Unter anderem die Artikel 5 DSGVO und Artikel 32 der DSGVO verpflichten Unternehmen, die Sicherheit bei der Verarbeitung von personenbezogenen Daten zu gewährleisten.
Im Detail geht es um:
- den Schutz vor Zerstörung und Schädigung
- den Schutz vor unbeabsichtigtem Verlust
- den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung
Wichtig ist, dass insbesondere die organisatorischen Maßnahmen (das O in TOM) schriftlich festgehalten werden, da eine Rechenschaftspflicht besteht. Das bedeutet, dass ein Unternehmen jederzeit die Einhaltung der entsprechenden Maßnahmen nachweisen können muss.
Was bedeutet „unbefugt“?
Unbefugt sind all diejenigen, welche die Daten nicht für die Ausführung bestimmter Dienstleistungen oder Tätigkeiten benötigen. Dies können nicht nur „Unternehmensfremde“ (wie bspw. der Sitznachbar im Bus, Hacker, Familienangehörige, …), sondern auch Mitarbeitende - welche nicht mit der Betreuung der entsprechenden Daten beauftragt sind – sein.
Welche technischen und organisatorischen Maßnahmen gibt es?
Einen Anhaltspunkt der möglichen TOM bietet §64 BDSG:
- Zugangskontrolle: Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte.
- Datenträgerkontrolle: Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern.
- Speicherkontrolle: Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten.
- Benutzerkontrolle: Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte.
- Zugriffskontrolle: Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben.
- Übertragungskontrolle: Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stelle personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können.
- Eingabekontrolle: Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben und verändert worden sind.
- Transportkontrolle: Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden.
- Wiederherstellbarkeit: Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können.
- Zuverlässigkeit: Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden.
- Datenintegrität: Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können.
- Auftragskontrolle: Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
- Verfügbarkeitskontrolle: Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind.
- Trennbarkeit: Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können.
Beispiele: technisch vs. organisatorisch
Im Falle der Verfügbarkeitskontrolle lassen sich technische und organisatorische Maßnahmen beispielsweise wie folgt benennen:
- technisch: Feuer- und Rauchmelder, Feuerlöscher, unterbrechungsfreie Stromversorgung (USV), ...
- organisatorisch: Erstellung eines Notfallplans, Tests zur Datenwiederherstellung, Backup-Konzept, ...
Doch wieso gibt es technische und organisatorische Maßnahmen überhaupt?
Einfach zusammengefasst: Durch den Einsatz von TOM kann sichergestellt werden, dass personenbezogene Daten nicht verloren gehen oder in falsche Hände gelangen.
Oder möchten Sie etwa, dass jeder Ihre Telefonnummer kennt?
