Technische und organisatorische Maßnahmen


 

Technische Maßnahmen

 

 

Organisatorische Maßnahmen

 

Technische Maßnahmen beziehen sich auf den Datenverarbeitungsvorgang selbst als technischen Prozess und umfassen alle Maßnahmen, die sich physisch umsetzen lassen, etwa durch bauliche Maßnahmen wie Alarmanlagen oder durch Soft- und Hardwarevorgaben wie etwa passwortgeschützte Benutzerkonten.

 

 

Organisatorische Maßnahmen beziehen sich auf die externen Rahmenbedingungen des Datenverarbeitungsvorgangs. Sie umfassen Regeln, Vorgaben und Handlungsanweisungen, die bei der Datenverarbeitung zu beachten sind und technisch nicht vorgegeben werden können.

 

 

 

Bezugsobjekt der TOM ist entweder ein spezifisches Instrument der Personaldatenverarbeitung (s. Übersicht Personalverwaltung) oder ein "Bündel" oder die Gesamtheit aller Instrumente der Personaldatenverarbeitung.

Normtexte

   

 Art. 25 und Art. 32 DSGVO verlangen die Umsetzung bestimmter technischer und organisatorischer Maßnahmen.

  

Art. 25 lautet:

 

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.

 

(2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

  

  

Art. 32 Abs. 1 lautet:

 

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

 

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

 

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

 

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

 

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

  


Dokumentation

 

Die Dokumentation der TOM gehört mit dem Verzeichnis der Verarbeitungstätigkeiten und der Datenschutz-Folgenabschätzung zu den zentralen Elementen einer sachgerechten DSGVO-Dokumentation.

  

Die Dokumentation ist vor allem deshalb wichtig, weil sie für die Bewertung der aus einem meldepflichtigen Datenschutzverstoß zu ziehenden Konsequenzen erhebliche Bedeutung hat. Die Dokumentation kann nämlich belegen, dass angemessene Maßnahmen zum Schutz der personenbezogenen Daten getroffen wurden und insofern kein struktureller Fehler vorliegt.


Grundschema

Aus den Normtexten ergibt sich folgendes Grundschema:

 

Festlegung des Anforderungs- und Schutzniveaus und daraus abgeleitet des Aufwands anhand folgender Kriterien:

 

1. Stand der Technik,

2. Implementierungskosten

3. Art, Umfang, Umstände und Zwecke der Verarbeitung

4. Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen

Auswahl der Maßnahmen

Die DSGVO benennt keine konkreten Handlungsanweisungen oder Maßnahmen, sondern beschreibt vielmehr Datenschutzziele. Die Maßnahmen müssen daher eigenständig entwickelt werden.


Zu 1.: Stand der Technik

 

Auf dem Stand der Technik sind Technologien, die

 

  • bekannt sind,
  • auf dem Markt verfügbar sind,
  • etabliert sind,
  • wirksam sind,
  • sich in der praktischen Anwendung als geeignet und effektiv erwiesen haben.

  

Zu 2.: Implementierungskosten

 

Der finanzielle Aufwand für die Umsetzung und Integration der TOM muss in einem angemessenen Verhältnis zur dadurch erreichbaren Verbesserung des Datenschutzniveaus stehen. Je höher das Risiko bei der Datenverarbeitung ist, desto höher können deshalb auch die zu tragenden Implementierungskosten sein.

 

 

Zu 3.: Art, Umfang, Umstände und Zwecke der Datenverarbeitung

 

Bei der Art der Datenverarbeitung geht es einerseits um die Datenkategorien („normale“ pbD oder besonders schutzwürdige pbD) und um den Verarbeitungsvorgang (automatisiert oder personell).

 

Beim Umfang der Daten geht es darum, wie viele Daten verarbeitet werden: Je größer die Datensätze, desto höher die Anforderungen.

 

Bei den Umständen der Datenverarbeitung geht es um die Rahmenbedingungen der Datenverarbeitung (Erkennbarkeit für den Betroffenen hinsichtlich der konkreten Datenverarbeitung – Herkunft der Daten, Verarbeitungsumfang – und Speicherorte – Ausland, Cloud).

 

Bei den Zwecken der Datenverarbeitung geht es um den Grad der Notwendigkeit und der Konsequenzen für den Betroffenen (z.B. Profilerstellung).

 

 

Zu 4.: Risikobewertung - Festlegung des Anforderungs- und Schutzniveaus und des Aufwands

 

Erforderlich ist zunächst die Analyse, welche Risiken bei dem Datenverarbeitungsvorgang bzw. bei einzelnen Schritten für die Rechte und Freiheiten der Betroffenen bestehen. Entsprechend der Risikoqualifikation muss auch das Schutzniveau angesetzt werden.

