Die vier Vorlagen in diesem Produkt „Technische und organisatorische Maßnahmen“ unterstützen bei der Festlegung von TOM und deren professioneller Implementierung.
Technische und organisatorische Maßnahmen sollen unsere Daten schützen
Maßnahmen technischer und organisatorischer Natur (TOM) beschreiben Aktivitäten, die in erster Linie dem Schutz der verarbeiteten personenbezogenen Daten dienen und sind somit zentral für den operativen Datenschutz. Technische Maßnahmen sind dabei solche, die physisch umsetzbar sind. Organisatorische Maßnahmen betreffen dagegen die Verarbeitungsverfahren mit den zugehörigen Abläufe und Handlungsanweisungen. In diesem Produkt sind deshalb die folgenden Perspektiven zu den TOM zusammengefasst:
- Technische und organisatorische Maßnahmen allgemein
- Passwortrichtlinie Vorlage
- Zusatzvereinbarung mit TOM im Homeoffice
- Maßnahmen bei dem Ausscheiden von Beschäftigten
Im Folgenden erhalten Sie weitere Informationen zu den Inhalten und Schwerpunkten der vier genannten Dokumente.
Technische und organisatorische Maßnahmen allgemein im Überblick
Viele Organisationen können die folgenden beiden Fragen in Hinsicht auf den aktuellen Stand des Datenschutzes nicht eindeutig beantworten: Was ist schon vorhanden? Was fehlt noch? Diese Arbeitshilfe kann deshalb als Instrument der Selbstüberprüfung genutzt werden. Weiterhin kann sie als Anlage bei Verträgen der Auftragsverarbeitung sowie dem Verzeichnis der Verarbeitungstätigkeiten Verwendung finden. § 64 des Bundesdatenschutzgesetzes (BDSG) stellt explizit Anforderungen an die Sicherheit der automatisierte Datenverarbeitung. Organisationen müssen somit zu den folgenden Aspekten Maßnahmen treffen:
- Zutrittskontrolle
- Zugangskontrolle
- Zugriffskontrolle
- Weitergabekontrolle
- Eingabekontrolle
- Auftragskontrolle
- Verfügbarkeitskontrolle
- Trennungsgebot
Anhand der genannten Themenfelder kann mit Hilfe dieser Vorlage also eine Überprüfung der erforderlichen technischen und organisatorischen Maßnahmen erfolgen. Danach ist erkennbar, ob noch Handlungsbedarf besteht, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Mit der Passwortrichtlinie zu besserem Datenschutz
Besonders beim Umgang mit Passwörtern tun sich viele Organisationen immer noch schwer. Leider nutzen mittlerweile auch semiprofessionelle Hacker Werkzeuge, die vollautomatisch den betrieblichen Passwortschutz auf die Probe stellen. Der Funktionsumfang umfasst ganze Wörterbücher einschließlich gängiger Wortkombinationen mit Zahlen und Sonderzeichen, die durchprobiert werden. Sich dagegen zu schützen klappt nur, wenn die Passwörter und der Umgang damit, bestimmte Qualitätsanforderungen erfüllen. Diese Passwort-Richtlinie hilft, die notwendigen Maßnahmen bei der Verwendung von Passwörtern im Unternehmen sicherzustellen. Zu diesem Zweck berücksichtigt sie die folgende Inhalte:
- Regeln für die Benutzer zum Umgang mit Passwörtern
- Pflichten der Administratoren
- Pflichten der Passwort-Nutzer
- Technisch organisatorische Maßnahmen beim Umgang mit Kennwörtern.
Diese Vorlage für eine Passwortrichtlinie ist so gestaltet, dass sie sich einfach an die eigene Organisation anpassen lässt. Damit gehören Passwortnotizen unter der Tastatur oder schlecht gewählte Passwörter, wie „123456“ oder „qwertz“ der Vergangenheit an.
Viele Datenschutzrisiken entstehen durch Schnittstellen
Neben den Ursachen durch die Zusammenarbeit freiberuflich Tätigen Personen, Selbstständigen oder Behörden, entstehen Datenschutzrisiken durch neu hinzugekommene Schnittstellen, wie zum Beispiel die Tätigkeit von Beschäftigten im Homeoffice. Unternehmen müssen die „Arbeit von zu Hause“ ebenfalls datenschutzkonform gestalten. Mit der Zusatzvereinbarung Homeoffice können die Verantwortlichen der Gefährdungslage im Homeoffice, die sich zum betrieblichen Arbeitsplatz signifikant unterscheidet, Rechnung tragen und ein angemessenes Schutzniveau sicherstellen. Einen weiteren, nicht zu unterschätzenden Faktor, stellen die ausscheidenden Beschäftigten dar. Eine fristlose Kündigung kann zum Beispiel durch Frusthandlungen zu einer Gefahr für den Datenschutz und die Datensicherheit werden. Die Checkliste für das Ausscheiden von Mitarbeitern gibt Hinweise zur Ausgestaltung des Prozesses des sogenannten „Offboardings“ von Beschäftigten.
