Wer sich mit der DSGVO beschäftigt, muss sich zwangsläufig auch mit den technischen und organisatorischen Maßnahmen (TOM) auseinandersetzen. Um die Auswahl zu erleichtern, hat die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) einen Leitfaden entwickelt. Deshalb haben wir dies zum Anlass genommen, uns genauer mit dem sogenannten ZAWAS-Prinzip zu beschäftigen.
Der Inhalt im Überblick
Was sind TOM eigentlich?
Gemäß Art. 24 Abs. 1 DSGVO muss der Verantwortliche technische und organisatorische Maßnahmen umsetzen, um die Einhaltung der DSGVO sicherzustellen und nachweisen zu können. Weiterhin soll, gem. Art. 32 DSGVO, mit dem TOM die Sicherheit der Verarbeitung gewährleistet werden. Art. 32 DSGVO gibt dabei erste Anstöße, was für Maßnahmen man sich unter den technischen und organisatorischen Maßnahmen vorstellen kann. Die Auflistung ist beispielhaft und nicht als abschließend anzusehen, da dem Verantwortlichen ein gewisser Spielraum bei der Auswahl seiner TOM zugeschrieben wird.
Technische Maßnahmen
Eine Hälfte der TOM stellen die technischen Maßnahmen dar. Sie haben Einfluss auf die eigentliche (technische) Verarbeitung. Darunter fallen sämtliche Maßnahmen die die Sicherheit von den eingesetzten IT-Systemen, bis hin zur Sicherheit des Gebäudes in dem sie sich befinden, gewährleisten. Beispiele können etwa sein:
- Verschlüsselung der Datenträger bzw. der Datenübermittlung
- Einsetzen einer Firewall
- automatische Backups
- Einsatz einer USV und Notstromaggregat
Organisatorische Maßnahmen
Die andere Hälfte bilden die organisatorischen Maßnahmen. Sie beeinflussen die Rahmenbedingungen der technischen Verarbeitung. Sie stellen dementsprechend alle nicht technischen Maßnahmen dar. Beispiele hierfür sind:
- Schulung der Mitarbeiter im Datenschutz
- Vertraulichkeitsverpflichtung der Mitarbeiter
- Vier-Augen-Prinzip
- Bestimmung der zugriffsberechtigten Personen
Auswahlkriterien
Das Auswahlermessen der verantwortlichen Stelle ergibt sich aus mehreren Kriterien. Dazu zählen der Stand der Technik, Implementierungskosten, die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der Betroffenen, sowie Art, Umfang, Umstände und Zweck der Verarbeitung.
Daraus folgt, dass jedes Unternehmen seinen eigenen, spezifischen Maßnahmenkatalog entwickeln muss. So wird man andere Maßnahmen bei Softwaregiganten wie SAP vorfinden, als bei dem Copy-Shop um die Ecke. Dieser dynamische Ansatz macht die Auswahl der entsprechenden TOM jedoch auch zu einer großen Hürde, denn die Maßnahmen müssen nicht nur für die stattfindenden Verarbeitungen ein angemessenes Schutzniveau herstellen. Sie müssen auch entsprechend der oben genannten Kriterien dauerhaft angepasst und aktualisiert werden.
ZAWAS-Prinzip
Das ZAWAS-Prinzip ist ein Prozess zur Auswahl angemessener Sicherungsmaßnahmen. Die LfD will dadurch eine Hilfestellung für Unternehmen bieten, die bei der Umsetzung der TOM Schwierigkeiten haben. Genauso gut kann der Leitfaden aber auch von Unternehmen genutzt werden, die ihre bereits etablierten TOM überprüfen wollen. Dabei sollen immer die gleichen 8 Schritte verwendet werden:
- Verarbeitungstätigkeit beschreiben
Fassen Sie zusammen, welche Zwecke mit der Verarbeitung verfolgt werden, welche Daten die Verarbeitung betrifft und beschreiben Sie den Ablauf der Verarbeitung. - Rechtliche Grundlagen prüfen
Stellen Sie sicher, dass die Verarbeitung auf einer zulässigen Rechtsgrundlage basiert und die Grundsätze der DSGVO eingehalten werden. - Strukturanalyse durchführen
Ermitteln und beschreiben Sie die zu schützenden Objekte der Verarbeitungstätigkeit. Geben Sie außerdem deren Beziehung zueinander an. Zum Beispiel die IT-Systeme, das Gebäude oder spezifische Räume. - Risiken identifizieren und Schadenswerte einschätzen
Bestimmen Sie Ereignisse, die zu einem Schaden führen können und bestimmen Sie den Schadenswert des Risikos anhand der Eintrittswahrscheinlichkeit und der Schwere des Risikos. - Maßnahmen auswählen
Suchen Sie unter Berücksichtigung der oben genannten Kriterien nach geeigneten Maßnahmen, um die identifizierten Risiken einzudämmen. Achten Sie dabei auf die bestimmten Schadenswerte und wählen Sie geeignete Maßnahmen zur Prävention aus. Sie können sich am IT-Grundschutz-Kompendium, oder an den Maßnahmen des Standard-Datenschutzmodells orientieren. - Restrisiko bewerten
Ermitteln Sie die bestehenden Restrisiken, wenn die nach Punkt 5 ausgewählten Maßnahmen implementiert wären. Sollte weiterhin ein hohes Risiko bestehen, müssen Sie neue Maßnahmen bestimmen, oder den Verarbeitungsprozess anpassen. - Maßnahmen konsolidieren
Hierbei sollen nun alle Maßnahmen als Einheit betrachtet werden. Es kann sein, dass Maßnahmen überflüssig sind, weil eine andere Maßnahme ein besseres Schutzniveau gewährleistet. Konkretisieren Sie außerdem Maßnahmen, wenn bei der Gesamtbetrachtung das Ziel der Maßnahme nicht klar ist. - Maßnahmen realisieren
Verteilen Sie Aufgaben und Verantwortlichkeiten und priorisieren Sie bei Budget- bzw. Personalknappheit Ihre Maßnahmen. Setzen Sie nun die festgelegten Maßnahmen um.
Bewertung des ZAWAS-Prinzips
In der Praxis werden sicherlich schon ähnliche Prozesse angewendet. Das LfD bietet mit dem ZAWAS-Prinzip jedoch eine gute Hilfestellung für Unternehmen, die bei der Umsetzung der TOM Probleme haben. Und auch wenn die Abkürzung nicht sehr gelungen ist, so lassen sich dadurch sehr detailliert geeignete Maßnahmen identifizieren. Für Einsteiger und sicher auch für den einen oder anderen Berater, dürfte es sich als ein nützlicher Leitfaden etablieren.
Moin,
es ist bereits eine neuere Version des IT-Grundschutz-Kompendiums des BSI im Februar 2019 erschienen:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2019.pdf?__blob=publicationFile&v=9