 

1. Zu betrachtende Risiken

 

Zunächst müssen dazu die zu betrachtenden Risiken dargestellt werden. Die Risiken liegen in einer Verfehlung der Schutzziele:

  

Risiko

Erläuterung

unbeabsichtigte oder unrechtmäßige Vernichtung pbD

 

Die Daten sind nicht mehr vorhanden, obwohl sie zur Erfüllung von Datenverarbeitungszwecken oder von gesetzlichen Aufbewahrungspflichten noch benötigt werden würden, z.B. aufgrund einer versehentlichen Löschung von Daten ohne ausreichende Backups

 

unbeabsichtigter oder unrechtmäßiger Verlust

 

Die pbD sind nicht mehr vorhanden und es könnte jemand Zugang zu diesen Daten bekommen, z.B, verlorengegangene USB-Sticks, Laptops oder Smartphones oder nicht geschredderte Personalunterlagen im herkömmlichen Papiermüll

unbeabsichtigte oder unrechtmäßige Veränderung

 

Softwarefehler, Eingabefehler, Sabotage

unbeabsichtigte oder unrechtmäßige Offenlegung

 

Datenübermittlung an unberechtigte Dritte, z.B. Fehlversand einer E-Mail an falschen Empfänger

unbefugter Zugang

 

Ein Dritter verschafft sich Zugang zu pbD, z.B. Hackerangriff oder ein Mitarbeiter der Personalabteilung kopiert pbD bei seinem Ausscheiden

 

 

  

2. Einschätzung der Auswirkungen

In einem zweiten Schritt sind die Auswirkungen einer Risikorealisierung zu bestimmen. Dafür sind mindestens drei, besser aber vier Kategorien zu bilden: vernachlässigbar, beschränkt, signifikant und maximal.

 

3. Beurteilung der Eintrittswahrscheinlichkeit des zu betrachtenden Risikos

In einem dritten Schritt muss schließlich die Eintrittswahrscheinlichkeit der Risikorealisierung analysiert werden. Auch hier sind mindestens drei, besser aber vier Kategorien zu bilden: vernachlässigbar, beschränkt, signifikant und maximal.

 

Beispiel für Schritte 1 - 3:

Die Eintrittswahrscheinlichkeit für das Risiko, dass unbefugte Dritte Zugriff (=Risiko) auf Beihilfedaten (=Datenkategorie), aus denen sich eine HIV-Erkrankung (=maximale Auswirkungen für den Betroffenen) ergibt, bekommen, ist sehr niedrig, weil die DV-Anlagen besonders stark gesichert sind und die Personalakten organisatorisch besonders geschützt sind.

 

4. Ermittlung des Risikowerts nach Risiko-Matrix

Auf der Basis der Feststellungen der Schritte 1 – 4 ist sodann der Risikowert anhand einer Risiko-Matrix festzustellen:

 

 

 

Auswirkungen aus Sicht des Betroffenen

maximal

mittel

erhöht

hoch

hoch

signifikant

mittel

mittel

erhöht

hoch

beschränkt

gering

mittel

mittel

erhöht

vernachlässigbar

gering

gering

mittel

mittel

 

 

vernachlässigbar

beschränkt

signifikant

maximal

 

 

Eintrittswahrscheinlichkeit

 

Entsprechend der Zuordnung muss dann das Schutzniveau und daraus abgeleitet das Maß des Aufwands bei den TOM bestimmt werden.

 


TOM

 

Ein umfassender Katalog denkbarer TOM umfasst 10 Hauptgruppen. Die Maßnahmen gelten prinzipiell sowohl für die analoge Welt (insbes. die papiergebundene Personalakte) als auch für die digitale Welt (digitale PA, Personalverwaltungssysteme etc.).

