technisch organisatorische Maßnahmen (TOM)

Personenbezogen Daten unterliegen einem besonderen Schutz, deren Einhaltung und Kontrolle in den Landesdatenschutz-Gesetzen, dem Bundesdatenschutzgesetz und der EU DSGVO geregelt ist. Ein technische Teil der Umsetzung kann in den sogenannten technisch-organisatorischen Maßnahmen (TOM) geregelt werden. Sicherheit und Aufwand sollten dabei in einem ausgewogenen Verhältnis stehen.

Frei zugängliche Daten gelten dabei als nicht schützenswert. Schützenswerte Informationen sind unter anderem:

  • akademischer Grad
  • Berufsbezeichnung
  • Telefonnummer
  • Bankverbindung
  • Familienstand
  • Geburtsdaten
  • Religion
  • Staatsangehörigkeit
  • Wehrdienstzeit
  • Zeugnisse, Prüfungsnoten, Beurteilungen
  • Personaldaten aus Beschäftigung
  • Einkommen inkl. Abzüge
  • Sozialleistungen
  • Zugehörigkeit zu gesetzlichen oder privaten Versicherungen
  • begangene Ordnungswidrigkeiten
  • Angaben zu Behinderungen oder Krankheiten
  • Lichtbilder
  • Straffälligkeiten, Disziplinarverfahren
  • Vermögen, Schulden, Pfändungen, Insolvenzen

Das Schutzlevel richtet sich nach dem Stand der Technik und getroffenen technischen und organisatorischen Maßnahmen.

Im Katalog der technisch organisatorischen Maßnahmen finden sich unter anderem:

Zugangskontrolle
Unbefugten ist der Zugang zu den Datenverarbeitungsanlagen zu verwehren. Der Zugang zu den Datenverarbeitungsanlagen sollte zu jeder Zeit gesichert und verschlossen sein. Für den Zugang sollten gängige Sicherheitsschlösser verwendet werden, die Schlüssel sollten nur einer begrenzten und vorher befugten Mitarbeiteranzahl zur Verfügung stehen. Fremde sollten die Räume noch unter stetiger Begleitung und nicht grundlos betreten. Das Betreten der Räume durch die Mitarbeiter sollte protokolliert werden. Entsprechende Formblätter sollten in den Räumen ausliegen. Die Protokollierung ist stetig zu überprüfen und auch Lückenlosigkeit zu kontrollieren.

Sollten die Räume über Außenfenster verfügen, sind diese ebenfalls entsprechend zu sichern und verschlossen zu halten.

Datenträger mit personenbezogenen Daten sind in abschließbaren Behältnissen zu lagern. Will man ein hohes Sicherheitsniveau erreichen kann der Raum mit einer Kamera und Videoüberwachung ausgestattet werden.

Datenträgerkontrolle
Datenträger mit schützenswerten Inhalten dürfen nicht frei zugänglich rumliegen. Es muss zu jeder Zeit gewährleistet sein, das diese unbefugt gelesen, kopiert oder entfernt werden können. Dieses gilt auch für Papierakten auf Bürotischen. Bei der Abgabe von Datenträgern sollten benannten Personen, die für den Datenschutz zuständig sind, informiert werden. Die Verwaltung sollten Aufbewahrungsfristen und Lagerungsmaßnahmen regeln und anweisen. Insbesondere sollte sicher gestellt werden, das das Reinigungspersonal keinen Zugang zu Daten hat, da diese meist nach der Dienstzeit unkontrolliert arbeiten. Verlorene oder entwendete Daten sind umgehend anzuzeigen. Der zuständige Datenschutzbeauftragte sollte hier sporadische Kontrollen vornehmen, und Verbesserungen direkt anweisen.

Nicht mehr benötigte Datenträger sind kontrolliert und sicher zu zerstören. Darüber ist entsprechend ein Vernichtungsprotokoll anzufertigen.

Datenveränderungskontrolle
Verfahrensbediener sollten nie mehr Rechte haben als notwendig. Unbefugte Veränderung, Löschung oder Manipulation von personenbezogene Daten ist durch getroffene Maßnahmen zu verhindern. Der Zugang zu personenbezogenen Daten ist mit Kennwort zu sichern. Passwörter sollten nicht freizugänglich und erkennlich hinterlegt sein.

Es sollte eine festgelegter Personenkreis für die Speicherkontrolle / Datensicherung benannt werden. Die Kontrollen sind zu protokollieren.

Für Testläufe innerhalb von Anwendungsverfahren sollten keine Originaldaten verwendet werden.

Datenzugangskontrolle
Es sollte sichergestellt sein, dass unbefugte Personen Zugriff auf Daten bekommen bzw. diese kopieren können. Dazu sollten Protokolle über die Datenbenutzung erstellt werden und entsprechend zeitnah ausgewertet und geprüft werden. Sollte ein Passwort mehrmals falsch eingegeben worden sein, sollte der Zugang gesperrt werden.

Organisationskontrolle
Die besonderen Anforderungen an den Datenschutz sollten in einer Organisationskontrolle regelmäßig überprüft werden. Eine entsprechende Regelung sollte in Dienstanweisungen festgehalten werden. Elementare Bestandteil sind die Benennung von Ansprechpartnern und deren Zuständigkeitsfelder. Nach der EU DSGVO sollten auch Richtlinien für Auskunftserteilung definiert werden.

Des Weiteren sind folgende Dinge im Bereich der Organisationskontrolle wichtig:

  • regelmäßige Schulungsmaßnahmen Datenschutz
  • formalisierte Freigabe neuer Verfahren
  • Erarbeitung eines Organisationshandbuchs
  • stetige Aktualisierung von Datenverarbeitungsrichtlinien
  • Dokumentation Datensicherung
  • Pflegen der Verfahrensverzeichnisse
  • unvermutete regelmäßige Überprüfungen