Technische und organisatorische Maßnahmen (TOM) nach DSGVO richtig dokumentieren

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Die TOM für den Datenschutz richtig zu dokumentieren stellt eine wichtige Säule der Datenschutz Dokumentation dar. Das Gesetz (DSGVO und neues BDSG) spricht dabei von der “Sicherheit der Verarbeitung” bzw. “Anforderungen an die Sicherheit der Datenverarbeitung”.

In diesem Artikel erfahren Sie konkret:

  • Welche Rolle die TOMs im Rahmen der DSGVO spielen und wieso Sie diese benötigen,
  • Ob Sie Ihre technischen und organisatorischen Maßnahmen überhaupt dokumentieren müssen,
  • Wie Sie Ihre TOMs Schritt-für-Schritt erfassen,
  • Wie Sie an ein kostenloses Muster zur Erfassung Ihrer TOMs bzw. an eine Checkliste kommen,
  • Was typische Beispiele für angemessene Schutzmaßnahmen sind,
  • und was passiert, wenn Sie sich nicht an die Dokumentationspflichten halten.

Diese Rolle spielen TOM bei der Datenschutz Dokumentation

Genauso wie das Verzeichnis von Verarbeitungstätigkeiten (früher: Verfahrensverzeichnis) und die Datenschutz-Folgenabschätzung, ist die Dokumentation der TOM eine wichtige und verpflichtende Datenschutz Dokumentation nach DSGVO. D.h. alle Unternehmen, Vereine, Einzelkaufleute, Handwerker etc., die personenbezogene Daten verarbeiten, müssen diese drei Elemente dokumentieren.

Die technischen und organisatorischen Maßnahmen spielen dabei eine ganz besondere Rolle, weil sie den ganzen Datenschutz im Unternehmen “überwachen”. Es geht also zum großen Teil darum, wie die Daten der Betroffenen (Kunden, Lieferanten, Mitarbeiter etc.) geschützt und abgesichert sind.

Eine besondere Bedeutung kommt den TOM dann zu, wenn es zu einem meldepflichtigen Datenleck oder Datenschutzverstoß gekommen ist. Dann können die TOM dazu dienen zu belegen, dass angemessene Maßnahmen zum Schutz getroffen wurden. Dabei sollten Sie dafür sorgen, dass die TOM am besten so schnell wie möglich dokumentiert werden und nicht erst, wenn eine Behörde nach ihnen fragt.

Diese Unternehmen müssen die Sicherheit der Verarbeitung (TOM) dokumentieren

Wie eingangs erwähnt, wird die Dokumentation zur Pflicht, sobald personenbezogene Daten verarbeitet werden. Dies ist dann der Fall, wenn die Daten zum ersten Mal erhoben werden, z.B. wenn sie anfangen für einen Newsletter E-Mail-Adressen einzusammeln oder eine Kundendatei anlegen.

Prüfen Sie hier, ob eine Verarbeitung vorliegt und Sie eine Dokumentation durchführen müssen.

Beachten Sie, dass der Grundsatz gilt, je mehr und je sensibler die Daten, die Sie verarbeiten, desto mehr Schutz müssen Sie vorweisen können. Eine Arztpraxis für Suchtkranke sollte mehr Schutz in der IT-Infrastruktur haben als ein Handwerker, der eine Kundendatei in Excel führt. Der Handwerker wird wohl nicht verpflichtet sein, einen Fingerabdrucksensor vor seinem Serverraum zu installieren (insofern er einen hat).

Schloss an Tor, dies ist auch eine technische und organisatorische Maßnahme (TOM)

Muster, wie Sie nach DSGVO Ihre technischen und organisatorischen Maßnahmen erfassen sollten

Es bietet sich an, die TOM nach den Mustern, die von führenden Stellen zur Verfügung gestellt wurden, zu erstellen. So hat der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. eine Kurzvorlage zur Dokumentation zu den TOM veröffentlicht, an der man sich gut orientieren kann. Es wäre auch denkbar, sich strikt an § 64 BDSG (neu) zu orientieren und sein Unternehmen auf dieser Grundlage abzuklopfen, obwohl dieser nur für öffentliche Stellen gilt.