 

  

1. Maßnahmen zur Gewährleistung der Vertraulichkeit und Integrität der Systeme und Dienste

 

 

2. Maßnahmen zur Datenminimierung und Speicherbegrenzung

 

 

3. Maßnahmen zur Pseudonymisierung und Aggregierung

 

 

4. Maßnahmen zur Verschlüsselung personenbezogener Daten (z.B. in stationären und mobilen Speicher-/Verarbeitungsmedien, beim elektronischen Transport)

 

  

5. Maßnahmen zur Gewährleistung der Verfügbarkeit und Belastbarkeit der Systeme und Dienste 

 

 

6. Maßnahmen, um nach einem physischen oder technischen Zwischenfall (Notfall) die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen rasch wiederherzustellen

 

 

7. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der vorgenannten Maßnahmen 

 

 

8. Maßnahmen zur Gewährleistung der Zweckbindung personenbezogener Daten (Nichtverkettung) 

  

 

9. Maßnahmen zur Gewährleistung der Transparenz für Betroffene, Verantwortliche und Kontrollinstanzen

  

 

10. Maßnahmen zur Gewährleistung der Betroffenenrechte (Intervenierbarkeit)

  

 


 

 

Maßnahmen zur Gewährleistung der Vertraulichkeit und Integrität der Systeme und Dienste

 

 

 

Zutrittskontrolle

 

Verwehrung des Zugangs zum Gebäude

Zugangskontrolle

 

Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte

Zugriffskontrolle /

Eingabekontrolle /

Veränderungskontrolle /

Speicherkontrolle /

Benutzerkontrolle

 

Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle)

 

Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle)

 

Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle)

 

Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle)

Datenträgerkontrolle

 

Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern

Übertragungskontrolle / Weitergabekontrolle

 

Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können

Transportkontrolle

Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden

 

 I. Vertraulichkeit  

 

1. Zutrittskontrolle

 

Im … sind zahlreiche Maßnahmen verwirklicht, um Unbefugten den Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, oder zu den Registraturräumen zu verwehren.

 

Das Dienstgebäude ist durch folgende Einrichtungen gesichert:

 

  • Alarmanlage
  • mechanische Fenstersicherungen
  • Absicherung von Gebäudeschächten
  • Videoüberwachung
  • Bewegungsmelder
  • elektrische Türöffner
  • Pförtner / Sicherheitsdienste

 

Es besteht eine umfassende Schlüsselregelung für die Beschäftigten: Die Schlüsselvergabe und das Schlüsselmanagement erfolgen nach einem festgelegten Prozess, der sowohl zu Beginn eines Beschäftigungsverhältnisses als auch zu dessen Ende die Erteilung bzw. den Entzug von Schlüsseln für Räume regelt.

 

Im Haus besteht ein manuelles Schließsystem mit Sicherheitsschlössern / elektronisches Schließsystem mit Codesperre (Magnet-/Chipkarte).

 

Die Beschäftigten sind verpflichtet, die Türen bei Abwesenheit zu verschließen.

 

Es erfolgt eine Personenkontrolle am Eingang. Besucher erhalten erst nach Türöffnung durch den Sicherheitsdienst Zutritt zu den Amtsräumen. Durch die bauliche Anordnung ist sichergestellt, dass sich jeder Besucher beim Empfang meldet.

 

2. Zugangskontrolle

 

Es sind Maßnahmen verwirklicht, die geeignet sind zu verhindern, dass mobile Endgeräte, Datenverarbeitungssysteme und Personalakten von unbefugten Dritten genutzt werden können.

 

Personalakten werden nur an den für den jeweils Betroffenen zuständigen Beschäftigten der Personalabteilung ausgehändigt. An andere Beschäftigte werden Personalakten nur herausgegeben, wenn die Personalabteilung zustimmt.

 

Die Personalakten werden in verschlossenen Schränken aufbewahrt.

 

Zwei-Faktor-Authentifizierung:

Es bestehen Benutzerprofile mit unterschiedlichen Berechtigungen. Um Zugang zu den IT-Systemen zu erhalten, müssen die Nutzer über eine entsprechende Zugangsberechtigung verfügen. Hierzu werden entsprechende Benutzerberechtigungen auf Antrag des jeweiligen Vorgesetzten von Administratoren vergeben.

 

Sichere Passwörter:

Es besteht eine Passwortrichtlinie. Die Beschäftigten sind zur Passwortnutzung verpflichtet. Der Benutzer erhält bei der erstmaligen Anmeldung einen Benutzernamen und ein Initialpasswort, das bei erster Anmeldung geändert werden muss. Die Passwortvorgaben beinhalten eine Mindestpasswortlänge von 8 Zeichen, wobei das Passwort auf Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen bestehen muss. Die Passwörter werden alle 90 Tage gewechselt. Eine Passworthistorie ist hinterlegt. Die 5 zuletzt verwendeten Passwörter können deshalb nicht noch einmal verwendet werden. Passwörter werden grundsätzlich verschlüsselt gespeichert.

 

Die Authentifikation erfolgt durch Benutzername und Passwort. Fehlerhafte Anmeldeversuche werden protokolliert. Bei 3-maliger Fehleingabe erfolgt eine Sperrung des jeweiligen Benutzer-Accounts.

