Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

TOM: technische und organisatorische Maßnahmen

Personenbezogene Daten sind nicht nur auf rechtlicher Ebene, sondern auch auf technischer und organisatorischer Ebene zu schützen. Dies bezeichnet man auch als Datensicherheit. Nötig sind dafür die sogenannten technischen und organisatorischen Maßnahmen, meist abgekürzt als TOM.

➜ Technische und organisatorische Maßnahmen praktisch umsetzen

Datensicherheit

Angreifer nutzen Schwachstellen in IT-Systemen aus, um personenbezogene Daten auszuspähen und zu missbrauchen. Zur Sicherheit der Verarbeitung nach Datenschutz-Grundverordnung (DSGVO / GDPR) gehört deshalb ein Patch-Management, um Sicherheitslücken zu beheben. Erfahren Sie, worauf es beim Patch-Management ankommt.

Unterschätztes Risiko

Nach Ansicht mancher Spötter sind papierlose Büros so selten wie weiße Elefanten. Wie auch immer: Schon wegen diverser Aufbewahrungspflichten gibt es in vielen Unternehmen noch große Aktenberge. Wehe, sie kommen mit Wasser in Berührung und werden unbrauchbar. Dann tauchen erhebliche Datenschutzfragen auf.

Analyse zu neuen IT-Sicherheitskonzepten

Die Security empfiehlt ein Zero-Trust-Konzept: Unternehmen sollten nicht darauf vertrauen, dass die interne IT sicher ist und alle Angriffe von außen kommen. Was heißt das für den Datenschutz?

Ransomware-Schutz

Ransomware-Attacken können personenbezogene Daten gegen den Willen der Opfer verschlüsseln. Ohne Backup sind die Daten nicht mehr verfügbar, der Datenschutz ist verletzt. Damit die schnelle Wiederherstellung funktioniert, reicht eine einfache Datensicherung nicht. Lesen Sie, was DSB dazu wissen müssen.

Im Gespräch mit Prof. Dr. Thomas Petri

Das Thema Löschen ist auch in öffentlichen Verwaltungen ein Dauerbrenner. Und mit dem OZG hatte sich der Gesetzgeber für Deutschland vorgenommen über 6.000 Verwaltungsleistungen bis Ende 2022 zu digitalisieren. Wir haben Prof. Thomas Petri, dem Bayerischen Landesbeauftragten für den Datenschutz, für ein Update in unseren Podcast eingeladen.

Personenbezogenen Daten löschen lassen sollte bald deutlich leichter werden. EuGH-Urteil sagt, dass ein Widerruf an ein Unternehmen ausreichen muss!
Bild: SvetaZi / iStock / Getty Images Plus
EuGH-Urteil

Wer seine personenbezogenen Daten aus dem Telefonbuch und Suchmaschinen löschen lassen möchte, dürfte es bald deutlich leichter haben. Denn Telefonanbieter, die Daten an andere Verzeichnisse weitergeben, müssen auch dafür sorgen, dass diese Daten wieder gelöscht werden, wenn Kunden sie darum bitten. Ein Widerruf an ein Unternehmen muss ausreichen – das teilte der Europäische Gerichtshof (EuGH) mit.

Kann Datenschutz einen Beitrag zum Umweltschutz leisten? Ja! Löschen Sie Ihren längst vergessenem Datenmüll, so wie es auch die DSGVO fordert.
Bild: Andranik Hakobyan / iStock / Getty Images Plus
Löschstrategien

Kann Datenschutz einen Beitrag zum Umweltschutz leisten? „Ja“, sagen die Datenschutzberaterin Dr. Victoria Roux und der Softwareunternehmer Eric Waltert. Sie setzen vor allem auf das Löschen von längst vergessenem Datenmüll – so wie es auch die Europäische Datenschutzgrundverordnung (DSGVO) fordert.

