bestandsaufnahme datenschutz anonymes tracking einwilligung überprüfung tom cookies einwilligung

Das Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der TOM

/von

Es ist eine wirklich sperrige Bezeichnung, die sich da in Art. 32 Abs. 1 lit. d DSGVO findet: Demnach ist ein “Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung” zu implementieren. Aber nicht nur die Bezeichnung ist irgendwie unhandlich, sondern es fällt auf, dass die meisten unserer Mandanten sich schwer tun, ein solches Verfahren zu entwickeln. Häufig ist nicht klar, was der Verordnungsgeber von den Unternehmen verlangt. Dabei ist der Gedanke, der dahinter steckt eigentlich ganz simpel und auch sinnvoll. Während es nach dem alten BDSG ausreichend war, Maßnahmen zur Sicherstellung des Datenschutzes bzw. der Datensicherheit (also technische und organisatorische Maßnahmen, die sogenannten “TOM”) zu implementieren, ist dies künftig nur noch “die halbe Miete”. Denn: Was nützen die schönsten und modernsten Maßnahmen, wenn nicht bekannt ist, ob diese auch tatsächlich wirksam sind? Dies kann nur durch entsprechende regelmäßige Überprüfungen festgestellt werden. Und genau solche Überprüfungen verlangt die DSGVO mit der oben genannten Regelung.

Der Verordnungsgeber hat mit diesem Verfahren (wir nennen es der Einfachheit halber zukünftig: “TOM-Überprüfung”) einen Kreislauf zur ständigen Verbesserung vorgesehen. Wir hatten uns in diesem Artikel schon einmal ein paar Gedanken dazu gemacht. Die Frage, die uns aktuell immer noch regelmäßig gestellt wird, ist nun: “Wie überprüfe ich meine TOM sinnvoll?”. Und: “Was überprüfe ich überhaupt?”.

Was ist zu überprüfen?

Beantworten wir die zweite Frage zuerst: Sie überprüfen Ihre TOM. Und zwar alle. Das klingt jetzt auf den ersten Blick etwas platt, aber wir meinen es tatsächlich so. Im Zuge der Erstellung Ihrer Verzeichnisse von Verarbeitungstätigkeiten gem. Art. 30 DSGVO sind die implementierten TOM ebenfalls zu beschreiben. Sie sollten also bereits eine vollständige Übersicht über alle bei Ihnen getroffenen Maßnahmen besitzen. Falls nicht, empfehlen wir, zunächst diese Übersicht auf Vollständigkeit zu prüfen und gegebenenfalls zu aktualisieren. Diese Beschreibung der TOM können Sie heranziehen und zu jeder einzelnen dort aufgeführten Maßnahme definieren, wie deren Wirksamkeit sinnvoll geprüft werden soll. Gleichzeitig definieren Sie auch das Prüfintervall, also die Häufigkeit der Prüfung.

Wann (wie oft) überprüfen?

Bei dieser Gelegenheit ein kurzer Ausflug in die Beratungspraxis: Sehr häufig hören wir die Idee, dass man doch ein- oder zweimal im Jahr ein diesbezügliches Audit machen könne, in dem alle TOM überprüft werden. Ein sehr guter Vorschlag, der – sofern richtig geplant – die beteiligten Abteilungen nicht zu sehr belastet. Um der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) ausreichend nachkommen zu können, dürfte jedoch eine derart starre Frequenz mit diesen großen Intervallen nicht ausreichend sein. Die Folge wäre nämlich, dass beispielsweise die Wirksamkeit der Firewall exakt zweimal pro Jahr überprüft würde. Es bestünde keine Chance, einen bislang unentdeckten Einbruch oder entsprechende (erfolglose) Versuche kurzfristig zu entdecken. Hier wird eine tägliche oder vielleicht sogar eine kontinuierliche (oder zumindest mehrfach untertägige), möglichst automatische, Überprüfung notwendig sein.

Andererseits ist es vermutlich wenig sinnvoll, täglich zu prüfen, ob die Bewegungsmelder der Alarmanlage funktionsfähig und passend konfiguriert sind, um einen Einbrecher rechtzeitig zu erfassen. Es ist also nötig, die Prüfintervalle individuell für jede getroffene Maßnahme festzulegen.

