Seit Inkrafttreten der DSGVO hört man ständig den Ausdruck „TOMs“ in Zusammenhang mit dem Datenschutz. Wofür steht die Abkürzung überhaupt und was kann man sich in der Praxis darunter vorstellen? In unserer 3 teiligen Serie, erklären wir Ihnen alle wichtigen Begriffe, praxisorientiert und leicht verständlich für den Arbeitsalltag. In diesem Teil geht es um die vier Kontrollschritte Zutritts-, Zugangs-, Zugriffs- und Weitergabekontrolle.
Mit den TOMs sind die technischen und organisatorischen Maßnahmen gemeint. Dabei handelt es sich um Sicherheitsvorkehrungen, die personenbezogene Daten vor unberechtigtem Zugriff schützen. Die Maßnahmen kann man anhand der folgenden acht Gebote darstellen, die in Form von Kontrollschritten beschrieben werden:
- Zutrittskontrolle
- Zugangskontrolle
- Zugriffskontrolle
- Weitergabekontrolle
- Eingabekontrolle
- Auftragskontrolle
- Verfügbarkeitskontrolle
- Datentrennungskontrolle
Auf die ersten vier Kontrollschritte gehen wir nun genauer ein:
Zutrittskontrolle
Unbefugte dürfen sich keinen Zutritt zu Ihrem Betriebsgelände oder Bürogebäude, in denen sich Ihre betrieblichen Räumlichkeiten befinden, verschaffen. Das kann durch Maßnahmen wie beispielsweise sichere Türschlösser, Videoüberwachung oder eine Besucherkontrolle durch einen Portier gewährleistet werden. Übrigens: Das Türschloss am Beitragsfoto ist aus heutiger Sicht definitiv nicht mehr als sicher einzustufen.
Zugangskontrolle
Hat ein Dritter nun bereits Zutritt erlangt, so stellt die Zugangskontrolle sicher, dass sich die Person dennoch nicht den Zugang zu den EDV-Anlagen (Serverräumen, PCs, Laptops) schafft. Dazu dienen unter anderem biometrisch gesicherte Serverräume, das Wegsperren von Laptops, aber auch Firewalls und Anti-Viren-Programme.
Zugriffskontrolle
Sollten nun bereits die Zutritts- und Zugangskontrolle versagt haben und der unbefugte Dritte ist bereits zu einem PC, Laptop oder an Ihren Schreibtisch gelangt, so regelt die Zugriffskontrolle, dass die Person trotzdem keinen Zugriff auf personenbezogene Daten erhält. Was sind die hier wichtigsten Maßnahmen: Gute Passwörter, versperrte Akten.
Weitergabekontrolle
Die Weitergabekontrolle stellt sicher, dass Daten nur an berechtigte Empfänger übermittelt werden. Welche Maßnahmen stellen in der Praxis sicher, dass Daten ausschließlich in die richtigen Hände geraten? Beispiele für die Umsetzung der Weitergabekontrolle sind die Verschlüsselung von Emails, VPN-Technologie, Authentifizierung der User, Passwortschutz bei Email Anhängen sowie die Verwendung von digitalen Signaturen.
Unsere Praxistipps
- Clear-Screen & Clear-Desk-Prinzip: Auf Schreibtischen oder Bildschirmen dürfen personenbezogene Daten Unbefugten (also beispielsweise Kunden, mit denen man eine Besprechung hat) keinesfalls zugänglich gemacht werden. Lassen Sie also keine Dokumente herumliegen oder am Bildschirm offen, wenn Sie Ihren Arbeitsplatz verlassen. Oder wenn Sie eine Besprechung haben. Die Kombination Windows-Taste + L sperrt Ihren Bildschirm unmittelbar.
- Schützen Sie Ihren PC/Laptop mit einem sicheren Passwort: 10 Zeichen, Groß/Kleinschreibung, Ziffer, Sonderzeichen = keine ganzen Wörter, Namen, Kfz-Kennzeichen oder Geburtsdaten verwenden! Weitere Informationen zum Passwortmanager finden Sie hier.
- Die TOMs scheinen in der Praxis für viele Unternehmen eine Herausforderung zu sein, weil es sich dabei oftmals um (EDV-)technische Anforderungen und Maßnahmen zur IT-Sicherheit handelt. Kontaktieren Sie uns, wenn Sie Unterstützung bei der Umsetzung benötigen, durch unsere jahrelange Expertise im Datenschutz- und IT-Bereich sind wir Ihre idealen Partner.
- Lesen Sie im 2. Teil unserer TOMs Serie mehr über die Eingabe- und Auftragskontrolle.