Seite wählen

Die Datenschutz-Checkliste

Für die betriebliche Praxis – ohne Fachjargon

Dokumentation technischer und organisatorischer Maßnahmen (TOM)

Was sind TOMs nach der DS-GVO?

Sicherheitsvorkehrungen werden im Datenschutz „technische und organisatorische Maßnahmen“ genannt. Damit ist neben der IT-Sicherheit auch die Gebäudesicherheit gemeint sowie alle Vorkehrungen, die gewährleisten, dass das Datenschutzrecht eingehalten wird, also das Datenschutzmanagement im weitesten Sinne.

Was zählt zu den TOMs?

Das Datenschutzrecht ist technologieneutral formuliert, damit man es nicht laufend aktualisieren muss. Das bedeutet, dass in den Gesetzen nicht viel konkreteres steht als dass ein Schutzniveau gewährleistet werden muss, dass dem Risiko entspricht, das die Verarbeitung personenbezogener Daten für die Personen mit sich bringt, auf die sich diese Daten konkret beziehen.

Es ist also nicht immer ohne weiteres ersichtlich, ob die konkreten Sicherheitsvorkehrungen, die man getroffen hat, überhaupt ausreichend sind, oder ob man schon viel mehr Zeit und Geld investiert hat, sein Unternehmen sicher zu machen, als es für den Datenschutz notwendig wäre.

Eine Möglichkeit ist, sich fachlich zu IT-Sicherheit beraten zu lassen, und ein geeignetes Sicherheitskonzept entwickeln und implementieren zu lassen, das ohne unnötige Sicherheitsvorkehrungen auskommt, die die Arbeit nur behindern, gleichzeitig aber verhindert, dass wegen eines Hardware-Ausfalls der Betrieb auf einmal tagelang stillsteht.

Was kann man aber selbst Sinnvolles tun? Man kann dokumentieren, wie es um die Sicherheit bei einem bestellt ist und sich dann mit diesen Informationen gezielter externe Beratung einholen. Außerdem bekommt man bei der Dokumentation der eigenen Sicherheitsvorkehrungen einen besseren Blick für die Sicherheitslage im eigenen Unternehmen und kann selbständig grundlegende Sicherheitsvorkehrungen treffen, die augenfällig sind.

Wer muss TOMs erstellen?

Jedes Unternehmen. Alles, was man an Pflichten im Datenschutz erfüllt, muss man gegenüber den Aufsichtsbehörden nachweisen können. Die Pflicht, Pflichterfüllung zu dokumentieren, nennt sich „Rechenschaftspflicht“.

Die Sicherheitsvorkehrungen müssen für den Datenschutz auch nur in dem Umfang dokumentiert werden, wie sie die Sicherheit und die ordnungsgemäße Verarbeitung von personenbezogenen Daten betreffen.

Wann ist eine TOM geeignet?

Wenn man in den Medien verfolgt, welche Bußgelder von den Aufsichtsbehörden öffentlich kommuniziert werden oder wo Datenschutzverletzungen bekannt werden, sind zu geringe Sicherheitsvorkehrungen fast immer die Ursache.

Ob eine TOM geeignet ist, lässt sich verlässlich durch Fachleute prüfen, weil die deutschen Aufsichtsbehörden gerade zu geringe oder falsch gewählte Sicherheitsvorkehrungen strikt mit Bußgeldern belegen. Möchte man eine besonders belastbare Aussage dazu, ob die gewählten TOMs geeignet sind, die im Unternehmen verarbeiteten Daten zu schützen, kann man von unabhängigen, zertifizierten Fachleuten einen Penetrationstest für den Datenschutz durchführen lassen.

Die ersten Schritte zur Auswahl einer geeigneten TOM kann man jedoch mit dem Standard-Datenschutzmodell (SDM) der deutschen Aufsichtsbehörden gehen. Zunächst wird eine Schwellwert-Analyse durchgeführt, um den Schutzbedarf der im Unternehmen verarbeiteten personenbezogenen Daten zu ermitteln. Es werden ein normaler und ein hoher Schutzbedarf unterschieden. Bei hohem Schutzbedarf, muss zusätzlich eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt und ein (externer) Datenschutzbeauftragter bestellt werden.

