Zu Content springen
Deutsch – Schweiz
Kontaktieren Sie uns
  • Es gibt keine Vorschläge, da das Suchfeld leer ist.

Welche Rolle spielen die sogenannten «Technischen und organisatorischen Massnahmen» («TOM») beim Datenschutz?

Die mit «Informationssystemen» (bei «Verantwortlichen» und «Auftragsbearbeitern») verbundenen Gefahren lassen sich mit technischen und organisatorischen Massnahmen (im herkömmlichen Sinn als «TOM» bezeichnet) verringern.

Ein Informationssystem, das Personendaten enthält, muss bestimmten Kriterien genügen, um die Sicherheit dieser Daten zu gewährleisten.

«Technische Massnahmen» stehen in direktem Zusammenhang mit dem jeweiligen Informationssystem.

«Organisatorische Massnahmen» betreffen das Umfeld des Informationssystems, insbesondere bezogen auf die Personen, die es nutzen.

Datenverlust, Datenvernichtung, Irrtümer, Fälschungen und unberechtigte Zugänge etc. können nur durch das (reibungslose) Zusammenspiel technischer und organisatorischer Massnahmen verhindert werden.

In ihrer kombinierten Anwendung bestimmen diese Massnahmen den Lebenszyklus eines Informationssystems und müssen auf jeder Stufe des Systems greifen.

Beim Thema «TOM» geht es um die Auseinandersetzung mit den Gefahren, die moderne Informationssysteme aus der Sicht des Datenschutzes mit sich bringen, konkret, dass durch die «TOM» ein optimaler und angemessener Schutz der Personendaten realisiert und sichergestellt wird.

Begriffe

Zur besseren Verständlichkeit folgen einige Begriffserklärungen:

  • Daten- bzw. Informationssicherheit: Umfasst alle Massnahmen zur Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit der Daten bzw. Informationen.
  • Datenschutz: Umfasst alle Massnahmen zur Verhinderung einer unerwünschten Bearbeitung von Personendaten und deren Folgen.
  • Informationsschutz: Legt die Vertraulichkeitsstufen für Informationen («intern», «vertraulich», «geheim») fest.
  • Die Risiken für Personendaten werden vier Risikostufen zugeordnet:

Geringes Risiko: Personendaten, deren Missbrauch in der Regel für die betroffene Person keine besonderen Folgen hat.

Mittleres Risiko: Personendaten, deren Missbrauch die wirtschaftliche Situation oder die gesellschaftliche Stellung der betroffenen Person beeinträchtigen kann.

Hohes Risiko: Personendaten, deren Missbrauch zu einer schweren Beeinträchtigung der wirtschaftlichen Situation oder der gesellschaftlichen Stellung der betroffenen Person führen kann.

Sehr hohes Risiko: Personendaten, deren Missbrauch das Leben der betroffenen Person gefährden kann.

Die wichtigsten Themen

Die folgende Übersicht typischer Themen, mit denen man sich im «TOM-Bereich» auseinandersetzen muss, dient als Orientierung.

Wesentlich ist der «datenschutzrechtliche» Zusammenhang der «TOM» im Kontext der Ausführungen im nDSG und in der DSV bezüglich der «Datensicherheit» für Personendaten, (die mittels der «TOM» zu gewährleisten ist).

Die wichtigsten «TOM» Themen:

Schwerpunkt: Zugang zu den (personenbezogenen) Daten

  • Sicherheit der Räumlichkeiten
  • Sicherheit der Server-Räume
  • Sicherheit des Arbeitsplatzes
  • Identifizierung und Authentifizierung
  • Zugang zu den Daten
  • Zugang zu den Daten von ausserhalb des Unternehmens

Schwerpunkt: Daten-Lebenszyklus

  • Datenerfassung
  • Protokollierung
  • Pseudonymisierung, Anonymisierung
  • Verschlüsselung
  • Datenträgersicherheit
  • Sicherung der Daten
  • Vernichtung der Daten
  • Outsourcing (Bearbeitung durch Dritte)
  • Schutz und Sicherheit

Schwerpunkt: Datenaustausch

  • Sicherheit des Netzes
  • Verschlüsselung von Nachrichten
  • Unterzeichnen von Nachrichten
  • Datenträgerübergabe
  • Protokollierung des Datenverkehrs

Schwerpunkt: Auskunftsrecht

  • Betroffenenrechte
  • Klare Festlegung und Reproduzierbarkeit des Auskunftsverfahrens

Es ratsam, die im Abschnitt «Gesetzliche Grundlagen» dargestellten relevanten Gesetzestexte als die eigentliche Richtschnur für dieses Thema herzunehmen; die Gesetzestexte sind klar und deutlich formuliert und relativ selbsterklärend.

