werden:
- Ist die Maßnahme üblich nach aktuellem Stand der Technik?
- Sind die Implementierungskosten zumutbar?
- Wofür und in welchem Umfang werden die Daten verarbeitet?
- Wie wahrscheinlich ist eine Datenpanne (Vernichtung, Verlust, Veränderung, Offenlegung)?
- Wie schwer wiegt der Schaden für die betroffene Person, wenn es zu einer Datenpanne kommt?
Beispielhafte TOMs
Jedes Unternehmen hat – ob nun bewusst oder unbewusst – technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten im Einsatz. Inwieweit diese Maßnahmen ausreichend sind, sollten Sie gemeinsam mit der IT-Abteilung abwägen und ggf. nachbessern. Hilfreich sind hier die technischen Richtlinien des BSI.
Anschließend müssen die TOMs, insofern noch nicht bei dem Verzeichnis von Verarbeitungstätigkeiten geschehen, auf Papier gebracht werden. Ich habe Ihnen nachfolgend eine Übersicht diverser TOMs für einzelne Sicherheitskategorien aufgelistet. Übernehmen Sie diese Maßnahmen nicht blind, sondern nur die tatsächlich zutreffenden.
Zugangskontrolle
Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte
- Alarmanlage
- Automatisches Zugangskontrollsystem
- Schließsystem mit Codesperre
- Lichtschranken / Bewegungsmelder
- Schlüsselregelung (Schlüsselausgabe etc.)
- Sorgfältige Auswahl von Wach- und Reinigungspersonal
- Sicherheitsschlösser
Datenträgerkontrolle
Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern
- Verwendung fester, verschließbarer Metallbehälter
- Versand der Datenträger als Wertsendung
- Keine Kennzeichnung der Behältnisse als Datenträger
- Abgleich der Risiken zwischen Spediteur und Postdienste
- Versandmappen bei hausinternem Transport fest verschließen
Speicherkontrolle
Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten
- Festlegung von Berechtigungen in den IT-Systemen
- Differenzierte Berechtigungen für lesen, löschen und ändern
- Differenzierte Berechtigungen für Daten, Anwendungen und Betriebssystem
- Verwaltung der Rechte durch Systemadministratoren
- Anzahl der Administratoren auf das „Notwendigste“ reduziert
- Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
- Protokollierung von Zugriffen auf Anwendungen
Benutzerkontrolle
Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte
- Zuordnung von Benutzerrechten
- Authentifikation mit Benutzername / Passwort
- Gehäuseverriegelungen
- Sperren von externen Schnittstellen (USB, etc.)
- Schlüsselregelung (Schlüsselausgabe etc.)
- Sorgfältige Auswahl von Wachpersonal
- Einsatz von Intrustion-Detection-Systemen
- Verschlüsselung von Smartphone-Inhalten
- Einsatz von Anti-Viren-Software
- Erstellen von Benutzerprofilen
- Zuordnung von Benutzerprofilen zu IT-Systemen
- Einsatz von VPN-Technologie
- Sicherheitsschlösser
- Verschlüsselung von mobilen Datenträgern
- Einsatz von zentraler Smartphone-Administrations-Software (z.B. zum externen Löschen von Daten)
- Verschlüsselung von Datenträgern in Laptops / Notebooks
- Hard- und Softwarefirewalls
Zugriffskontrolle
Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben
- Erstellen eines Berechtigungskonzepts
- Anzahl der Administratoren auf das Notwendigste reduziert
- Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
- Physische Löschung von Datenträgern vor Wiederverwendung
- Einsatz von Aktenvernichtern bzw. Dienstleistern
- Verschlüsselung von Datenträgern
- Verwaltung der Rechte durch Systemadministrator
- Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
- Sichere Aufbewahrung von Datenträgern
- Ordnungsgemäße Vernichtung von Datenträgern (DIN 32757)
Übertragungskontrolle
Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können
- Verschlüsselung der Daten
- Passwortschutz einzelner Dokumente
- VPN-Tunnel
- Firewall, Virenschutz, Intrusion Detection
- System (IDS)
- Content-Filter, SSL-Scanner
Eingabekontrolle
Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind
- Protokollierung der Eingabe, Änderung und Löschung von Daten
- Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen
- Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
- Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind
Transportkontrolle
Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden
- Einrichtung von verschlüsselten VPN-Tunneln
- E-Mail-Verschlüsselung
- Weitergabe von Daten in anonymisierter oder pseudonymisierter Form
Wiederherstellbarkeit
Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können
- Erstellen eines Backup- & Recoverykonzepts
- Festplattenspiegelung nach Vereinbarung mit dem Auftraggeber
- Testen von Datenwiederherstellung
- Erstellen eines Notfallplans
Zuverlässigkeit
Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden
- Unabhängig voneinander funktionierende Systeme
- Automatisierte Meldung von Fehlfunktionen
- Anti-Viren-Schutz
Datenintegrität
Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können
- Erstellen eines Backup- & Recoverykonzepts
- Nachträgliche Feststellung inwieweit Daten verändert wurden (über Prüfsummen, Richtungsindikatoren oder Sequenznummern)
- Einführung von Audit-Trails
- Verwendung digitaler Signaturen
Auftragskontrolle
Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können
- Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten
- Schriftliche Weisungen an den Auftragnehmer (z.B. durch Auftragsverarbeitungsvertrag)
- Auftragnehmer hat Datenschutzbeauftragten bestellt
- Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart
- Vertragsstrafen bei Verstößen
- Vorherige Prüfung und Dokumentation der beim Auftragnehmer getroffenen Sicherheitsmaßnahmen
- Verpflichtung der Mitarbeiter des Auftragnehmers auf Vertraulichkeit
- Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
Verfügbarkeitskontrolle
Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind
- Temperatur- und Feuchtigkeitsüberwachung in Serverräumen
- Feuer- und Rauchmeldeanlagen
- Alarmmeldung bei unberechtigten Zutritten zu Serverräumen
- Testen von Datenwiederherstellung
- Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
- Klimaanlage in Serverräumen
- Schutzsteckdosenleisten in Serverräumen
- Feuerlöschgeräte in Serverräumen
- Erstellen eines Backup- und Recoverykonzepts
- Erstellen eines Notfallsplans
Trennbarkeit
Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können
- Physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern
- Erstellung eines Berechtigungskonzepts
- Versehen der Datensätze mit Zweckattributen/Datenfeldern
- Festlegung von Datenbankrechten
- Logische Mandantentrennung (softwareseitig)
- Verschlüsselung von Datensätzen, die zu demselben Zweck verarbeitet werden
- Bei pseudonymisierten Daten: Trennung der Zuordnungsdatei und der Aufbewahrung auf einem getrennten, abgesicherten IT-System
- Trennung von Produktiv- und Testsystem
Pseudonymisierung
Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden kann
- Trennung der Zuordnungsdaten und Aufbewahrung in getrenntem und abgesicherten System (mögl. verschlüsselt)
- interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren / pseudonymisieren
Weitere TOMs
- Datenschutz-Management
- Incident-Response-Management
- Datenschutzfreundliche Voreinstellungen (privacy by design / privacy by default)
TOMs als Auftragsverarbeiter
Auch Auftragsverarbeiter müssen Daten sicher verarbeiten und entsprechende TOMs treffen. Diese TOMs hängt der Auftragsverarbeiter für gewöhnlich dem Auftragsverarbeitungsvertrag an, der dem Auftraggeber ausgehändigt wird. In der Theorie prüft der Auftraggeber erst die TOMs auf Angemessenheit. Nur wenn die TOMs ausreichend erscheinen, sollte der Auftragsverarbeitungsvertrag unterschrieben werden.
In der Praxis wird der Vertrag jedoch regelmäßig blindlings akzeptiert, ganz gleich ob die TOMs unzureichend sind oder gar ganz fehlen. Dies kann im Falle einer Datenpanne Probleme bereiten. Dem verantwortlichen Auftraggeber wird der Vorwurf gemacht werden, seine Auftragsverarbeiter nicht sorgfältig ausgewählt zu haben.