Die Vorlage für die TOMs

Die Vorlage zur Erstellung der technischen und organisatorischen Maßnahmen kann folgendermaßen gegliedert werden:

  1. Pseudonymisierung
    Wikipedia definiert die Pseudonymisierung als einen Vorgang, bei dem persönliche Daten durch z.B. Zahlenfolgen ersetzt werden, so dass diese nicht mehr zuordenbar sind. Also z.B. Ersetzung einer E-Mail Adresse durch eine User-ID.
  2. Verschlüsselung
    Hier geht es um den Schutz der Daten vor unberechtigten Zugang z.B. durch Passwörter auf Archiven.
  3. Gewährleistung der Vertraulichkeit
    Hier geht es um alles, was mit Zutritt und Zugang zu tun hat, wie gewährleisten Sie, dass nur Berechtigte Zugang zum Serverraum haben?
  4. Gewährleistung der Integrität
    Wie gewährleisten Sie, dass die Daten, die Sie verarbeiten an sich richtig sind? Wie steuern Sie Änderungen oder Löschungen?
  5. Gewährleistung der Verfügbarkeit
    Wie gewährleisten Sie, z.B. bei einem Stromausfall die Verfügbarkeit der Daten?
  6. Gewährleistung der Belastbarkeit der Systeme
    Machen Sie regelmäßige checks, ob Ihre Systeme gegen Unfälle oder Eindringlinge sicher sind?
  7. Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall
    Haben Sie Vorgehensweisen, bei einem Zwischenfall, der z.B. alle ihre Daten auf einem Server löscht?
  8. Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen
    Prüfen Sie auch, ob die o.g. Maßnahmen effektiv sind? Wenn ja, wie?
  9. Schriftliche Dokumentation von sonstigen Maßnahmen
    Haben Sie z.B. Datenschutz Anweisungen an Ihre Mitarbeiter ausgegeben? Haben Sie eine IT-Sicherheitszertifizierung?

Diesen Katalog können sie z.B. in Word oder Excel abarbeiten oder aber per Hand, an die Form gibt es wenige Anforderungen. Wir haben Ihnen eine leere Word Vorlage vorbereitet, die Sie verwenden können: TOM Vorlage in Word. Die Checkliste zu den TOM finden Sie weiter unten.

Der Sonderfall: Auftragsverarbeitung und TOM

Sie haben Ihre eigenen TOM ausführlich dokumentiert und überprüfen diese auch regelmäßig. Damit ist aber noch lange nicht alles getan, denn sie haben sicher auch ein paar so genannte Auftragsverarbeiter engagiert, welche z.B. Ihre Lohnabrechnung machen oder ihr Nutzerverhalten auswerten (Stichwort Google Analytics). Diese müssen auch TOM vorweisen. Lassen Sie sich diese unbedingt aushändigen und legen Sie diese ab. Nach DSGVO sind Sie nämlich auch in der Pflicht, Ihre Verarbeiter zu kontrollieren und stehen im Schadensfall auch für diese ein! Wenn Ihnen nichts anderes vorliegt, schicken Sie einfach die o.g. Word Vorlage zum Ausfüllen an den Auftragsverarbeiter.

Beispiele aus der Praxis: Einhaltung der TOM

Hier sollen ein paar Beispiele für TOM geschildert werden, welche verdeutlichen sollen, wie man seine technischen und organisatorischen Maßnahmen einhalten kann. Der Bogen wird mittels Nummern geschlagen, also z.B. Nr. 2 entspricht Verschlüsselung etc.

