TOM technische organisatorische maßnahmen schufa scoring

Der kleine TOM mal wieder – was ist besser? Technische oder organisatorische Maßnahmen?

/von

Von unseren Mandantinnen hören wir häufiger Aussagen, wie: “Also TOM ist ja wirklich unerträglich”. Gemeint ist natürlich nicht das Patenkind, sondern die unter anderem in Art. 32 DSGVO geforderten technischen und organisatorischen Maßnahmen, kurz TOM. Zu diesen hatten wir in der Vergangenheit bereits mehrere Artikel veröffentlicht, zum Beispiel hier, hier und hier. Wir sind in diesen Artikeln allerdings stets auf technische Maßnahmen eingegangen und das hat auch einen Grund. Auf diesen Grund möchten wir in diesem Artikel eingehen. Einleitend wollen wir kurz erläutern, was technische und organisatorische Maßnahmen unterscheidet.

Die liebe Technik

Eine Rahmenbedingung für alle technischen Maßnahmen ist, dass diese dem Stand der Technik entsprechen müssen. Stand der Technik heißt: Es müssen Maßnahmen getroffen werden, die zum aktuellen Zeitpunkt und auch mit Blick in die mittelfristige Zukunft ausreichend (beziehungsweise angemessen) sind. Es muss sich dabei nicht um die neuesten und modernsten Maßnahmen handeln – das wäre der Stand der Wissenschaft. Um es an einem Beispiel festzumachen: Sie dürfen die Türen Ihrer Gebäude durchaus mit einem mechanischen und schlüsselbetriebenen Schloss versehen. Nicht ausreichend wäre ein Schloss, wie Sie es zuhause in der Wohnzimmertür finden, auch ein einfaches Baumarktschloss ist vermutlich nicht ausreichend. Aber ein den aktuellen Sicherheitsstandards (hier wären insbesondere die DIN 18252 und DIN EN 1303 zu nennen) entsprechendes Schloss, kann als “Stand der Technik” angesehen werden. Und Sie sind eben auch nicht verpflichtet, eine automatische Zutrittskontrollanlage mit RFID-Chips und zentraler Berechtigungssteuerung einzubauen. Das ist vermutlich nicht der letzte Stand der Wissenschaft, sondern lediglich Stand der Technik, aber eben auch schon ein erhöhtes Niveau des Stands der Technik.

Das Problem ist: Mit voranschreitender Zeit erhöht sich auch der Stand der Technik und damit die Erwartungen an die Verantwortlichen, welche TOM umzusetzen sind. Ergänzend erhöhen aich aufgrund besserer Technik (hier spielen wir jetzt eher auf die IT an als auf mechanische Schlösser) auch die Möglichkeiten derer, vor denen Sie sich schützen müssen. Hat man heute physischen Zugriff auf eine Festplatte, ist es ein Leichtes, eine Million Passworte pro Sekunde auszuprobieren. Anders ausgedrückt, eine numerische PIN á la “12345678” hat man in maximal einer Minute durch reines Durchprobieren geknackt.

Und auch aus der Ferne über das Internet können vielleicht nicht eine Million Passwörter pro Sekunde aber durchaus sehr viele ausprobiert werden. Werden hier keine Maßnahmen zum Ausbremsen solcher Angriffe getroffen, kann zum einen das angegriffene System lahmgelegt werden (sogenannte Denial of Service (DoS) Attacken, sofern mehrere Angreifer*innen beteiligt sind heißen die dann distributed Denial of Service (dDoS) Attacken), zum anderen bleibt den Angreifer*innen unter Umständen einfach sehr viel Zeit, um es beim laufenden System einfach immer wieder zu versuchen. Hier helfen Maßnahmen wie “Throttling”, also das künstliche Verzögern der Rückmeldungen der Server bei fehlgeschlagenen Loginversuchen. Bereits eine Sekunde, die von einem Menschen kaum bemerkt wird, reicht hier schon, um solche Angriffe zu vereiteln.