Angemessene Sicherheitsvorkehrungen haben über die Vermeidung von Bußgeldern und einen Vertrauensverlust bei Kunden und Beschäftigten hinaus einen weiteren Vorteil: Sie unterstützen gleichzeitig die Informationssicherheit. Darunter fällt nicht nur der Schutz von Geschäftsgeheimnissen vor der Konkurrenz. Ein gutes Informationssicherheitsmanagement unterstützt auch die reibungslose Funktion der Arbeitsplätze und reduziert die Auswirkungen von IT-Notfällen auf den Arbeitsablauf.

Falls man sich fragt, wie relevant ein gutes Informationssicherheitsmanagementsystem (ISMS) für das eigene Geschäft sein kann, kann man sich folgendes Fragen: Wie viel Umsatz geht verloren, wenn der hauseigene Server des Unternehmens ausfällt, bis ein Ersatz-Server in Betrieb genommen und Backups aufgespielt wurden? Wie lange braucht man als Selbständiger, seine Kunden weiter bedienen zu können, wenn man den eigenen Laptop in Kaffee gebadet hat? Hat man ein altes Ersatzgerät? Und muss man eine Datenrettung zu Mondpreisen in Auftrag geben?

Die TOM-Liste

Technische und organisatorische Maßnahmen werden von Datenschützern liebevoll TOM genannt. Eine Dokumentation der TOMs nennt man gerne kurz „TOM-Liste“.

Die Form

Eine TOM-Liste kann in Papierform geführt werden oder digital. Es ist einem selbst freigestellt, ob man diese Liste als Fließtext, als Tabelle, mit ausformulierten Sätzen oder in Stichpunkten führt oder ob man eine Software für Datenschutz- oder Informationssicherheitsmanagement benutzt. Eine Software macht meist erst für mittlere Unternehmen Sinn. Für kleinere Unternehmen und Selbständige ist eine Liste mit Stichpunkten oft vollkommen ausreichend.

Es ist sinnvoll, sich beim Erstellen der TOM-Liste darüber Gedanken zu machen, wo sie Verwendung finden wird. Eine Verwendung der TOM-Liste ist als Anlage für das Verzeichnis von Verarbeitungstätigkeiten (Pflicht 2), das man auf Verlangen der Aufsichtsbehörde vorweisen können muss. Die TOM-Liste muss also für die Mitarbeiter der Aufsichtsbehörde verständlich sein.

Eine weitere Verwendung findet sie beim Abschluss von Auftragsverarbeitungsverträgen (Pflicht 3), wenn man selbst Auftragsverarbeiter ist. Diese Situation tritt häufig ein, wenn man Dienstleistungen für andere Unternehmen erbringt, bei denen personenbezogene Daten verarbeitet werden. Stellt man selbst einen Auftragsverarbeitungsvertrag zur Verfügung, kann man die eigene TOM-Liste anhängen. Stellt einem der Auftraggeber einen Auftragsverarbeitungsvertrag zur Verfügung, hängt dort oft eine womöglich vollkommen anders strukturierte TOM-Liste zum Ausfüllen als Anlage an. Unter Umständen kann man diese Anlage nach Absprache durch die eigene TOM-Liste ersetzen. Wenn das nicht möglich ist, sollte die eigene TOM-Liste aussagekräftig genug sein, um ohne Umstände die Liste des Geschäftspartners auszufüllen.

Der Gegenstand

Informationssicherheit ist ja schön und gut. Aber für das Datenschutzrecht war ja nun technologieneutral formuliert. Wie bringt man also seine konkreten Sicherheitsvorkehrungen mit dem Datenschutzrecht in Einklang und dokumentiert das Ganze entsprechend?

Die eine Möglichkeit ist, ein Informationssicherheitsmanagementsystem (ISMS) auf der Basis des BSI-Grundschutzes einzuführen und die entsprechenden Dokumentationen dann auch für den Datenschutz zu verwenden.