 

Die mobilen Endgeräte sind durch ein Passwort bzw. einen Fingerabdruck-Scanner geschützt.

 

Alle Beschäftigten sind angewiesen, ihre IT-Systeme zu sperren, wenn sie diese bzw. ihr Büro verlassen.

  

CD-Laufwerke sind nur auf Anforderung und begründetem Bedarf installiert, zum Export/Import von Daten werden USB-Sticks mit Verschlüsselungssoftware vorgehalten.

  

3. Zugriffskontrolle

 

Es sind Maßnahmen verwirklicht, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems bzw. zur Einsicht in Personalakten Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Es werden ggf. nur die Teilakten zugänglich gemacht, für die der jeweilige Bearbeiter zuständig ist.    

 

Dazu besteht ein umfassendes Nutzer-Berechtigungskonzept. Es gibt ein rollenbasiertes Berechtigungskonzept mit der Möglichkeit der differenzierten Vergabe von Zugriffsberechtigungen, das sicherstellt, dass Beschäftigte abhängig von ihrem jeweiligen Aufgabengebiet und ggf. projektbasiert Zugriffsrechte auf Applikationen und Daten erhalten. Die Verwaltung der Nutzerrechte erfolgt durch die Systemadministratoren. Insgesamt ist ein System von Befugnissen abgestufter Zugriffsberechtigungen errichtet.

 

Berechtigungskonzept regelt also,

1. welche Personen und Personengruppen Zugriff erhalten,

2. welche Zugriffsrechte (Lesen, Bearbeiten, Löschen, Drucken, usw.)

3. für welchen Zeitraum (dauerhaft oder temporär)

 

4. auf welche Inhalte der Personalakten bestehen.

 

Die Zugriffe auf Anwendungen werden protokolliert.

Es wird vermerkt, an welche Personen die Personalakten ausgegeben werden.

 

Auf Anforderung des Beschäftigten werden Aktenvernichter zur Verfügung gestellt.

 

Datenträger und Aktenordner werden in abschließbaren Schränken aufbewahrt. Es werden speziell ausgewählte Dienstleister zur Aktenvernichtung (inkl. Protokollierung der Vernichtung) herangezogen, die eine Vernichtung nach DIN 66399 gewährleisten.

 

Den Beschäftigten ist es untersagt, nicht genehmigte Software auf den IT-Systemen zu installieren. Alle Server- und Client-Systeme werden regelmäßig mit Sicherheits-Updates aktualisiert.

   

 

4. Trennung

 

Es sind Maßnahmen verwirklicht, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Mandantenfähigkeit der Systeme und Sandboxing).

 

Dazu besteht eine logische Mandantentrennung nach verantwortlichen Stellen mit einer physikalisch getrennten Speicherung von zweckverschiedenen Daten auf gesonderten Systemen oder Datenträgern.

 

 

   

 

II. Integrität

 

Es sind Maßnahmen verwirklicht, die die Richtigkeit der personenbezogenen Daten und die korrekte Funktionsweise von Systemen gewährleisten.

  

1. Eingabekontrolle

 

Es sind Maßnahmen verwirklicht, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Dazu wird die Eingabe, Änderung und Löschung von Daten auf Datenbankebene protokolliert. Für die Nutzer gibt es entsprechend individuelle Benutzernamen. Durch das Berechtigungskonzept wird die Nachvollziehbarkeit zusätzlich unterstützt. Das ist auch durch das Dokumentenmanagementsystem gewährleistet. Papierunterlagen, von denen Daten in ein EDV-System übernommen wurden, werden in Personalakten sicher aufbewahrt.

  

2. Weitergabekontrolle

 

Es sind Maßnahmen verwirklicht, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.  

 

Zur Datenübertragung werden verschiedene Sicherungs-Methoden genutzt (z.B. VPN-Tunnel, elektronische Signaturen, verschlüsselter Versand (S-MIME), verschlüsselte Downloadmöglichkeiten (OwnCloud)).

 

Es erfolgt eine verschlüsselte E-Mail-Übertragung (Software-Zertifikat).

 

Beim Versand von Personalakten werden sichere Transportverpackungen genutzt, es erfolgt eine sorgfältige Auswahl von Transportpersonal bzw. -dienstleistern. Hausintern werden Personalakten in Verschlussmappen versandt.

 

Die Nutzung von privaten Datenträgern ist den Beschäftigten untersagt.

 

Die Beschäftigten werden regelmäßig zu Datenschutzthemen geschult. Sie wurden auf einen vertraulichen Umgang mit personenbezogenen Daten verpflichtet (Muster).