Organisatorische Maßnahmen

Nicht alles lässt sich aber über Technik lösen. Oder es soll aus bestimmten Gründen (zum Beispiel Kosten) nicht alles über Technik gelöst werden, selbst wenn es möglich wäre. Da kommen dann die organisatorischen Maßnahmen ins Spiel. Organisatorisch heißt letztlich: Es gibt eine Arbeitsanweisung oder Prozessbeschreibung, an die sich alle zu halten haben. Wichtig ist an dieser Stelle zu betonen: Organisatorische Maßnahmen müssen niedergeschrieben werden. Was nicht verschriftlicht ist, existiert aus Sicht der Aufsichtsbehörden im Ernstfall nicht. Bei diesem “Schriftformerfordernis” (digitale Verschriftlichung in Form von PDFs oder ähnlichem reicht natürlich ebenfalls, daher die Anführungszeichen) geht es darum, nachzuweisen, dass die Organisation im Ganzen gut aufgestellt ist. Wird dennoch gegen die getroffenen Regelungen verstoßen, handelt es sich somit nicht um ein Organisationsversagen, sondern um einen Einzelfall. Wird mit solchen Einzelfällen gut umgegangen, sind Verstöße immer noch nicht auf die leichte Schulter zu nehmen, aber verkraftbar und auch in der Kommunikation mit den Aufsichtsbehörden für den Datenschutz sicher deutlich entspannter.

Technik sticht Orga

Dennoch: Hat man die Wahl zwischen einer technischen und einer organisatorischen Umsetzung einer Maßnahme, empfehlen wir stets die technische Maßnahme. Hintergrund ist, dass man technische Maßnahmen üblicherweise erzwingt. Damit sind Verstöße gegen diese Maßnahme ausgeschlossen. Ein Beispiel gefällig? Nehmen wir noch einmal das Passwort. Mittels Arbeitsanweisung kann festgelegt werden, dass alle Nutzer*innen eines Systems Passworte mit einer Länge von mindestens 12 Zeichen zu wählen haben und das Passwort jeweils mindestens 1 Zeichen aus den Zeichenvorräten Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen beinhalten muss. Diese Anweisung stellt allerdings nicht sicher, dass sich alle Nutzer*innen daran halten. Erzwingt nun das System solche Komplexitätsregeln für Passworte, hat man eine technische Maßnahme, die von den Nutzer*innen nicht umgangen werden kann. Somit kann es auch keine Verstöße dagegen geben. Darüber hinaus lassen sich technische Maßnahmen sehr gut nachweisen. Entweder weil man das Schloss in der Tür zeigen kann oder weil man die entsprechende Policy in den Tiefen des ActiveDirectory nachweisen kann. Dies sogar mit Timestamp, wann sie eingeführt oder zuletzt geändert wurde.

Fazit

Wir finden: TOM ist gar nicht so unerträglich, wie viele behaupten. Wir stimmen zu, dass der Dokumentationsaufwand durch die DSGVO durchaus hoch ist. Und eine gute TOM-Dokumentation kann wirklich sehr umfangreich sein. Allerdings kann der Umfang der Dokumentation durch die Umsetzung technischer Maßnahmen auch merkbar gesenkt werden, da für bestimmte Maßnahmen gar keine oder deutlich reduzierte Anweisungen und Prozessdefinitionen entworfen werden müssen. Und wir merken am eigenen Beispiel, wie sehr gute technische Maßnahmen helfen können.

Da alle getroffenen Maßnahmen regelmäßig auf Wirksamkeit überprüft und gegebenenfalls angepasst werden müssen (siehe Art. 32 Abs. 1 lit. d DSGVO) kann durch eine verstärkte Umsetzung technischer Maßnahmen Aufwand sowohl bei der Dokumentation als auch bei der Überprüfung eingespart werden. Technisch umgesetzte Maßnahmen lassen sich in zahlreichen Fällen automatisiert oder teilautomatisiert prüfen.

Die Bewertung der Ergebnisse wird allerdings weiterhin durch einen Menschen…. Wobei – wäre das nicht eine Aufgabe, die man mit KI-Unterstützung…. Ok, dazu vielleicht in einem späteren Artikel mehr.


Diesen Beitrag teilen

Das könnte Dich auch interessieren
rechte- und rollenkonzept einsicht personalakte beschäftigungsverhältnisEinsicht in die Personalakte und weitere Unterlagen durch Führungskräfte
auftragsverarbeitung kontrolle juristische person als datenschutzbeauftragterAuftragsverarbeitung – Kontrolle der (Unter-)Auftragnehmer
aufsichtsbehörde prüft rechtsgrundlage öffentliches interesse öffentliche gewalt hoheitliche aufgabe 6 1 e dsgvo tom passwörter bsi risikoanalyse zawasDer Prozess zur Auswahl angemessener Sicherungsmaßnahmen (ZAWAS)
abmahnung schmerzensgeld google fonts eugh urteil rechtmäßigkeit verstoß Drittes geschlecht divers korrektheit informationspflichten bußgeld cnilDas dritte Geschlecht im Bereich des Datenschutzes