Spätestens an dieser Stelle werden wir häufig mit der Frage konfrontiert, wie diese Vorgaben in der täglichen Unternehmenspraxis umgesetzt werden können. Letztlich darf der Aufwand hinsichtlich des Datenschutzes und der Überprüfung der Wirksamkeit der TOM dem Hauptzweck der unternehmerischen Tätigkeit – dem Geld verdienen – nicht allzusehr im Wege stehen. Dieser Einwand ist nachvollziehbar. Wir haben uns daher ein paar Gedanken gemacht, wie das Verfahren zur TOM-Überprüfung sinnvoll, wirksam und effizient definiert und umgesetzt werden kann. Den ersten Teil (Definition) haben Sie oben bereits zum großen Teil gelesen. Ergänzen würden wir das noch um die Empfehlung (Rechenschaftspflicht!), auch das erwartete Ergebnis und eine Reaktion auf Abweichungen davon bereits im Konzept zu spezifizieren.

Automatisierung muss her!

Jetzt aber zur Umsetzung: Sie werden nicht ohne eine möglichst hohe Automatisierung der Überprüfungen auskommen. Logfiles können nach bestimmten Textmuster gescannt werden. Rechner- und Gerätekonfigurationen (bis hin zu Multifunktionsgeräten im Netzwerk) können über Tools ausgelesen und gegen einen Sollstand abgeglichen werden. Dies gilt nicht nur für Betriebssystemversion und Patchlevel, sondern auch für die Konfiguration zahlreicher Sicherheitseinstellungen. Insbesondere, wenn Sie ein zentrales Benutzermanagement einsetzen (Windows Active Directory, Apple Open Directory etc.) lassen sich solche Einstellungen zentral auslesen und auswerten. Ergebnis einer solchen automatisierten Prüfung könnte dann zum Beispiel ein Report sein, welcher auflistet, was geprüft wurde, welche Geräte geprüft wurden und welche Abweichungen es gab. Die Reports werden dann (man kann es nicht oft genug wiederholen: Rechenschaftspflicht!) zentral gesammelt.

Nicht alles lässt sich automatisieren

Aber nicht alle Prüfungen lassen sich automatisieren. So werden Sie vermutlich immer noch “manuell” nach beschädigten Fensterscheiben oder angesägten Gittern vor Fenstern suchen müssen. Gleiches gilt für Stichprobenkontrollen bezüglich offenstehender Türen oder nicht abgeschlossener Räume. Bestimmte Prüfungen können Sie einen Sicherheitsdienst nachts während seiner Patrouille quasi nebenbei erledigen lassen, andere Prüfungen wird speziell ausgebildetes Personal durchführen müssen.

Tool-Unterstützung

Zurück zu den automatisierten Überprüfungen: Hierfür gibt es einige Tools, die teils sogar als Open Source Software kostenfrei nutzbar sind. Eines davon ist InSpec (https://inspec.io), für das auch zahlreiche Profile für Prüfungen fertig zum Download zur Verfügung stehen. Insbesondere für die oben angesprochenen Überprüfungen der Rechner- und Peripheriekonfiguration kann ein solches Tool mit den richtigen Profilen eine enorme Hilfe sein.

Der Kloreinigungszettel

Die Prüfungen, die nicht automatisiert durchgeführt werden, für die also kein automatisch erstelltes Protokoll existieren kann, müssen selbstverständlich ebenfalls dokumentiert werden. Einer unserer Mandanten hat hierfür kreativ den Begriff “Kloreinigungszettel” geprägt: Nach jeder erfolgten Überprüfung wird diese in Form eines Eintrags “Wer, wann, Ergebnis” mit Kürzel oder Unterschrift dokumentiert. Bei einem Ergebnis ungleich “Ok” muss selbstverständlich ein Prozess definiert sein, wie weiter vorzugehen ist um den Sollzustand möglichst schnell wieder zu erreichen.

Sie stehen vor der Aufgabe, das Verfahren zur TOM-Überprüfung entwickeln zu müssen? Wir unterstützen Sie dabei, sprechen Sie uns an!


Diesen Beitrag teilen

Das könnte Dich auch interessieren
Teilnehmerlisten im Kontext des BDSG
sicherheit der verarbeitung aufsichtsbehörden datenschutz-folgenabschätzung dsfa office365 widerspruchsrecht 21Sichtweisen der Aufsichtsbehörden zu Tracking Tools und DSGVO
datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigertDatenverarbeitung zu Werbezwecken unter der DSGVO
ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoDie Verpflichtung auf das Datengeheimnis nach der DSGVO
sicherheit der verarbeitung aufsichtsbehörden datenschutz-folgenabschätzung dsfa office365 widerspruchsrecht 21Serie Betroffenenrechte: Das Widerspruchsrecht nach Art. 21 DSGVO
berichtigungDokumentationspflichten bei “Nicht -Meldung” von Datenpannen