 

Datentransport mit personenbezogenen Daten wird über verschlüsselungsfähige Datenträger abgewickelt (USB-Sticks mit besonderer Software).

 

Wenn möglich werden Daten in anonymisierter oder pseudonymisierter Form weitergegeben.

 

 

3. Veränderungskontrolle

Es sind Maßnahmen verwirklicht, die (berechtigte oder unberechtigte) Veränderungen gespeicherter oder übertragener Daten nachträglich feststellbar machen (z.B. Signaturverfahren, Hashverfahren).

 

 

 

 

Maßnahmen zur Datenminimierung und Speicherbegrenzung

 

 

Der Grundsatz der Datenminimierung wird durch das personalaktenrechtliche Erforderlichkeitsprinzip gewährleistet. Insofern ist durch die Führung der Personalakten als organisatorische Maßnahme sichergestellt, dass nur die erforderlichen Daten verarbeitet werden. Gleiches gilt für die Personalverwaltungssysteme.

 

Soweit dieselben Daten mehrfach gespeichert werden, erfolgt dies nur in folgenden Fällen:

  

(1)  Gesetzlich zugelassen in Art. 104 BayBG bei Nebenakten oder bei der Führung der elektronischen Personalakte parallel mit einer Papierakte zu Beweiszwecken; 

 

(2)  Technisch unvermeidbar, wenn mehrere Geräte zur Gewährleistung des mobilen Arbeitens eingesetzt werden, wenn und weil kein zentraler Server besteht oder erreichbar ist; 

 

(3)  Technisch unvermeidbar, wenn für verschiedene Verfahren keine einheitliche Datenbank existiert; 

 

(4)  Personalwirtschaftlich unvermeidbar, weil aus Kapazitätsgründen und zur Fehlervermeidung verarbeitbare, individualisierte Muster vorgehalten werden müssen (umstritten).

 

Es erfolgt ein sicheres, rückstandsfreies Löschen von Daten bzw. Vernichten von Datenträgern nach Ablauf der Aufbewahrungsfristen. Dazu bestehen Festlegungen zu Löschverfahren und zur Beauftragung von externen Dienstleistern.

 

Die Einhaltung der Aufbewahrungsfristen für die Personalakten ist gewährleistet. Auch die sachaktenrechtlichen Aufbewahrungsfristen werden eingehalten.

 

 

 

Maßnahmen zur Pseudonymisierung und Aggregierung

 

Die Pseudonymisierung (analog oder digital) dient vor allem dazu, die Zuordnung von Daten und Person zu erschweren.

 

Die pseudonymisierten Daten dürfen ohne weitere Informationen keine Zuordnung zu betroffenen Personen zulassen. Ein Pseudonym bestehend aus Anfangsbuchstabe des Nachnamens und dem vollständigen Vornamen wäre deshalb unzureichend, weil diese Daten mit dem betreffenden Nutzer in Verbindung gebracht werden könnten.

 

Der Pseudonymisierungsschlüssel und die pseudonymisierten Daten müssen getrennt voneinander aufbewahrt werden – entweder räumlich (verschiedene Zimmer / Aktenschränke) oder technisch (getrennte Datenbanken).

 

Im Rahmen der Personalsteuerung (Besetzungsübersichten, Beförderungsranglisten, Ämterverteilung) werden, soweit möglich, pseudonymisierte Darstellungen verwendet.

 

1)    Festlegung der durch Pseudonymisierung zu ersetzenden identifizierenden Daten: Name, Geschlecht, Alter / Geburtsdatum, ggf. Amtsbezeichnung

 

2)    Definition der Pseudonymisierungsregel, ggf. anknüpfend an Personal-Kennziffern

 

3)    Autorisierung: Festlegung der Personen, die zur Verwaltung der Pseudonymisierungsverfahren, zur Durchführung der Pseudonymisierung und ggf. der Depseudonymisierung berechtigt sind: Personalreferatsleiter

 

4)    Festlegung der zulässigen Anlässe für Pseudonymisierungs- und Depseudonymisierungsvorgänge

 

5)    zufällige Erzeugung der Zuordnungstabellen oder der in eine algorithmische Pseudonymisierung eingehenden geheimen Parameter

 

6)    Schutz der Zuordnungstabellen bzw. geheimen Parameter sowohl gegen unautorisierten Zugriff als auch gegen unautorisierte Nutzung

 

7)    Trennung der zu pseudonymisierenden Daten in die zu ersetzenden identifizierenden und die weiteren Angaben

  

 Bei Personalübersichten und Auswertungen werden Daten aggregiert (zusammengefasst), um Rückschlüsse auf einzelne Personen zu vermeiden

 

 

Maßnahmen zur Verschlüsselung personenbezogener Daten (z.B. in stationären und mobilen Speicher-/Verarbeitungsmedien, beim elektronischen Transport)

 

 

 

Schlüssel können flüchtig (z. B. für die Dauer eines Kommunikationsvorgangs) oder statisch (mittel- oder langfristig) für den Schutz personenbezogener Daten eingesetzt werden.

