Die sogenannten technischen und organisatorischen Maßnahmen, kurz: TOMs genannt, sind verschiedene Festsetzungen, die sich in der Anlage zu §9 BDSG finden. Diese Regelungen treffen alle öffentlichen und nicht-öffentlichen Stellen, welche personenbezogene Daten verarbeiten, erheben oder nutzen. Darunter fallen auch Unternehmen als nicht-öffentliche Stellen. Es handelt sich dabei also um Regeln, die bei der Verarbeitung von personenbezogenen Daten eingehalten werden müssen.
Rechtlicher Rahmen der technischen und organisatorischen Maßnahmen
Die Gesetzes-Norm §9 BDSG stellt die Umsetzung einer EU-Datenschutzrichtlinie in Deutschland dar. Jeder Mitgliedstaat hat die Vorgaben der Richtlinie im nationalen Recht umgesetzt. Ist ein Unternehmen in mehreren Staaten der Europäischen Union tätig, muss es die nationalen Vorgaben seines Sitzlandes erfüllen. Darunter versteht man das Land, in dem die Verarbeitung der Daten tatsächlich erfolgt.
Ausgestaltung der technischen und organisatorischen Maßnahmen in Deutschland
Zunächst einmal sei darauf hingewiesen, dass eine Stelle, die Daten verarbeitet, bei der Beschreibung der technischen und organisatorischen Maßnahmen nicht verpflichtet ist, Struktur und Begrifflichkeiten der Anlage zu §9 BDSG zu verwenden. Es reicht bereits aus, dass die konkreten Schutzmaßnahmen inhaltlich erkennbar sind. Nachfolgend werden die einzelnen Maßnahmen, im Sinne des Gesetzestextes, aufgezählt:
Es sind Maßnahmen zu treffen, die je nach Art der personenbezogenen Daten geeignet sind,
- Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
- zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
- zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
- zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
- zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
- zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
- zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
- zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können
All diese Maßnahmen sollen dazu dienen, die sogenannten Schutzziele der IT-Sicherheit zu gewährleisten. Diese gehen über die Anforderungen des Datenschutzes hinaus. Neben der zu wahrenden Vertraulichkeit spielen auch die Verfügbarkeit und Integrität der Daten eine wichtige Rolle. Im einem der folgenden Beiträge wird näher auf das Thema IT-Sicherheit und die einzelnen Maßnahmen eingegangen.