Die technischen und organisatorischen Maßnahmen (TOM) sind ein wesentlicher Baustein der Datensicherheit und des Datenschutzes. Wenn es darum geht, Ihre Kundendaten, Mitarbeiterdaten oder Geschäftsgeheimnisse zu schützen, kommen Sie an sicher ausgestalteten TOM nicht vorbei. Dies betrifft auch die Arbeit im Home-Office. Technische Maßnahmen sind jene, die sich physisch umsetzen lassen wie bspw. das Installieren einer Alarmanalage oder die Verschlüsselung von Smartphones. Organisatorische Maßnahmen beziehen sich auf die Rahmenbedingungen der Verarbeitung in Form von Regeln, Vorgaben und Handlungsanweisungen für Mitarbeiter wie bspw. ein lebendiges Berechtigungskonzept.
Ausgestaltung der TOM hängt vom jeweiligen Schutzbedürfnis ab
Um aber herauszufinden, welche TOM Ihr Unternehmen tatsächlich benötigt, müssen Sie sich im Vorfeld einige Fragen stellen:
• Welche Daten werden verarbeitet?
• Was tun wir mit den Daten?
• Zu welchen Zwecken werden die Daten verarbeitet?
• Wo werden die Daten gespeichert?
• Wie hoch ist das Risiko für die Betroffenen, wenn etwas mit den Daten passiert?
Nachdem Sie diese Punkte klären konnten, sollten Sie im ersten Schritt die aktuell bestehenden TOM in einer Übersicht auflisten, um einen Überblick über das gegenwärtige Schutzniveau zu erhalten. Mit dieser vollständigen Liste können Sie dann gemeinsam mit Ihrem IT-Fachmann nach Lücken und potentiellen Gefahren in Ihren TOM suchen. Hierbei müssen die TOM die vier Sicherheitsziele „Vertraulichkeit“, „Integrität“ sowie „Verfügbarkeit & Belastbarkeit“ und „regelmäßige Überprüfung, Bewertung, Evaluation“ erfüllen.
Ernstfall vorstellen und TOM daraus ableiten
Eine Möglichkeit, um herauszufinden, welche TOM für Ihr Unternehmen notwendig sind, ist es, dass Sie sich ein „worst-case-Szenario“ vorstellen. Dies könnte z.B. ein Hackerangriff auf Ihre IT-Infrastruktur und Ihre eigenen Server sein. Von diesem Szenario ausgehend sollten Sie dann schrittweise die notwendigen Maßnahmen zur Verhinderung eines Datenabflusses entwickeln. Hierbei sollten Sie mit dem Zutritt auf Ihr Firmengelände und in Ihr Firmengebäude beginnen. Gibt es unterschiedliche Schlüssel für verschiedene Berechtigungen? Wird die Schlüsselausgabe in einem Schlüsselbuch dokumentiert? Im zweiten Schritt müssen Sie die Sicherheitsmaßnahmen definieren, mit denen ein Zugang zu Ihren IT-Systemen ausgeschlossen werden kann. Dies umfasst z.B. Ihre Server und Dienstlaptops sowie den Umgang mit Passwörtern. Auch die Trennung verschiedener Datensätze wie Kundendatenbank und Werbedatenbank ist sinnvoll. Je nach Sensibilität der Daten ist auch eine Pseudonymisierung von Daten erforderlich.
Prüfen Sie weiterhin, wie sicher die Weitergabe Ihrer Daten per E-Mail, Kurierfahrten oder Post ist. Außerdem sollten Ihre TOM sicherstellen, dass Sie stets vollen Zugriff auf Ihre Daten haben. Dies garantieren Sie u.a. mit einem funktionierenden Back-Up und Recovery-Konzept oder einer ununterbrochenen Stromversorgung. Entscheidend hierbei ist natürlich, dass alle zuständigen Mitarbeiter die Geschäftsprozesse kennen und wissen, was im Ernstfall zu tun ist. Außerdem sollten Sie als Verantwortlicher die Datensicherheit bei Ihren Auftragsverarbeitern mit Abschluss des AV-Vertrages und später mit Kontrollen überprüfen.
TOM gelten auch im Home- und Mobile-Office
Auch im Home-Office müssen die Mitarbeiter (m/w/d) bestimmte TOM einhalten, um das Risiko für einen Datenschutzvorfall zu minimieren. Es muss bspw. verhindert werden, dass Mitbewohner oder andere Reisende unerlaubten Einblick in die Daten erhalten.
Näheres zur Datensicherheit im Home-Office erfahren Sie im entsprechenden Blogbeitrag
Weiterführende Linkshttps://sidit.de/blog/datenschutzkonformes-arbeiten-im-homeoffice
[…] In diesem Artikel lesen Sie mehr darüber, wann TOM sicher genug sind: https://sidit.de/blog/wann-sind-die-tom-sicher-genug […]
[…] Alternativen zur Videoüberwachung durch das Anpassen der unternehmenseigenen TOMs, um das Betreten betriebsfremder Personen bzw. Einbrüche und Straftaten zu […]