Bildschirm mit Code - die Erstellung von TOMs

Nutzung einer Kundendatenbank auf einem Server

  1. Der Server auf dem alle Kundendaten liegen ist nur mit Passwort und Nutzername zu erreichen (Nr. 3 gewährleistet), der Serverraum ist mit einfachem Schlüssel verschlossen.
  2. Jede Nutzung wird protokolliert z.B. ein- und ausloggen, Änderungen an Datensätzen, Logins werden nicht geteilt, jedem Login ist eine Person zugeordnet (Nr. 4 gewährleistet).
  3. Es bestehen Lese und Schreibrechte, welche nach Bedarf verteilt werden. Kunden werden nicht unter Klarnamen sondern unter einer User-ID gespeichert, insofern eine Nachverfolgbarkeit nicht gewährleistet sein muss (Nr. 1 gewährleistet).
  4. Es werden regelmäßig Backups gezogen, welche sich verschlüsselt in der Cloud befinden. Diese werden regelmäßig auf Integrität getestet (Nr. 2, 5, 6, 7 gewährleistet).
  5. Jedes Quartal werden die oben genannten Maßnahmen überprüft (Nr. 8 erfüllt)
  6. Es bestehen klare Anweisungen an Mitarbeiter zur Einhaltung des Datenschutzes. Jedes Quartal wird eine E-Mail mit Datenschutzhinweisen an alle Mitarbeiter verschickt (Nr. 9 erfüllt)

Nutzung von Google Analytics zur Analyse des Nutzerverhaltens (Auftragsverarbeitung)

  1. Anonymisierung der IP Adressen wurde angelegt (“anonymizeIP”) (Nr. 1 gewährleistet)
  2. Eine AV bzw. Standardvertragsklauseln wurden ausgehandelt
  3. Widerspruchsrecht der Betroffenen wurde technisch angelegt (z.B. über Link in den Datenschutzhinweisen)
  4. Die Nutzung von Google Analytics wurde geprüft und die technischen und organisatorischen Maßnahmen für ausreichend befunden.

Sie sehen, es ist kein Hexenwerk, man muss nur wissen, wie man die Maßnahmen dokumentiert und wo man anfängt. Am besten geht dies über Muster, welche Sie Schritt-für-Schritt durch den Vorgang lotsen und Ihnen auch zeigen, welche Maßnahmen Sie bereits besitzen und welche Sie ggf. einführen müssen.

TOM Checkliste zur Umsetzung

Hier geht es zum Download der Checkliste als PDF.

Existiert überhaupt eine Dokumentation zu allen umgesetzten TOM?
Praxisbeispiel: Eine Excel Tabelle, in der alle Bestandteile der TOM in einer Liste dargestellt sind.

 

Existiert ein Löschkonzept und wird dies für alle personenbezogenen Daten umgesetzt?
Praxisbeispiel: Eine Excel Tabelle in der alle verarbeiteten Datenkategorien verzeichnet sind inkl. Löschfristen. Erstellung von Löschprotokollen oder sonstigen Nachweisen.

 

Wurden alle Maßnahmen zur Umsetzung der Zutrittskontrolle dokumentiert und durchgeführt?
Praxisbeispiel: Alarmanlagen, Schließsysteme.

 

Wurden alle Maßnahmen zur Umsetzung der Zugangskontrolle dokumentiert und durchgeführt?
Praxisbeispiel: Installation einer Firewall, Verschlüsselung von Datenträgern.

 

Wurden alle Maßnahmen zur Umsetzung der Zugriffskontrolle dokumentiert und durchgeführt?
Praxisbeispiel: Passwortrichtlinien, Löschanweisungen.

 

Wurden alle Maßnahmen zur Umsetzung der Weitergabekontrolle dokumentiert und durchgeführt?
Praxisbeispiel: E-Mail Verschlüsselung, Einsatz von VPN Technologie.

 

Wurden alle Maßnahmen zur Umsetzung der Eingabekontrolle dokumentiert und durchgeführt?
Praxisbeispiel: Eingabeprotokollierung, Nutzerrollen.

 

Wurden alle Maßnahmen zur Umsetzung der Verfügbarkeitskontrolle dokumentiert und durchgeführt?
Praxisbeispiel: Feuer- und Rauchmelder, automatische Löschanlagen.

