Technische und organisatorische Maßnahmen (TOM): Praxisliste für Passwörter, Verschlüsselung, Backups und Berechtigungskonzepte – Teil 2

By DatenschutzTechnische Maßnahmen, Tools, Praxis & Umsetzung
Beitragsbild zur Kategorie "Technische Maßnahmen, Tools, Praxis & Umsetzung"

Technische und organisatorische Maßnahmen (TOM) sind das Sicherheitsfundament der DSGVO Umsetzung. Sie sorgen dafür, dass personenbezogene Daten vor Verlust, Missbrauch und unberechtigtem Zugriff geschützt werden und sind gleichzeitig eine Pflicht nach Art. 32 DSGVO.

Teil 1 der Praxisliste gibt es hier.

5. Berechtigungskonzept und Zugriffskontrolle

Zugriffskontrolle stellt sicher, dass Mitarbeitende nur auf die Daten zugreifen können, die sie für ihre Aufgaben wirklich benötigen (Need to know Prinzip).

Elemente eines Berechtigungskonzepts:

  • Rollen definieren (z.B. Geschäftsführung, Buchhaltung, Vertrieb, Praxispersonal, Ehrenamtliche im Verein) und für jede Rolle festlegen, auf welche Systeme und Daten sie zugreifen darf.
  • Rechte in den Systemen entsprechend umsetzen (z.B. über Active Directory, Rollen in Fachanwendungen oder Gruppen in Cloud Diensten).
  • Administrator Zugänge streng begrenzen und ausschließlich namentlich zuordnen; kein gemeinsamer Admin Account für mehrere Personen.
  • Regelmäßige Rechte Reviews durchführen, z.B. einmal im Jahr oder beim Austritt bzw. Abteilungswechsel, damit ehemalige Mitarbeitende nicht mehr im System „hängen“.
  • Test und Produktivsystem trennen, damit Berechtigungen gefahrlos ausprobiert werden können, ohne echte Daten zu riskieren.

Praxistipp: Ein schriftliches Berechtigungskonzept ist nicht nur „Papier für die Aufsicht“, sondern hilft im Alltag enorm, wenn neue Mitarbeitende kommen oder Verantwortlichkeiten wechseln.

6. Weitere Praxis TOM, die nicht vergessen werden sollten

Neben Passwörtern, Verschlüsselung, Backups und Berechtigungen gibt es weitere TOM, die bei Aufsichtsbehörden oft abgefragt werden.

Beispiele:

  • Physische Sicherheit: Abschließbare Büros und Aktenschränke, Besucherkonzept, keine offen herumliegenden Unterlagen.
  • Patch und Update Management: Regelmäßige Updates für Betriebssysteme, Anwendungen und insbesondere sicherheitskritische Software.
  • Malware Schutz: Aktuelle Virenscanner, E Mail Filter, Schulungen zur Erkennung von Phishing Mails.
  • Protokollierung: Logging von administrativen Zugriffen und sicherheitsrelevanten Aktionen, soweit verhältnismäßig.
  • Schulungen und Awareness: Regelmäßige Sensibilisierung von Mitarbeitenden für Datenschutz, sichere Nutzung von IT, Umgang mit Datenpannen.

7. So werden TOM pragmatisch dokumentiert

TOM müssen nicht nur umgesetzt, sondern auch dokumentiert werden, oft als Anlage zum Verzeichnis von Verarbeitungstätigkeiten oder als Teil eines Datenschutzkonzeptes.

Praktische Vorgehensweise:

  • Eine TOM Liste nach Themenblöcken erstellen (Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Verfügbarkeitskontrolle etc.).
  • Zu jedem Block die konkreten Maßnahmen eintragen (z.B. „Passwortrichtlinie vom xx.xx.xxxx“, „BitLocker auf allen Laptops aktiviert“, „Backup Plan: täglich inkrementell, wöchentlich Vollbackup“).
  • Checklisten oder Muster von Behörden oder Datenschutz Anbietern als Ausgangspunkt nutzen und an das tatsächliche Setup anpassen, statt sie unkritisch zu übernehmen.
  • Das Dokument mindestens jährlich und nach größeren Änderungen überprüfen (neue Software, Umzug in die Cloud, Einführung von Homeoffice).