Löschkonzept

Einerseits gilt es, Daten vor ungewolltem Löschen zu schützen. Andererseits sollen Berechtigte sie unkompliziert vernichten können. Neue technische Lösungen auf dem Markt versprechen nun „unzerstörbare“ Daten, die sich bei entsprechender Berechtigung aber löschen lassen.

Attacken auf mobile Endgeräte

Datenklau gehört zu den größten Sorgen von Smartphone-Nutzerinnen und Nutzern. Mobile Forensik hilft dabei, feststellen, ob jemand ein Endgerät angegriffen oder manipuliert hat. Das geht auch, ohne dass der Datenschutz erneut in Gefahr gerät.

Stand der Technik

Die Anonymisierung personenbezogener Daten ist eine komplexe Herausforderung für Verantwortliche. Der Begriff „Differential Privacy“ taucht dabei häufig als der Goldstandard für datenschutzfreundliche Technologien auf und soll im Folgenden genauer beleuchtet werden.

2 von 9

Die Datenschutz-Grundverordnung (DSGVO) fordert, nicht nur die personenbezogenen Daten an sich zu schützen, sondern auch die Dateien, Datenbanken, Datenträger, IT-Systeme und -Komponenten, in denen sie gespeichert oder verarbeitet werden (technische Maßnahmen). Zudem sind organisatorische Maßnahmen zum Schutz der Daten zu treffen (z.B. Arbeitsanweisungen).

Es genügt, solche TOM zu treffen, deren Aufwand in einem angemessenen Verhältnis zum Nutzen stehen. Es ist nicht notwendig, „mit Kanonen auf Spatzen zu schießen“. Was das konkret im Einzelfall bedeutet, kann jedoch auslegungsbedürftig sein.

TOM-Maßnahmen zur Datensicherheit

Die DSGVO fordert, dass Verantwortliche personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen schützen müssen (Art. 32 DSGVO). Dabei müssen sie nicht jede Maßnahme, die denkbar ist, auch umsetzen – sondern nur solche, die angemessen sind.

Angemessenheit der TOM bestimmen

Um die Angemessenheit von technisch-organisatorischen Maßnahmen zu bestimmen, gilt es, laut Gesetz folgende Kriterien zu berücksichtigen:

Folgende Ziele sollen die technischen und organisatorischen Maßnahmen unter anderem erreichen:

    • Zutrittskontrolle
    • Zugangskontrolle
    • Zugriffskontrolle
    • Trennungskontrolle
    • Weitergabekontrolle
    • Eingabekontrolle
    • Verfügbarkeitskontrolle
    • Auftragskontrolle
  • eine rasche Wiederherstellung der Verfügbarkeit und des Zugangs zu den personenbezogenen Daten nach einem Zwischenfall
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der getroffenen Maßnahmen. Dazu wird mindestens eine IT-Risiko-/Schwachstellenanalyse erforderlich sein. Durch ein Kontrollverfahren müssen Verantwortliche zudem die TOM in regelmäßigen Abständen überprüfen und verbessern.

Verhaltensregeln helfen

Der Datenverarbeiter muss nachweisen, dass er die Datensicherheit gemäß Art. 32 DSGVO gewährleistet (Rechenschaftspflicht). Zu seiner eigenen Erleichterung darf er dabei auf genehmigte Verhaltensregeln gemäß Art. 40 DSGVO oder auf genehmigte Zertifizierungsverfahren gemäß Art. 42 DSGVO zurückgreifen (Art. 32 Abs. 3 DSGVO).

Das erleichtert auch die Rechenschaft gegenüber Dritten.

Verarbeitung nur aufgrund von Weisungen

Die Mitarbeitenden, die personenbezogene Daten verarbeiten, müssen den Anweisungen des Verantwortlichen folgen. Der Verantwortliche muss dies seinerseits durch geeignete Maßnahmen sicherstellen (Art. 32 Abs. 4 DSGVO). Dabei kann er die Mitarbeiter als organisatorische Maßnahme auf die Vertraulichkeit bzw. das Datengeheimnis verpflichten.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.