DSGVO: Mit TOM durch Dick und Dünn – Warum wir technische und organisatorische Maßnahmen hassen und lieben zugleich

veröffentlicht am 24. Mai 2018 in Tipps & Tricks  .

Die neue Datenschutzgrundverordnung erfordert ein erweitertes Verarbeitungsverzeichnis. Neben den Standardangaben zu Verantwortlichkeit und Datenschutzbeauftragten werden u.a. Datenkategorien, Übermittlung, Löschfristen und auch die technischen und organisatorischen Maßnahmen (kurz TOM) aufgenommen. In diesem Beitrag werde ich einige dieser Maßnahmen vorstellen.

Lachender Mann mit Trennschleifer

Abbildung:Foto von David Siglin auf Unsplash

Woher kommt TOM?

Um die DSGVO zu verstehen, ist es wichtig zu wissen, dass die Grundlage die Sicherheit der Verarbeitung ist. Das Bundesministerium für Sicherheit (BSI) hat dafür den sogenannten IT Grundschutz entwickelt. Aufgeteilt in fünf System- (Anwendungen, Systeme, industrielle Systeme, Netzwerkkomponenten, Infrastruktur) und drei Prozessbausteine (Konzepte, Operationen, Organisation und Personal). Es werden Gefährdungen und Maßnahmen betrachtet. Diese bilden ein Informationssicherheitsmanagementsystem (ISMS), dass zur Abbildung Ihres Standard-Datenschutz-Modells (SDM) genutzt werden kann.

Wie bilde ich meine TOM?

Grundlage des SDM bilden die sieben Gewährleistungsziele :

  • Verfügbarkeit: wird durch Sicherheitskopien und Spiegelung von Dateien, Prozesszuständen, Konfigurationen und Historien erzeugt. Schutz vor äußerem Einflüssen, Dokumentationen, Redundanzen von Hard- und Software sind weitere Maßnahmen die Verfügbarkeit zu erhöhen.
  • Integrität: betrifft die Korrektheit/Unversehrtheit der Daten. Erreicht wird diese bspw. durch die Einschränkung und Dokumentation von Schreib-, Änderungs- und Löschrechten, Einsatz von Prüfsummen, Aktualität der Daten und Prozesse.
  • Vertraulichkeit: bedeutet die Offenlegung der Daten lediglich an einen eingegrenzten Personenkreis. U.a. durch die Festlegung einem Rechte- und Rollenkonzept, sichere Authentifizierungsverfahren, Kontrolle der Kommunikationskanäle, Verschwiegenheitserklärungen und Nutzung von Verschlüsselung kann ein hohes Vertraulichkeitsniveau erreicht werden.
  • Datenminimierung: meint es werden nur die Attribute der betroffenen Personen erfasst, die für die Erfüllung des Prozesses benötigt werden. Auch die Reduzierung der Prozessschritte und Verarbeitungsoptionen, eine Pseudonymisierung bzw. Anonymisierung und automatischer Sperr- und Löschroutinen unterstützen die Datenminimierung.
  • Nichtverkettung: ist die getrennte Verarbeitung von Information und wird z.B. erreicht mit Hilfe von Einschränkungen der Verarbeitungs-, Nutzungs- und Übermittlungsrechte, programmtechnische Unterlassung bzw. Schließung von Schnittstellen und Verarbeitung pseudonymer bzw. anonymisierter Daten.
  • Transparenz: als Nachvollziehbarkeit von Prozessen und Abläufen, kann u.a. durch Dokumentation von Verfahren insbesondere mit den Bestandteilen Geschäftsprozesse, Datenbestände, Datenflüsse, dafür genutzte IT-Systeme, Betriebsabläufe, Verfahrensbeschreibungen, Zusammenspiel mit anderen Verfahren, Dokumentation von Tests und Nachweis von Datenquellen (Authentizität) ermöglicht werden.
  • Intervenierbarkeit: wird u.a. durch differenzierte Einwilligungs-, Rücknahme- sowie Widerspruchsmöglichkeiten, Schaffung notwendiger Datenfelder z. B. für Sperrkennzeichen, Benachrichtigungen, Einwilligungen, Widersprüche und Gegendarstellungen, Implementierung standardisierter Abfrage- und Dialogschnittstellen für Betroffene und Sperrung und Löschung aller zu einer Person gespeicherten Daten.

Diesen Zielen werden entsprechende Prozesse zur Gewährleistung gegenübergestellt. Für die Zuordnung empfiehlt sich die Betrachtung der Datenkategorie und die Systeme, welche zur Verarbeitung genutzt werden. Wenn wir bspw. einen Bewerbungsprozess betrachten, werden personenbezogene Daten (Name, Vorname, Adresse, Geburtsdatum, Ausbildungsabschluss, letztes Unternehmen), teilweise mit hoher Sensibilität (Religionszugehörigkeit), in Form einer Bewerbung über den Postweg mitgeteilt. Die Bewerbung wird eingescannt und die Papierform mit einem Eingangsstempel einsortiert.

Übersicht der TOM - Komponenten der Verarbeitung & Gewährleistungsziele

Übersicht der TOM - Komponenten der Verarbeitung & Gewährleistungsziele

Wie an diesem sehr einfach dargestellten Beispiel überschneiden sich die Prozesse der Gewährleistungsziele. Das heißt mit einer Maßnahme erfüllen Sie bereits mehrere Ziele.

Hier ein kleiner Test für Sie: Ich beschreibe Ihnen zehn Situationen in der Personalabteilung und Sie entscheiden, ob das Gewährleistungsziel Vertraulichkeit und/oder Verfügbarkeit erfüllt wurde. Die Lösung gibt es am Ende der Seite.

