Datenschutz

10 ultimative Tipps für die korrekte Erstellung der TOMs

dedata-data-protection

Technische und organisatorische Maßnahmen sind unverzichtbar, wenn man die Bestimmungen der Datenschutzgrundverordnung (DSGVO) rechtlich einwandfrei auslegen möchte.

Doch was versteht man überhaupt unter technischen und organisatorischen Maßnahmen (TOMs) und was haben sie mit Datenschutz respektive Datensicherheit zu tun?

Was versteht man unter Datensicherheit?

Wie der Name bereits vermuten lässt, geht es um den Schutz von Daten. Dabei steht nicht die Frage im Vordergrund, ob man Daten überhaupt erheben darf, sondern vielmehr, wie man die bereits erhobenen Daten schützt.

Die im Rahmen der Datensicherheit ergriffenen Maßnahmen sollen Daten vor vielfältigen Angriffen schützen:

  • Manipulation
  • Diebstahl
  • Verlust
  • Hackern

Damit Sie sich nicht mit den zuvor genannten Aspekten auseinandersetzen müssen, sollten Sie technische und organisatorische Maßnahmen ergreifen, die genau festlegen, wie die Daten zu schützen sind.

Datenschutz und Datensicherheit sind in der Gegenwart zwei nicht voneinander trennbare Begriffe.

Inwiefern sind technische und organisatorische Maßnahmen für mein Unternehmen notwendig?

Die Datenschutzgrundverordnung (DSGVO) spricht eine deutliche Sprache: Daten von Nutzer:innen müssen geschützt werden. Problematisch wird es, wenn Unternehmen lediglich der eingesetzten Software vertrauen und sich abseits dessen keine Gedanken um Datensicherheit machen.

Das kann schwerwiegende Folgen haben, denn die verhängten Bußgelder bei Verstößen gegen die DSGVO sind hoch. Enorm hoch!

Im Alltag lauern allerlei Gefahren, die von Unternehmen immer wieder unterschätzt werden. Um nur einige zu nennen:

  • Viren: Es ist ein Wettlauf gegen die Zeit. Täglich finden neue Viren ihren Weg in das Internet. Die Anbieter von Antiviren-Software sind jeden Tag gefordert, den anfallenden Bedrohungen entgegenzutreten. Eine Firewall sowie mindestens wöchentlich aktualisierte Virenscanner sollten zum Grundkonsens eines jeden Unternehmens gehören.
  • USB-Sticks: Viele Firmen verbieten ihren Mitarbeiter:innen den Einsatz privater USB-Sticks oder Festplatten. Nicht ohne Grund, denn das Nutzungsverhalten der Arbeiter:innen kann nicht kontrolliert werden. Hat sich jemand privat einen Virus eingefangen, kann er das gesamte Netzwerk der Firma in die Knie zwingen.
  • Cloud-Dienste: Legen Sie die Daten Ihrer Firma niemals in der Cloud eines Drittanbieters ab. Sie geben wichtige Dokumente in die Hände Dritter, über deren Geschäftsmodell Sie keinerlei Einfluss haben. Geht der Dienst über Nacht überraschend in die Insolvenz, sind die Daten unter Umständen weg.
  • Einbruch/Witterungsschäden: Es gibt noch immer Firmen, die ihren gesamten Datenbestand lokal auf den Rechnern im Büro speichern und nicht auslagern. Werden die Rechner geklaut oder durch z. B. einen Wasserschaden unbrauchbar, sind die Daten unwiederbringlich verloren.

10 ultimative Tipps zur Umsetzung der technischen und organisatorischen Maßnahmen (TOMs)

Es gibt eine beinahe unüberschaubare Menge an möglichen Maßnahmen. Diese fallen jeweils unter die acht Datenschutzbereiche:

  • Zutrittskontrolle
  • Zugangskontrolle
  • Zugriffskontrolle
  • Weitergabekontrolle
  • Eingabekontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Trennungskontrolle

Jeder dieser Bereiche kann durch eine Vielzahl an Maßnahmen abgesichert werden. Wir gehen im Folgenden auf unterschiedliche Ansätze ein und setzen zur besseren Übersicht und Verständlichkeit den jeweiligen Bereich in Klammern dahinter.

1. Videoüberwachung der Zugänge

Sichern Sie Ihre Daten vor Diebstahl und schrecken Sie potenzielle Einbrecher:innen ab. Eine Videoüberwachung ist nicht mehr so kostspielig wie in der Vergangenheit und bietet zudem zahlreiche Vorteile (Zutrittskontrollmaßnahmen).

2. Festlegen einer Passwortrichtlinie

Es geschieht noch immer jeden einzelnen Tag: Datenklau durch unsichere Passwörter. Sensibilisieren Sie Ihre Mitarbeiter:innen für den Umgang mit Passwörtern und stellen Sie die Bedeutung eines sicheren Passwortes heraus.

Am besten ist, wenn Sie eine für alle Mitarbeiter:innen zugängliche Richtlinie für die Vergabe von Passwörtern festlegen. Je nach Software können Sie das Passwort bei der Vergabe auch prüfen lassen und erst zulassen, wenn es einem zuvor festgelegten Kriterienkatalog entspricht.

Kurze Hilfestellung für ein sicheres Passwort:

  • Umfasst 12 Stellen
  • Kombination aus Groß- und Kleinbuchstaben
  • Zusätzliche Verwendung von Ziffern
  • Einbindung von Sonderzeichen

Beispiel für ein sicheres Passwort: 15!aTzU89-5i

Sichern Sie die Maßnahme zusätzlich dadurch ab, dass Sie in festgelegten Zeiträumen eine Passwortänderung erzwingen. Ändern Sie das Passwort vorwiegend auch dann, wenn Mitarbeiter:innen das Unternehmen verlassen (Zugangskontrollmaßnahmen).

