TOM – Technische und organisatorische Maßnahmen

Technische und organisatorische Maßnahmen werden durch den § 9 BDSG gefordert und durch die Anlage zum § 9 weiter konkretisiert. Um nun die richtigen technische und organisatorische Maßnahmen zu definieren, sind Art, Sensibilisierungsgrad und Schutzbedürftigkeit der personenpezogenen Daten festzustellen, da das BDSG dem Aufwand angemessene Maßnahmen fordert die je nach Datenmerkmalen ausfallen kann. Hieraus resultiert werden dann technische oder organisatorische Maßnahmen für den Datenschutz und die IT Sicherheit definiert. Diese sind dann z.B.

Technische Maßnahme Organisatorische Maßnahme
Benutzerkonto
Besucheranmeldung
Passworterzwingung Arbeitsanweisungen
bauliche Maßnahmen
Vier-Augen-Prinzip
Alarmanlagen Stichprobenprüfungen

 

Um festzulegen, welche technische und organisatorische Maßnahmen erforderlich sind, ist ein Risikobetrachtung vorzunehmen um dann dagegen einen angemessenen Aufwand abschätzen zu können. Aus diesem Grund werden die Daten kategorisiert.

Sensibilisierungsgrad Schutzbedürftigkeit Art
Stufe A z.B. Internet Frei zugängliche Daten
Stufe 1 / B Verursacht keine besonderen Beeinträchtigungen z.B. interne Durchwahlnummern personenbezogene Daten
Stufe 2 / C Kann Stellung oder Funktion beeinträchtigen z.B. Einkommenshöhe personenbezogene Daten
Stufe 3 / D Beeinträchtigt Stellung oder Funktion erheblich z.B. Zeugnisse, Pfändungen personenbezogene Daten
Stufe 4 / E Gefährtet persönliche oder Unternehmensexistent z.B. Adressen verdeckter Ermittler personenbezogene Daten

 

Zusätzlich werden noch Schadenshöhe und die Eintrittswahrscheinlichkeit abgeschätz, so dass sich für jedes betarchtete Einzelereignis ein Wert ergibt. Ein mögliche technische und organisatorische Maßnahmen Zuordnung könnte wie folgt aussehen.

Zutrittskontrolle

Zugangskontrolle

Zugriffskontrolle

Weitergabekontrolle

Zäune
Benutzerkennung /Passwort
Berechtigungskonzept
Verschlüsselung
Pforte biometrische Benutzer-ID Benutzerkennung mit Passwort VPN
Videoüberwachung Firewall Schnittstellen (USB, WLAN, etc.) Firewall
Sicherheitsschlösser
zertifikatsbasierter Zugang Datenträgerverwaltung Fax-Protokoll
Chipkartenleser zertifikatsbasierter Zugriff
Verschlossene Behälter
Codeschlösser Verschlüsselung
Sicherheitsverglasung
Verfahrensverzeichnis
Alarmanlagen Protokollierungsmaßnahmen

 

Weitergehende Informationen zu § 9 BDSG und der Anlage: Technische und organisatorische Maßnahmen:

§ 9 Technische und organisatorische Maßnahmen

Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Anlage technische und organisatorische Maßnahmen

Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

1.
Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
2.
zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
3.
zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
4.
zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
5.
zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
6.
zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
7.
zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
8.
zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.