Gesetzliche Grundlagen

Die gesetzlichen Grundlagen bezüglich der «TOM» werden im Schweizer Datenschutzgesetz über Artikel 7 (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen) nDSG «eingeleitet»; (die in Absatz 3 erwähnten «geeigneten Voreinstellungen» sind als TOM-verwandte Zusatzmassnahme zu verstehen). Dort heisst es:

«Der Verantwortliche ist verpflichtet, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden, insbesondere die Grundsätze nach Artikel 6. Er berücksichtigt dies ab der Planung.

Die technischen und organisatorischen Massnahmen müssen insbesondere

dem Stand der Technik,

der Art und dem Umfang der Datenbearbeitung

sowie dem Risiko,

das die Bearbeitung für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt, angemessen sein.

3 Der Verantwortliche ist verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt. »

In Artikel 8 nDSG wird («fortsetzend») der Aspekt der «Datensicherheit», die über die «TOM» gewährleistet werden soll, unterstrichen:

«1 Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.

Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.

3 Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit.»

In Artikel 9 nDSG wird (immer noch mit dem Thema zusammenhängend) der Aspekt der Gewährleistung der «Datensicherheit» seitens eines «Auftragsbearbeiters» angesprochen, wobei hier der «Verantwortliche» jedoch sicherstellen muss, dass sein «Auftragsbearbeiter» die Datensicherheitspflicht erfüllt bzw. erfüllen kann:

«1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:

  1. die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; [...]

Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten. [...]»

Die Umsetzung der bei diesem Themenspektrum anwendbaren «nDSG-Gesetzgebungen» wird in der (neuen) Verordnung zum DSG gleich im ersten Kapitel, und zwar im erstens Abschnitt («Datensicherheit») behandelt.

Die «TOM»-bezogenen Umsetzungsschritte werden in Artikel 3 (Technische und organisatorische Massnahmen) DSV sehr ausführlich geschildert:

«Um die Vertraulichkeit zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:

  1. berechtigte Personen nur auf diejenigen Personendaten Zugriff haben, die sie zur Erfüllung ihrer Aufgaben benötigen (Zugriffskontrolle);
  2. nur berechtigte Personen Zugang zu den Räumlichkeiten und Anlagen haben, in denen Personendaten bearbeitet werden (Zugangskontrolle);
  3. unbefugte Personen automatisierte Datenbearbeitungssysteme nicht mittels Einrichtungen zur Datenübertragung benutzen können (Benutzerkontrolle).

Um die Verfügbarkeit und Integrität zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:

  1. unbefugte Personen Datenträger nicht lesen, kopieren, verändern, verschieben, löschen oder vernichten können (Datenträgerkontrolle);
  2. unbefugte Personen Personendaten im Speicher nicht speichern, lesen, ändern, löschen oder vernichten können (Speicherkontrolle);
  3. unbefugte Personen bei der Bekanntgabe von Personendaten oder beim Transport von Datenträgern Personendaten nicht lesen, kopieren, verändern, löschen oder vernichten können (Transportkontrolle);
  4. die Verfügbarkeit der Personendaten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können (Wiederherstellung);
  5. alle Funktionen des automatisierten Datenbearbeitungssystems zur Verfügung stehen (Verfügbarkeit), Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte Personendaten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität);
  6. Betriebssysteme und Anwendungssoftwarestets auf dem neusten Sicherheitsstand gehalten und bekannte kritische Lücken geschlossen werden (Systemsicherheit).

Um die Nachvollziehbarkeit zu gewährleisten, müssen der Verantwortliche und der Auftragsbearbeiter geeignete Massnahmen treffen, damit:

  1. überprüft werden kann, welche Personendaten zu welcher Zeit und von welcher Person im automatisierten Datenbearbeitungssystem eingegeben oder verändert werden (Eingabekontrolle);
  2. überprüft werden kann, wem Personendaten mit Hilfe von Einrichtungen zur Datenübertragung bekanntgegeben werden (Bekanntgabekontrolle);
  3. Verletzungen der Datensicherheit rasch erkannt (Erkennung) und Massnahmen zur Minderung oder Beseitigung der Folgen ergriffen werden können (Beseitigung).»