Close
Wer ist eigentlich TOM?

Jana Zeidler
Rechtsanwältin

Datenschutz
|

Wer ist eigentlich TOM?

Schwerwiegende Cyberangriffe, wie beispielsweise im Mai 2017 mit WannaCry, haben offenbart, dass eine Vielzahl von Unternehmen aufgrund fehlender Maßnahmen für Datensicherheit nicht in der Lage war, Daten zu schützen bzw. wiederherzustellen.

Mit Geltung der DS-GVO müssen Unternehmen gewährleisten, dass sie eingesetzte Systeme im Fall einer Attacke oder Störung zumindest wiederherstellen können. Darüber hinaus sind geeignete Vorkehrungen zu treffen, um ein zuverlässiges System vorzuhalten, was zudem sicherstellt, dass gespeicherte personenbezogene Daten auch bei etwaigen Fehlfunktionen unbeschädigt bleiben. Neben der Wiederherstellbarkeit, der Zuverlässigkeit und Datenintegrität sind aber noch weitergehende Sicherheitsziele durch das Ergreifen geeigneter technischer und organisatorischer Maßnahmen (TOMs) zu wahren.

Der Verantwortliche muss die ergriffenen Maßnahmen dokumentieren und regelmäßig auf deren Wirksamkeit überprüfen. Die Dokumentation kann entweder im Rahmen des Verzeichnisses für Verarbeitungstätigkeiten oder in einem separaten Maßnahmenkatalog, auf den im Verzeichnis verwiesen wird, geschehen.

Eine einmalige Erstellung eines Sicherheitskonzeptes reicht allerdings nicht aus. Da sich der Stand der Technik in kürzester Zeit verändern kann und heute ergriffene Maßnahmen ggf. morgen schon nicht mehr ausreichend sein können, um Datenschutz zu gewährleisten, ist eine stetige Aktualisierung/Kontrolle der Maßnahmen und der Dokumentation unabdingbar.

Praxistipp:

Zunächst sollten Sie sich als Verantwortlicher damit vertraut machen, welche technisch und organisatorischen Maßnahmen grundsätzlich in Frage kommen (Art. 32 Abs. 1 DS-GVO), um sodann abgleichen zu können (Soll/Ist-Analyse), welche Maßnahmenbereiche im Unternehmen bereits gewährleistet sind oder ob möglicherweise weitergehende Maßnahmen ergriffen werden müssen. Hierzu sollte jeder Unternehmensbereich aktiv durchleuchtet werden. Sie werden sich bei der Analyse eine Vielzahl von Fragen stellen müssen. Zum Beispiel:

Ist in Ihrem Unternehmen tatsächlich gewährleistet, dass Unbefugten der Zugang zu Verarbeitungsanlagen (Bsp. Serverraum) verwehrt wird und ein unbefugtes Lesen, Verändern, Löschen oder Kopieren von Daten(-trägern) ausgeschlossen ist?
Sind Fenster im Erdgeschoss bei Abwesenheit stets verschlossen?
Liegen Dokumente mit sensiblem Inhalt möglicherweise in Sichtweite für Besucher?
Gibt es im Unternehmen eine Schlüsselverwaltung?
Was passiert, wenn ein Mitarbeiter das Büro verlässt – wann stellt sich Bildschirm dunkel und kann dieser erst mit Eingabe eines sicheren Passworts wieder aktiviert werden?
Gibt es ein Brandmeldesystem/Feuerlöscher? Was passiert mit Fehlausdrucken?

Um etwaige Schwachstellen erkennen zu können, sollten Sie sich vom Ist-Zustand auch durch einen bewussten Rundgang durch das gesamte Gebäude überzeugen. Für die Sicherheit des IT-Systems/verwendeter Hard- und Software ist eine direkte Abstimmung mit der IT-Abteilung/ externen IT-Dienstleistern zwingend erforderlich.

Auf dieser Basis können schließlich vorhandene Maßnahmen angepasst oder neue eingeführt werden.

2018.04.20-Wer-ist-eigentlich-TOM.pdf (95 Downloads)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Close