3. Verschlüsselung von Datenträgern und mobilen Endgeräten

Verschlüsseln Sie alle Datenträger und Speichermedien, die bei einem Zugriff Dritter Schaden am Unternehmen verursachen könnten. Das muss nicht immer ein Angriff von außen sein. Oft entsteht genug Schaden, wenn sensible Daten oder Details wichtiger Projekte in die falschen Hände geraten (Zugriffskontrollmaßnahme).

4. Trennung von Produktiv- und Testsystem

Jede/r Programmierer:in kennt das Sprichwort: Niemals am offenen Herzen operieren! Man kann noch so routiniert sein, manchmal reicht eine kleine Unaufmerksamkeit und die Webseite des Unternehmens ist für mehrere Stunden offline. Verhindern Sie dies, indem Sie ein deduziertes Testsystem einrichten (Trennungsgebot).

5. Dokumentation der Empfänger:innen von Daten sowie der vereinbarten Löschfristen

Dokumentieren Sie, welche Dokumente aus Ihrem Unternehmen an welche Person oder Firma herausgegeben wurden. Vereinbaren Sie zudem eine Löschfrist für die versandten Dokumenten. Denn Sie können Ihre Systeme noch so gut schützen – senden Sie Dateien an Unternehmen, die Sicherheitslücken in ihrem System aufweisen, haben Sie darauf keine Kontrolle (Weitergabekontrolle).

6. Nachvollziehbarkeit der Eingaben durch individuelle Benutzernamen

Was wie eine Selbstverständlichkeit klingt, stellt manche Unternehmen vor Probleme. Nicht selten werden Zugänge als Gruppen-Accounts angelegt. Dabei teilen sich mehrere User:innen die gleichen Login und das gleiche Passwort. Das ist bequem für den Administrator, kann im Falle eines Schadens aber zu Problemen führen. Denn Sie können nicht mehr nachvollziehen, wer sich zuletzt an den Datensätzen bedient hat. Daher sollten Sie dafür sorgen, dass jede/r Mitarbeiter:in einen eigenen Login bekommt (Eingabekontrolle).

7. Erstellung eines Backup- und Recoverykonzepts

Sichern Sie die Daten niemals nur auf den lokalen Rechnern, sondern sichern Sie sie einmal am Tag in einer sicheren Cloud. Selbst bei einem Brand- oder Wasserschaden sind Ihre Daten gesichert (Verfügbarkeitskontrolle).

8. Schulen Sie Ihre Mitarbeiter:innen

Mitarbeiter:innen sind nicht nur im Hinblick auf leichtfertige Passwörter eine potenzielle Gefahrenquelle. Häufig geschehen durch Mitarbeiter:innen verschuldete Probleme nicht durch böse Absicht, sondern durch Unwissenheit. Daher sollten Sie Ihre Mitarbeiter:innen im Hinblick auf Datenschutz- und Datensicherheit schulen lassen. Ihr Team wird diese Maßnahme sicherlich dankbar aufnehmen, da es sich bei der Arbeit sicherer fühlt (Auftragskontrolle).

9. Protokollierung der Besucher:innen am Empfang

Diese Maßnahme ist nur für größere Firmen umsetzbar, die eine/n Pförtner:in beschäftigen. Lassen Sie von ihren Pförtner:innen die Identität der Besucher:innen bestätigen und zudem die Besuchszeit protokollieren. Keine Sorge: Ihre Kund:innen werden nicht allergisch auf eine derartige Maßnahme reagieren. Vielmehr bekommen Sie ein Gefühl der Sicherheit, da Sie das Wort Datensicherheit in Ihrem Unternehmen ernst nehmen (Zugangskontrollmaßnahmen).

10. Reduzieren Sie die Anzahl der Administrator:innen

Viele Köche verderben den Brei. Das ist auch in der IT so – unter Umständen. Unsere dringende Empfehlung: Reduzieren Sie die Anzahl der Administrator:innen auf ein Minimum. Auch wenn Sie über hervorragend ausgebildete Mitarbeiter:innen verfügen – Menschen haben manchmal unterschiedliche Vorstellungen und Vorlieben. In der IT benötigen Sie eine klare Handschrift, damit bei Ausfällen schnell gehandelt werden kann.

Sollten Sie mehrere Administrator:innen benötigen, definieren Sie klare Aufgabenbereiche und Zuständigkeiten. Sofern es nötig ist, sollten Sie in der Arbeitsbeschreibung auch festlegen, welche Aufgaben explizit nicht von Personen erledigt werden sollen.

Abschließende Gedanken zu technischen und organisatorischen Maßnahmen

Wie Sie anhand des vorliegenden Artikels sehen, ist eine rechtlich sichere Umsetzung der TOMs mit vielen Unwägbarkeiten verbunden. Unsere Empfehlung ist daher, dass Sie mindestens einmal mit einem Team aus Expert:innen sprechen, um die Situation in Ihrem Unternehmen zu evaluieren.

Auf Wunsch helfen Ihnen diese Teams auch bei der Umsetzung und Kontrolle innerhalb Ihres Unternehmens.

Wenn Sie Fragen haben, können Sie sich gerne auch an uns wenden. In einem kostenlosen Erstgespräch besprechen wir gemeinsam, welche Maßnahmen in Ihrem Unternehmen nötig sind.

[wd_hustle id=”1″ type=”slidein”][/wd_hustle]