 

Wurden alle Maßnahmen zur Umsetzung des Trennungsgebots dokumentiert und durchgeführt?
Praxisbeispiel: Physische Trennung von Datenträgern, Speicherung von personenbezogenen Daten je nach Zweck in unterschiedlichen Datenbanken.

 

Prüfen Sie alle Ihre Auftragsverarbeiter hinsichtlich der Einhaltung der Datenschutzgrundsätze?
Praxisbeispiel: Vorabkontrolle beim Auftragsverarbeiter, Prüfung der TOMs des Auftragsverarbeiters.

 

Bestehen Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall?
Praxisbeispiel: Backups, Incident Response Management.

 

Gibt es Vertretungsregelungen für die IT-Verantwortlichen?
Praxisbeispiel: Wenn der IT-Leiter krank ist, kann der stellvertretende IT-Leiter seine Aufgaben übernehmen.

 

Sind die Verantwortlichen für die IT-Sicherheit angemessen ausgebildet und in alle Unternehmensstrukturen eingebunden, die mit personenbezogenen Daten zu tun haben?
Praxisbeispiel: Der IT-Sicherheitsbeauftragte des Unternehmens wird bei jeder Tool-Neuanschaffung mit eingebunden.

 

Existieren Verfahren zur Gewährleistung der Belastbarkeit der Systeme und Dienste?
Praxisbeispiel: Regelmäßige Tests der Belastbarkeit mittels Stresstests.

 

Existiert ein Datensicherheitskonzept bzw. eine Datensicherheitsrichtlinie?
Praxisbeispiel: Ausarbeitung einer Datensicherheitsrichtlinie mit einem Berater.

 

Wurden alle Mitarbeiter, die mit personenbezogenen Daten zu tun haben, auf das Datengeheimnis verpflichtet und wurden im Umgang mit den Daten geschult?
Praxisbeispiel: Aushändigung einer Schulungsunterlage im Jahresrhythmus, Verpflichtung aller Mitarbeiter auf das Datengeheimnis mit Unterschrift.

 

Existieren Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen?
Praxisbeispiel: Die TOMs werden jedes Jahr unabhängig geprüft, die Prüfung und die Findings werden dokumentiert.

 

Entsprechen die TOM dem aktuellen Stand des technischen Fortschritts und sind gemäß festgelegten Schutzzielen und Risikoprofil angemessen?

Folgen bei Verstößen gegen die Dokumentationspflichten

Über die hohen Bußgelder der DSGVO wurde schon viel berichtet, nur so viel sei gesagt, sie sind hoch und es ist mit mehr Kontrollen zu rechnen. Ein wichtiger Punkt, den man nicht außer Acht lassen sollte, ist die Rechtfertigungsgrundlage, die man sich hier schafft, sollte es einmal zu einer Beschwerde bei den Behörden durch z.B. Kunden / Nutzer kommen. Aber auch wenn ein Datenleck auftaucht und dies öffentlich wird, können die TOM dazu dienen zu zeigen, dass das Schutzniveau angemessen war und ein Bußgeld kann vermieden werden.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Häufige Fragen zum Thema technische und organisatorischen Maßnahmen nach DSGVO

Was sind TOMs?

Mit TOM wird häufig „technische und organisatorischen Maßnahmen“ abgekürzt. Dementsprechend wird oft das Wort TOMs benutzt um die Maßnahmen zu beschreiben.

Wie finde ich den aktuellen Stand der Technik?

Das ist recht schwierig pauschal zu beantworten. Die Maßnahmen müssen in erster Linie zu Ihrem Unternehmen passen und dort ein angemessenes Schutzniveau gewährleisten. Darüber hinaus sollten, Sie trotzdem regelmäßig überprüfen, ob es neuere und bessere Schutzmaßnahmen gibt.

Quellen

https://dsgvo-gesetz.de/art-32-dsgvo/

https://dsgvo-gesetz.de/bdsg-neu/64-bdsg-neu/

https://dsgvo-gesetz.de/art-42-dsgvo/

https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungst%C3%A4tigkeiten_TOMs.pdf