TOM
– technische und organisatorische Maßnahmen
Bei TOM wird es für Firmen richtig kompliziert.
Einfache, pauschale verbindliche Feststellungen, was, wie zu tun bzw. zu unterlassen ist, sind hierbei nur bedingt möglich, da dieses Thema auf die jeweils individuelle Unternehmens-IT zuschnitten sein muss.
Pauschal kann man feststellen – es muss ein Wechsel von der reinen Maßnahmenbeschreibung, hin zu einer Formulierung von Datenschutzzielen vollzogen werden (Artikel 32 DSGVO, Abs. 1).
Im Einzelnen geht es hierbei um nachstehende Punkte:
- Pseudonymisierung
Wikipedia definiert die Pseudonymisierung als einen Vorgang, bei dem persönliche Daten durch z.B. Zahlenfolgen ersetzt werden, so dass diese nicht mehr zuordenbar sind.
Also z.B. Ersetzung einer E-Mail Adresse durch eine User-ID. - Verschlüsselung
Hier geht es um den Schutz der Daten vor unberechtigten Zugang z.B. durch Passwörter auf Archiven. - Gewährleistung der Vertraulichkeit
Hier geht es um alles, was mit Zutritt und Zugang zu tun hat, wie gewährleisten Sie, dass nur Berechtigte Zugang zum Serverraum haben? - Gewährleistung der Integrität
Wie gewährleisten Sie, dass die Daten, die Sie verarbeiten an sich richtig sind? Wie steuern Sie Änderungen oder Löschungen? - Gewährleistung der Verfügbarkeit
Wie gewährleisten Sie, z.B. bei einem Stromausfall die Verfügbarkeit der Daten? - Gewährleistung der Belastbarkeit der Systeme
Machen Sie regelmäßige checks, ob Ihre Systeme gegen Unfälle oder Eindringlinge sicher sind? - Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall
Haben Sie Vorgehensweisen, bei einem Zwischenfall, der z.B. alle ihre Daten auf einem Server löscht incl. Sicherungsmaßnahmen vor Brand- und Elementarsschäden? - Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen
Prüfen Sie auch, ob die o.g. Maßnahmen effektiv sind? Wenn ja, wie? - Schriftliche Dokumentation von sonstigen Maßnahmen
Haben Sie z.B. Datenschutz Anweisungen an Ihre Mitarbeiter ausgegeben? Haben Sie eine IT-Sicherheitszertifizierung?
Technische und organisatorische Maßnahmen unterscheiden sich
Während es sich bei den organisatorischen Maßnahmen um die Rahmenbedingungen des Datenverarbeitungsvorgangs handelt, geht es bei den technischen Maßnahmen um den Datenverarbeitungsvorgang als solchen.
Unternehmen laufen Gefahr den Fehler zu machen ihren Fokus auf die organisatorischen Maßnahmen zu fokussieren, da diese zwar mit Arbeit verbunden sind, aber nicht mit Investitionen.
Dies ist ein Fehler, die DSGVO hat tiefgreifende Auswirkungen auf bestehende IT-Services, denn gerade hier gibt es große Unterschiede zum §9 BDSG-alt.
Entsprechend wichtig ist es, dass Sie sich auch ausgiebig mit den technischen Maßnahmen befassen, um zu gewährleisten dass Ihre IT-Infrastruktur DSGVO-konform ist, wobei, soweit noch nicht vollzogen, entsprechende Investitionen unausweichlich nötig werden.
Eine Fragen, nur als Beispiel, für die Beleuchtung von Pkt. 3:
- Sind Ihre Aktenschränke anschliessbar?
Ja, die DSGVO ist technologieneutral anzuwenden – nicht nur im IT Bereich.
Ein paar Fragen, nur als Beispiel, für die Beleuchtung von Pkt. 7:
- Wie sieht die Backup-Startegie aus?
- Werden die Datenträger in zertifizierten Tresoren gelagert?
- Wie ist die IT gesichert vor Einbrüchen/Diebstahl?
- Verfügen die Serverräume über Redundanz und Schutz vor unbefugtem Zugriff und Elementarschäden (Feuer, Hochwasser, ect.)?
Aus betriebwirtschaftlicher Sicht betrachtet, ergibt sich die Frage ob es es ggf. kostengünstiger ist die IT weitestgehend in eine zertifizierte Cloud auszulagern?
Wie Sie sehen – mit ein paar Formularen und Unterschriften ist es in diesem Kontext nicht getan, auch ist die Umsetzung nicht so einfach und überschaubar wie bei der Umgestaltung einer Website .
Serverstandorte und Konformität müssen im Einzelfall geprüft werden.
Zum Thema zertifizierte Cloud-Lösungen wird demnächst eine eigene Unterseite entstehen.
Dieses Thema wird sehr interessant und auch die Tatsache beleuchten dass es eigentlich noch gar keine Zertifikate für DSGVO konforme Lösungen gibt.