Technische und organisatorische Maßnahmen (TOM) sind das Sicherheitsfundament der DSGVO Umsetzung. Sie sorgen dafür, dass personenbezogene Daten vor Verlust, Missbrauch und unberechtigtem Zugriff geschützt werden und sind gleichzeitig eine Pflicht nach Art. 32 DSGVO.
1. Was sind TOM und warum sind sie so wichtig?
TOM umfassen alle technischen und organisatorischen Vorkehrungen, mit denen die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten sichergestellt werden. Die DSGVO verlangt ein „dem Risiko angemessenes“ Schutzniveau: Je sensibler die Daten und je größer der mögliche Schaden, desto höher müssen die Schutzmaßnahmen sein.
Für Kleinstunternehmen oder Vereine sehen TOM anders aus als für eine Klinik oder einen Konzern, aber Grundmaßnahmen wie Passwortschutz, regelmäßige Updates, Backups und ein Berechtigungskonzept sind für alle Pflicht.
2. Sichere Passwörter und Zugangskontrolle
Passwörter gehören zur Zugangskontrolle: Sie sollen verhindern, dass Unbefugte überhaupt an Systeme und Daten kommen.
Praxismaßnahmen für Passwörter:
- Passwortrichtlinie definieren: Mindestlänge, Komplexität (z.B. 12 Zeichen, Kombination aus Buchstaben, Zahlen, Sonderzeichen) und regelmäßige Änderung bei Verdacht auf Kompromittierung.
- Keine Mehrfachnutzung kritischer Passwörter: Administrator oder E Mail Passwörter nicht parallel für andere Dienste verwenden.
- Passwort Manager nutzen, statt Passwörter in Excel, auf Zetteln oder im Browser Autofill zu speichern.
- Zwei Faktor Authentifizierung (2FA/MFA) für besonders sensible Zugänge (E Mail Konten, Admin Zugänge, Cloud Dienste, Online Banking) aktivieren.
- Individuelle Benutzerkonten statt Sammelkonten („Praxis“, „Sekretariat“) verwenden, um Verantwortlichkeiten klar zuordnen zu können.
Organisatorisch wichtig: Eine Passwortregel gehört in eine schriftliche IT bzw. Sicherheitsrichtlinie, und Mitarbeitende müssen sie kennen und anwenden.
3. Verschlüsselung von Geräten, Datenträgern und Verbindungen
Verschlüsselung ist einer der wichtigsten Bausteine, um Daten bei Verlust von Geräten oder beim Transport zu schützen.
Verschlüsselung in der Praxis:
- Laptops und mobile Geräte verschlüsseln (z.B. BitLocker unter Windows, FileVault auf dem Mac), damit bei Diebstahl nicht das komplette Gerät „offen“ ist.
- Externe Datenträger (USB Sticks, externe Festplatten) mindestens für Sicherungen und den Transport sensibler Daten verschlüsseln.
- Verbindungen absichern: HTTPS für Websites, TLS für E Mail Übertragung, VPN für Fernzugriffe auf interne Systeme.
- Besonders sensible Daten (Gesundheitsdaten, Gehaltslisten, Abmahnungen etc.) nur in verschlüsselten Bereichen speichern oder zusätzlich verschlüsselt ablegen.
Organisatorische Ergänzung: Regeln festlegen, wann Daten überhaupt auf mobile Geräte oder Datenträger kopiert werden dürfen, z.B. kein Patienten Export auf private USB Sticks.
4. Backups: Datensicherung mit Plan
Backups dienen der Verfügbarkeit, auch das ist ausdrücklich in Art. 32 DSGVO genannt. Wer keine zuverlässige Datensicherung hat, handelt nicht nur geschäftlich fahrlässig, sondern verstößt auch gegen Datenschutzrecht.
Praxismaßnahmen für Backups:
- Backup Strategie festlegen: z.B. tägliche inkrementelle und wöchentliche Voll Backups für Server und wichtige Arbeitsplatzrechner.
- Trennung von Produktivsystem und Backup: Sicherungen nicht nur auf derselben Festplatte oder demselben Fileserver, sondern auf separatem Medium (NAS, externe Platten, Cloud Backup).
- Mindestens ein Backup offline oder „immutable“ halten, um Ransomware Risiken zu reduzieren.
- Wiederherstellung regelmäßig testen (Restore Tests), statt nur zu prüfen, ob das Backup „grün“ ist.
- Backup Protokolle führen (wann welches System gesichert wurde, ob Fehler aufgetreten sind).
Organisatorisch: Verantwortlichkeiten klären, wer Backup Läufe prüft und wer im Ernstfall für die Wiederherstellung zuständig ist.