  1. Um die Gehaltstabellen Ihrer Mitarbeiter auszudrucken, müssen Sie am Drucker Ihren persönlichen PIN eingeben.
  2. Jeder Mitarbeiter kann auf die Bewerberdatenbank zugreifen.
  3. Personalakten von ehemaligen Mitarbeitern werden in einem IKEA Regal im unverschlossenen Archiv aufbewahrt.
  4. Ein verschlüsseltes Backup der Datenbank wird täglich durchgeführt und im Safe in einem anderen Brandabschnitt aufbewahrt.
  5. Der Hauptdatenbankserver befindet sich in einer unbenutzten Sanitäranlage ohne Klimaanlage.
  6. Lohndaten werden per Ende-zu-Ende-Verschlüsselung dem Steuerbüro übertragen.
  7. Die Namen der Mitarbeiter in der Krankenstatistik werden durch einen wechselnden Zahlencode ersetzt.
  8. Sie können sich an jedem PC im Unternehmen mit Ihrem persönlichen monatlich wechselnden Kennwort anmelden und weiterarbeiten.
  9. Nicht mehr benötigte Bewerbungen werden im Papierkorb neben den Drucker entsorgt.
  10. Im verschlossenen Serverraum werden neben den Personalakten im offenen Stahlschrank auch Schnittchen für Unternehmensgäste aufbewahrt.

Fazit

Auf den ersten Blick wirken die technischen und organisatorischen Maßnahmen einschüchternd, aber bei genauerem Betrachten sind dies alles Maßnahmen, die zum größten Teil bereits zu Ihrem Standardrepertoire gehören und durch die Datenschutzgrundverordnung besser dokumentiert und aufgeschlüsselt werden. Natürlich bedeutet dies im ersten Moment mehr Dokumentationsarbeit, aber wenn Sie den Blickwinkel von Unternehmen zu Kunde wechseln, dann möchten Sie vielleicht auch nicht, dass jeder Ihre Abschlussnote bei der Diplom- bzw. Masterarbeit sieht und in der Kaffeeecke diskutiert.

Lösung:

  1. Vertraulichkeit erfüllt
  2. Besser Berechtigungskonzept einführen
  3. Prüfen, ob diese Akten aufgrund von Zahlungsnachweisen noch benötigt werden, wenn nicht vernichten. Wenn sie weiterhin benötigt werden, besser in einem abschließbaren feuerfesten Schrank aufbewahren im verschlossenen Archiv.
  4. Verfügbarkeit und Vertraulichkeit erfüllt
  5. Brand- und Diebstahlschutz sind nicht erfüllt. Weiterhin ist davon auszugehen, dass die Hauptwasserleitung in der Nähe ist und die Tür keine Brandschutztür ist.
  6. Vertraulichkeit erfüllt
  7. Vertraulichkeit erfüllt
  8. Verfügbarkeit und Vertraulichkeit erfüllt
  9. Besser in den Aktenvernichter oder die Datentonne werfen.
  10. Administration, Sekretariat und Personalabteilung haben Zugang zum Server, den Akten und den Schnittchen. Besser ist alles voneinander zu trennen. Entweder Serverschrank und Stahlschrank abschließen oder die Personalakten in einem anderen Büro ebenfalls abschließen. Und Schnittchen gehören in den Kühlschrank in der Küche (den kann man durchaus auch abschließen)

Wie gut hat Ihnen mein Artikel gefallen? Geben Sie mir bitte Ihre Sterne!
Vielen Dank, .

Bewerten Sie den Artikel.

Bewertung:
5 von 5 Punkten, basierend auf 2 abgegebenen Stimme(n).





Sagen Sie es weiter!





Mehr Erfolg im Vertrieb

TecArt® CRM Software Infopaper

Whitepaper CRM Info Cover
Whitepaper CRM Info Seite 5
Whitepaper CRM Info Seite 7

Unser kostenloses Infopaper zeigt Ihnen:

  1. Erfolgsfaktoren bei der Software-Auswahl für Vertrieb & Marketing:
  2. Tipps & Tricks von TecArt-Kunden (Vertriebsgesellschaften & Dienstleister)?
  3. Preise, Funktionsübersicht und Leistungen von TecArt?
     

     




Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.

Autoreninfo

Cornelia Herre

Hier bei TecArt bin ich für das Innovationsmanagement, die Informationssicherheit und den Datenschutz verantwortlich. Als gelernte Fachinformatikerin und studierte Organisations- und Personalentwicklerin (M.A.) vereine ich zwei Wissenwelten, die mir meine tägliche Arbeit erleichtern. Für interne und externe Forschungsvorhaben finde ich schnell geeignete Szenarien in den Bereichen Cloud-Computing, Mixed-Reality, Industrie und Arbeit 4.0. Als TÜV-zertifizierte Datenschutzbeauftragte und Informationssicherheitsbeauftragte der TecArt kümmere ich mich u.a. um die Themen DSGVO und Datensicherheit.

Nutzen Sie unser Experten-Wissen

Kostenfreie Business Webinare, damit Ihr Unternehmen Wettbewerbsvorteile nutzt und weiter ausbaut.

Laptop mit TecArt Webinar Screen

Die Webinare sind auf spezielle Unternehmensszenarien zugeschnitten und basieren auf erfolgreichen Kundenprojekten. Anhand der TecArt Software zeigen wir Ihnen in einer Live-Präsentation, wie Sie Prozesse, Abläufe und Ihre tägliche Arbeit schneller und kostengünstiger erledigen.