 

1)    Es sind Festlegungen zu treffen (z. B. im Rahmen eines Kryptokonzepts) u. a. zur Auswahl geeigneter kryptografischer Verfahren und Produkte, zur Organisation ihres Einsatzes, zu Maßnahmen bei der Entdeckung von Schwächen in Verschlüsselungsverfahren oder -produkten (Um- oder Überverschlüsselung) sowie zu Schlüssellängen.

 

2)    Voraussetzung für effektive Verschlüsselung ist ein adäquates Schlüsselmanagement, das u. a. folgende Aspekte betrifft:

 

a)    zufällige Erzeugung der Schlüssel

 

b)    Autorisierung von Personen zur Verwaltung und zur Nutzung von Schlüsseln bzw. ihre Zuweisung zu Geräten, in denen sie eingesetzt werden

 

c)     zuverlässige Schlüsselverteilung, Verknüpfung von Schlüsseln mit Identitäten von natürlichen Personen oder informationstechnischen Geräten, ggf. Einbringen in speziell gesicherte Speichermedien (z. B. Chipkarten)

 

d)    Schutz der Schlüssel vor nicht autorisiertem Zugriff oder Nutzung

 

e)    regelmäßiger oder situationsbezogener Schlüsselwechsel, ggf. eine Schlüsselarchivierung, stets sorgfältige Schlüssellöschung nach Ablauf des Lebenszyklusses

 

f)      Verwaltung des Lebenszyklus der Schlüssel von Erzeugung und Verteilung über Nutzung bis zu ihrer Archivierung und Löschung

  

 

 

Maßnahmen zur Gewährleistung der Verfügbarkeit und Belastbarkeit der Systeme und Dienste 

 

Es sind Maßnahmen verwirklicht, die gewährleisten, dass die eingesetzten Datenverarbeitungssysteme jederzeit verfügbar sind und einwandfrei funktionieren (Lauffähigkeit) und personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Dazu gehören eine unterbrechungsfreie Stromversorgung (USV) sowie IT-Infrastruktur-Komponenten (Alarmanlage und Klimaanlagen in den IT-Räumen). Temperatur und Feuchtigkeit werden überwacht. Der Serverraum ist nicht unterhalb von sanitären Anlagen gelegen und es gibt keine Wasserleitungen im bzw. über den Server-Rechnern.

 

Generell gibt es Schutzsteckdosenleisten für EDV-Geräte. Ebenfalls gibt es Feuer- bzw. Rauchmeldeanlagen und Feuerlöschgeräte an mehreren, entsprechend gekennzeichneten Stellen im Gebäude.

 

Backup-Strategie:

Es erfolgt eine tägliche und wöchentliche Anfertigung von Sicherheitskopien von Daten, Prozesszuständen, Konfigurationen, Datenstrukturen, Transaktionshistorien u. ä. gemäß eines getesteten Konzepts an einem sicheren, ausgelagerten Ort (Backup-Systeme). Der Backup erfolgt online und offline sowie on-site/off-site).

 

Der Schutz vor äußeren Einflüssen (Schadsoftware/Malware, Sabotage z.B. DDOS, höhere Gewalt) ist sichergestellt (Belastbarkeit der Systeme). 

 

Die TOM zur Vertraulichkeit dienen auch der physischen Sicherung und sind damit zugleich Maßnahmen zur Gewährleistung der Verfügbarkeit der Systeme.

 

Es bestehen Ablaufpläne zur kontrollierten Installation und Konfiguration neuer Software.

 

Hard- und Software sowie sonstige Infrastruktur wird redundant vorgehalten.

 

Reparaturstrategien und Ausweichprozesse sind festgelegt.

 

Es erfolgt eine Ereignisüberwachung und -protokollierung, einschließlich der regelmäßigen und anlassbezogenen Auswertung dieser Protokolle: Hardware-Mängel, die für die Systemstabilität relevant sein könnten, werden kontinuierlich erfasst (PRTG). Auch eine erhöhte Anzahl von Anfragen bei Web-Systemen wird erfasst. Es kommen Virenscanner, eine Hardware-Firewall, eine Software-Firewall und ein Intrusion-Detection-System zum Einsatz. Alle Serversysteme unterliegen einem Monitoring, das im Falle von Störungen unverzüglich Meldungen an einen Administrator auslöst.

