Technisch-organisatorische Maßnahmen

Mit dem Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) kommen neue Anforderungen an die Datenschutzkontrollen und die Datensicherheit. Mit diesem Artikel soll Ihnen aufgezeigt werden, worauf bei der Erstellung der technisch-organisatorischen Maßnahmen (TOMs) zu achten ist.

Umsetzungsplan nicht vorhanden

Obwohl viele Unternehmen in Befragungen immer wieder mitteilen, dass Sie gut über die DSGVO informiert sind, gibt es für viele immer noch Probleme in der praktischen Umsetzung. Anhaltspunkte liefert nun auf rechtlicher Ebene das Datenschutz-Anpassungs- und Umsetzungsgesetz EU.

Vorbereitung auf erweiterte Datenschutzkontrollen

Für die Datensicherheit müssen fortan auf Basis einer Risikobewertung Maßnahmen getroffen werden. § 64 BDSG-neu liefert für Maßnahmen nun eine Übersicht.

  1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle),
  2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle),
  3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),
  4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle),
  5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle),
  6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),
  7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),
  8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt
    wird (Transportkontrolle),
  9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit),
  10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),
  11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),
  12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggeberverarbeitet werden können (Auftragskontrolle),
  13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
  14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit). Ein Zweck nach Satz 1 Nummer 2 bis 5 kann insbesondere durch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren erreicht werden.

Neue Kontrollen und neue Bezeichnungen bei den TOMs

Auf den ersten Blick scheinen die aus dem BDSG bekannten Kontrollen der Zutrittskontrolle und der Weitergabekontrolle zu fehlen. Des Weiteren finden sich einige neue Kontrollen, die die Pflichten des Verantwortlichen zur Kontrolle deutlich erweitern.

  • Zuverlässigkeit, Datenintegrität und Wiederherstellbarkeit sind neu.
  • Begrifflich neu sind Transport-, Übertragungs-, Datenträger- ud Benutzerkontrolle.

Bei einem genaueren Blick auf die Beschreibung der vorgenannten vier Kontrollen stellen Sie fest, dass die Weitergabekontrolle darin zu finden ist. Die Zutrittskontrolle wurde nun mit der Zugangskontrolle zusammengefasst, da diese Unterscheidung oftmals Probleme verursachte.

Die Speicherkontrolle, die bisher unter dem Punkt Zugriffskontrolle mitbehandelt wurde, ist nun separat genannt.

Ein Vorteil für die bessere Vorbereitung, Umsetzung und Überwachung der Kontrollen ist, dass die Datenschutzkontrollen nun genauer unterteilt sind. Es kann sich ja um verschiedene Maßnahmen mit dazugehörigen Sicherlösungen handeln.

Dabei müssen Unternehmen bei den neuen Kontrollen genau hinschauen, die bei der Umsetzung der DSGVO helfen:

  • Sie müssen gewährleisten, dass gespeicherte personenbezogene Daten nnicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität).
  • Weiterhin müssen sie die Wiederherstellung der eingesetzten Systeme im Störungsfall gewährleisten (Wiederherstellbarkeit).
  • Auch müssen Sie gewährleisten, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit).

Dies ist im Moment häufig bei Unternehmen eine Schwachstelle der technisch-organisatorischen Maßnahmen.

Pflicht ist die Zuverlässigkeit, die Datenintegrität und die Wiederherstellbarkeit

Immer wieder werden durch Cyberangriffe Unternehmen auf den Prüfstand gestellt und zeigen starke Mängel, was geeignete Maßnahmen nach Attacken und Störungen für die Wiederherstellbarkeit betrifft. Um für die DSGVO vorbereitet zu sein, müssen ebenso Mängel bei der Zuverlässigkeit von IT-Systemen als auch bei der Datenintegrität behoben werden.

Für Fragen bezüglich der technisch-organisatorischen Maßnahmen schreiben Sie uns eine E-Mail an dsb@anka.eu oder rufen Sie uns an.