Falls man (noch) kein ISMS eingeführt hat, gibt es alternativ das Standard-Datenschutzmodell (SDM). Die deutschen Aufsichtsbehörden haben dieses Modell entwickelt, um eine einheitliche Beratung und Prüfung zum Datenschutz zu ermöglichen.

Als Ausgangspunkt für die Beschreibung der Sicherheitsvorkehrungen kann man die sieben Gewährleistungsziele des SDM verwenden, die sich aus den Grundsätzen der Verarbeitung personenbezogener Daten der DS‑GVO und den Betroffenenrechten (Pflicht 4) ergeben und diese mit den Schutzzielen der Informationssicherheit vereinen:

  1. Datenminimierung: Es sollen nur wirklich notwendige und dem Verarbeitungszweck dienliche Daten verarbeitet werden und diese Daten sollen auch nur so lange gespeichert werden, wie der Verarbeitungszweck oder eine gesetzliche Aufbewahrungsfrist besteht.
  2. Verfügbarkeit: Alle Daten müssen ordnungsgemäß für ihre Verarbeitungszwecke zur Verfügung stehen. Dazu zählt vor allem die Verfügbarkeit der Daten nach technischen Zwischenfällen oder bei hoher Belastung der Systeme.
  3. Integrität: Alle Daten müssen vollständig, richtig und aktuell sein.
  4. Vertraulichkeit: Nur befugte Mitarbeiter haben Zugriff auf die für sie relevanten Daten bzw. können diese bearbeiten.
  5. Nichtverkettung: Datensätze, die zu verschiedenen Zwecken erhoben wurden, werden nicht ohne Anonymisierung zusammengeführt, das heißt, sie werden strikt zweckgebunden verarbeitet.
  6. Transparenz: Es ist für Aufsichtsbehörden, Betroffene und auch für die Verantwortlichen selbst nachvollziehbar, welche Daten auf welcher Rechtsgrundlage in welchem Umfang für welchen Zweck verarbeitet werden, wann sie gelöscht werden und welchen dritten Parteien sie offengelegt werden.
  7. Intervenierbarkeit: Betroffenenrechte können unverzüglich und effektiv umgesetzt werden.

Die Gewährleistungsziele kann man als Überschriften in der TOM-Liste verwenden, um die Dokumentation der Sicherheitsvorkehrungen zu strukturieren.

Der Inhalt

Doch was schreibt man nun konkret unter diese Überschriften, wo das Datenschutzrecht doch technologieneutral formuliert ist? Mit dem SDM kommt man einen guten Schritt weiter, wenn auch noch nicht ans Ziel, da es von den Aufsichtsbehörden noch nicht fertig ausgearbeitet worden ist.

Das SDM funktioniert in der Weise, dass es konkrete Maßnahmen gibt, die in einem Maßnahmen-Katalog gruppiert nach Prozessen in der Datenverarbeitung, beispielsweise „Aufbewahrung“ oder „Löschen und Vernichten“, und nach Prozessen des Datenschutzes, beispielsweise „Dokumentation“ und „Datenschutzmanagement“. Diese Unterteilungen im Maßnahmen-Katalog werden „Bausteine“ genannt. Bisher gibt es allerdings noch keine von den Aufsichtsbehörden gemeinsam veröffentlichten Bausteine, sondern nur einige vorläufig von einer einzelnen Behörde veröffentlichte Bausteine.

Zum jetzigen Zeitpunkt kommt man nur mit Fachleuten für Informationssicherheit verlässlich ans Ziel. In Eigenregie lassen sich aber bereits einige wesentliche Sicherheitsvorkehrungen treffen.

Über den Maßnahmen-Katalog hinaus gibt das SDM nämlich einige „generische Maßnahmen“ vor, die einem einen Eindruck verleihen, was man an Informationssicherheit grundlegend umsetzen soll:

Datenminimierung

  • Ein Löschkonzept, das Datenarten mit ihren Aufbewahrungsfristen erfasst und dazu beiträgt, dass Daten fristgemäß gelöscht werden.
  • Ein Unterstützungsprozess im Unternehmen, bei dem bestehende und neue Verarbeitungen daraufhin überprüft werden, ob die verarbeiteten Daten notwendig und zweckdienlich sind.