 

Es bestehen Vertretungsregelungen für abwesende Mitarbeiter.

 

   

 

Maßnahmen, um nach einem physischen oder technischen Zwischenfall (Notfall) die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen rasch wiederherzustellen

 

 

Es sind Maßnahmen verwirklicht, die sicherstellen, dass nach einem Systemfehler oder -ausfall die Funktionsfähigkeit der Systeme so schnell wie möglich wiederhergestellt werden kann. Hierzu sind folgende Maßnahmen verwirklicht:

 

1)    Ein Notfallkonzept/Notfallhandbuch ist erstellt und wird in den Geschäftsprozessen umgesetzt.

 

2)    Es werden Notfallübungen durchgeführt.

 

3)    Es gibt einen Wiederanlaufplan, verschiedene Wiederanlaufszenarien sind erprobt.

 

 

 

 

 

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der vorgenannten Maßnahmen 

 

 

 

Es erfolgen regelmäßige Prüfungen des Datenschutzbeauftragten und der IT-Revision auf Einhaltung der festgelegten Prozesse und Vorgaben zur Konfiguration und Bedienung der IT-Systeme. Ebenfalls wird - abhängig vom Risikoniveau - turnusmäßig überprüft, ob die festgelegten TOM ihren Zweck unverändert erfüllen und auf dem aktuellen Stand der Technik sind. 

 

Es bestehen folgende Zertifizierungen:....

 

Informationen über neu auftretende Schwachstellen und andere Risikofaktoren werden unverzüglich verarbeitet und ggf. an die Beschäftigten weitergegeben.

 

 

Es erfolgen Evaluierungen durch Betroffene und Nutzer.

 

  

Maßnahmen zur Gewährleistung der Zweckbindung personenbezogener Daten (Nichtverkettung) 

  

 

1)    Einschränkung von Verarbeitungs-, Nutzungs- und Übermittlungsrechten

 

2)    programmtechnische Unterlassung bzw. Schließung von Schnittstellen in Verfahren und Verfahrenskomponenten

 

3)    regelnde Maßgaben zum Verbot von Backdoors sowie qualitätssichernde Revisionen zur Compliance bei der Softwareentwicklung

 

4)    Trennung nach Organisations-/Abteilungsgrenzen

 

5)    Trennung mittels Rollenkonzepten mit abgestuften Zugriffsrechten auf der Basis eines Identitätsmanagements durch die verantwortliche Stelle und eines sicheren Authentisierungsverfahrens

 

  

  

Maßnahmen zur Gewährleistung der Transparenz für Betroffene, Verantwortliche und Kontrollinstanzen

  

 

1)    Dokumentation von Verfahren insbesondere mit den Bestandteilen Geschäftsprozesse, Datenbestände, Datenflüsse, dafür genutzte IT-Systeme, Betriebsabläufe, Verfahrensbeschreibungen, Zusammenspiel mit anderen Verfahren

 

2)    Dokumentation von Tests, der Freigabe und ggf. der Vorabkontrolle von neuen oder geänderten Verfahren

 

3)    Dokumentation der Verträge mit den internen Mitarbeitern, Verträge mit externen Dienstleistern und Dritten, von denen Daten erhoben bzw. an die Daten übermittelt werden, Geschäftsverteilungspläne, Zuständigkeitsregelungen

 

4)    Dokumentation von Einwilligungen und Widersprüchen

 

5)    Protokollierung von Zugriffen und Änderungen

 

6)    Nachweis der Quellen von Daten (Authentizität)

 

7)    Versionierung

 

8)    Dokumentation der Verarbeitungsprozesse mittels Protokollen auf der Basis eines Protokollierungs- und Auswertungskonzepts

 

9)    Berücksichtigung der Auskunftsrechte von Betroffenen im Protokollierungs- und Auswertungskonzept

 

 

  

Maßnahmen zur Gewährleistung der Betroffenenrechte (Intervenierbarkeit)

  

1)    differenzierte Einwilligungs-, Rücknahme- sowie Widerspruchsmöglichkeiten

 

2)    Schaffung notwendiger Datenfelder z. B. für Sperrkennzeichen, Benachrichtigungen, Einwilligungen, Widersprüche, Gegendarstellungen

 

