Technische und organisatorische Maßnahmen iSd Art 32 DSGVO (TOMs) & Datensicherheitsmaßnahmen des § 54 DSG
Viele Organisationen wissen, dass sie technische und organisatorische Maßnahmen (TOMs) im Rahmen der DSGVO (Datenschutz) umzusetzen haben, können sich jedoch darunter nichts vorstellen.
Sie kennen Virusscans, Penetration-Tests, Firewalls, Datensicherungen, passwortgeschützte Zugriffe, Berechtigungssystem ...
Aber sind das die TOMs, die in Art 32 DSGVO gemeint sind?
Im Österreichischen Datenschutz-Anpassungsgesetz (DSAG 2018) findet sich im Bereich der Umsetzung der VO 580/2016 (für Sicherheitspolizei etc... maßgebend) in § 54 DSG eine Aufzählung von Maßnahmen, die gesetzt werden müssen. Diese können als Vorlage auch für private Organisationen dienen.
Sicherheitsmaßnahme
Maßnahme des Verantwortlichen
Zugangskontrolle
Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle)
Der Serverraum ist versperrt; der Laptop/PC wird in einem versperrten Kasten verwahrt; der Zutritt zum Serverraum wird protokolliert und es sind nur diejenigen Personen zutritts- bzw. zugriffsberechtigt, die dazu von der Leitung berechtigt wurden |
Datenträgerkontrolle
Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Entfernens von Datenträgern (Datenträgerkontrolle)
Die Daten sind ausschließlich auf dem einem bestimmten Laufwerk des Servers, Laptop/PC gespeichert, der im .. [Bezeichnung: z.B. xxx verwahrt wird |
Benutzerkontrolle
Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle)
Der IT-Administrator vergibt die Benutzerrechte im Rahmen des Notwendigen (need to know Prinzip, dh es können nur Befugte auf Daten zugreifen) |
Zugriffskontrolle
Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den ihrer Zugangsberechtigung unterliegenden personenbezogenen Daten Zugang haben (Zugriffskontrolle)
Es besteht eine Passwort-Policy und diese ist den Befugten auch bekannt |
Übertragungskontrolle
Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle)
Daten werden nur an berechtigte Empfänger (z.B. Banken im Rahmen des Zahlungsverkehrs) elektronisch übertragen; bei Verwendung der Daten für Schriftstücke gibt es ein Vier-Augen-Prinzip) |
Eingabekontrolle
Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben worden sind (Eingabekontrolle)
Es wird - wenn mehrere Benutzer bestehen - mitprotokolliert, welcher Benutzer auf welche Daten zu welchem Zeitpunkt zugegriffen hat; diese Protokolle stehen der IT-Administration zur Verfügung. |
Transportkontrolle
Verhinderung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle)
Es besteht die Weisung, dass Daten nicht auf mobilen Datenträgern gespeichert werden. (USB-Sticks, Smartphones); der Laptop/PC darf nur von befugten Personen verwendet und transportiert werden. Wenn der Laptop z.B. zur Reparatur außer Haus gebracht wird, ist sichergestellt, dass der Empfänger die Daten vertraulich behandelt (Vertrag) |
Wiederherstellung
Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellung)
Es besteht eine Sicherung der Daten (Form der Sicherung: …, zeitlicher Abstand der Sicherung: …). Die IT-Administration ist in der Lage, die Sicherung zeitnahe einzuspielen. Das Szenario wird in periodischen Abständen getestet |
Datenintegrität
Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen, auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität)
Es erfolgen die notwendigen Updates des Betriebssystemes und der sonstigen Programme; es gibt einen ausreichend Schutz gegen Intrusion und Viren. Es ist im Rahmen des Prozesses der Aufnahme neuer betroffener Personen sichergestellt, dass es einen Auftrag (...) gibt
Kommentar schreiben