Verfügbarkeit

  • verlässliche und schnell einsetzbare Backup-Konzepte (keine Bandlaufwerke…),
  • Ersatz-Hardware für Server und Arbeitsplätze,
  • Verwendung von Dateimanagement-Systemen.

Integrität

  • Betroffene haben die Möglichkeit, Änderungen in ihren Daten mitzuteilen, beispielsweise wenn sich Kontaktdaten ändern, etwa durch dafür vorgesehene Kontaktformulare.
  • Backup-Konzepte schützen vor dem Verlust von Datensätzen.
  • Nur befugte Mitarbeiter können Datensätze ändern, Zugriffe werden protokolliert, alle Mitarbeiter können nur ihren eigenen mit sicherem Passwort geschützten Account werden.

Vertraulichkeit

  • Nur Befugte haben Zutritt zum Betrieb und zu den entsprechenden Arbeitsplätzen.
  • An allen Arbeitsplätzen sind Virenscanner und Firewalls installiert und werden aktuell gehalten.
  • Passwortschutz und individuelle Accounts verhindern unbefugten Zugang zu personenbezogenen Daten.
  • Alle Datenträger sind (beispielsweise mit BitLocker) verschlüsselt, damit auch aus verloren gegangenen oder geklauten Laptops und USB-Sticks keine personenbezogenen Daten ausgelesen werden können.

Nichtverkettung

  • Arbeitsanweisungen, welche Daten zu welchen Zwecken verarbeitet werden dürfen,
  • Ein Rollenkonzept, das einzelnen Mitarbeitern nur Zugriff auf die für ihre Aufgaben relevanten personenbezogenen Daten erlaubt.

Transparenz

  • Es ist beispielsweise durch entsprechende Datenschutzerklärungen (Pflichten 5 und 6) sichergestellt, dass Betroffene über die Verarbeitung ihrer Daten aufgeklärt sind.
  • Es existiert ein vollständiges und aktuelles Verzeichnis von Verarbeitungstätigkeiten (Pflicht 1), dass der zuständigen Aufsichtsbehörde vorgelegt werden kann.
  • Es existiert ein Einwilligungsmanagement für eingeholte datenschutzrechtliche Einwilligungen.

Intervenierbarkeit

  • Alle Mitarbeitenden sind geschult, Betroffenenanfragen (Pflicht 1) schnellstmöglich an die zuständigen Mitarbeitenden weiterzuleiten, damit diese fristgerecht bearbeitet werden können.
  • Die genutzten Systeme sind darauf ausgelegt, dass Betroffenenanfragen auch umgesetzt werden können, insbesondere die Sperrung bestimmter Daten für die Verarbeitung.

Muster für TOM-Listen

Wer erstellt TOM-Listen?

Ein guter Ausgangspunkt, sich einen Überblick über die eigenen Sicherheitsvorkehrungen zu verschaffen, ist die oben verlinkte Beispiel-Checkliste.

Allerdings ist durch das einfache Ankreuzen zutreffender Punkte auf der Liste nicht geklärt, ob die so dokumentierten Sicherheitsvorkehrungen auch ein angemessenes Schutzniveau garantieren, wie es das Datenschutzrecht verlangt. Hier ist – am besten durch Fachleute – immer der Einzelfall zu prüfen, gerade da zu lasche Sicherheitsvorkehrungen von den Aufsichtsbehörden strikt mit Bußgeldern geahndet werden.

Nochmal in trocken!

  • Art. 32 DS‑GVO beschreibt die Pflicht, für die Sicherheit der Verarbeitung zu sorgen;
  • Art. 5 DS‑GVO nennt die Grundsätze der Datenverarbeitung, darunter die Pflicht, alles zu dokumentieren, was man tut.

Wo erfahre ich mehr darüber?