3)    dokumentierte Bearbeitung von Störungen, Problembearbeitungen und Änderungen am Verfahren sowie an den Schutzmaßnahmen der IT-Sicherheit und des Datenschutzes

 

4)    Deaktivierungsmöglichkeit einzelner Funktionalitäten ohne Mitleidenschaft für das Gesamtsystem

 

5)    Implementierung standardisierter Abfrage- und Dialogschnittstellen für Betroffene zur Geltendmachung und/oder Durchsetzung von Ansprüchen

 

6)    Nachverfolgbarkeit der Aktivitäten der verantwortlichen Stelle zur Gewährung der Betroffenenrechte

 

7)    Einrichtung eines Single Point of Contact (SPoC) für Betroffene 

 

8)    operative Möglichkeit zur Zusammenstellung, konsistenten Berichtigung, Sperrung und Löschung aller zu einer Person gespeicherten Daten

 

  

 



 

Die Gewährleistungsziele nach dem Standard-Datenschutzmodell:

   

Die Datenschutzbehörden verwenden für ihre Prüfungen das sog. Standard-Datenschutzmodell (SDM). Dort sind sieben sog. Gewährleistungsziele definiert, die als Hauptkategorien der zu treffenden Maßnahmen verstanden werden können:

https://www.datenschutzzentrum.de/sdm/

 

Inzwischen sind die ersten sieben Bausteine des im SDM beschriebenen Maßnahmenkatalogs veröffentlicht. Es handelt sich um Maßnahmen, die nach Auffassung der Datenschutzbehörden zur Erreichung der Gewährleistungsziele erforderlich sind.

Maßnahmenkatalog


Festlegung von Maßnahmen durch die Datenschutzkonferenz:

 

Die Datenschutzkonferenz hat im Februar 2018 Anwendungshinweise mit Hinweisen zum Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO veröffentlicht, aus dem sich auch umfangreiche Vorgaben zu den TOM ergeben.

 

 


 

 ISO 27002:

 

Grundproblem dieser Kategorisierungen ist allerdings, dass es sich bei den angegebenen Kategorien nicht um Maßnahmen bzw. Maßnahmenbereiche handelt, sondern eigentlich um Ziele des Datenschutzes bzw. der Datensicherheit. Die für die Zielerreichung werden – abgesehen vom Begriff der Pseudonymisierung – nicht benannt.

 

Zur Entwicklung dieser Maßnahmen kann auf die ISO 27002 zurückgegriffen werden, die Maßnahmen der Informationssicherheit  (sog. „controls“) auflistet.

  

Ab dem fünften Kapitel werden dort „gemeinhin akzeptierte Maßnahmen für die Informationssicherheit“ dargestellt:

 

  1. Informationssicherheitsrichtlinien

  2. Organisation der Informationssicherheit

  3. Personalsicherheit

  4. Verwaltung der Werte

  5. Zugangssteuerung

  6. Kryptographie

  7. Physische und umgebungsbezogene Sicherheit

  8. Betriebssicherheit

  9. Kommunikationssicherheit

  10. Anschaffung, Entwicklung und Instandhaltung von Systemen

  11. Lieferantenbeziehungen

  12. Handhabung von Informationssicherheitsvorfällen

  13. Informationssicherheitsaspekte beim Business-Continuity-Management

  14. Compliance

     

Die oben dargestellten Ziele, wie sie von der Datenschutzkonferenz beschlossen wurde, lassen sich dabei mit den Maßnahmen der ISO 27002 verknüpfen (PDF-Download).

  

Einen Grobüberblick über den Inhalt der ISO 27002 und zugleich einen Vergleich mit dem IT-Grundschutz des BSI findet sich hier.

 


 Art. 25 und 32 DSGVO mit bisheriger Praxis:

 

Art. 25 statuiert die technischen Grundsätze der privacy by design und der privacy by default.

 

Ø  Privacy by Design: Die DSGVO verlangt, dass technische Maßnahmen, die dem Schutz personenbezogener Daten dienen, bereits bei der Entwicklung von Vorgängen zur Anwendung kommen.

 

Ø  Privacy by Default: Die DSGVO verlangt, dass die Voreinstellungen bereits datenschutzfreundlich sein sollen, dass also nicht erst besondere Anpassungen vorgenommen werden müssen.

 

 Nach Art. 32 DSGVO lassen sich die zu fordernden TOM in fünf Hauptgruppen einteilen:

  1. Vertraulichkeit
  2. Integrität
  3. Verfügbarkeit und Belastbarkeit der IT-Systeme
  4. Datenminimierung
  5. Löschkonzept