Immer wieder hört man von „TOM“, wenn es um die Sicherheit von Daten geht. Damit ist natürlich keine Person gemeint, sondern eine ganze Reihe von Maßnahmen für die Datensicherheit – technischer und organisatorischer Art. Für einen einzelnen wäre das also ein bisschen viel. Damit beim Datenschutz nichts schiefgeht, braucht man also bestimmte Sicherungsmaßnahmen. Die Maßnahmen sind laut Art. 32 DSGVO „Sicherheit der Verarbeitung“ zu ergreifen, um das Risiko auf ein „angemessenes Schutzniveau“ zu reduzieren.
Ursprünglich kommen die Maßnahmen aus der Informationssicherheit, wo sie ein sehr wichtiger und umfangreicher Teil des Informationssicherheitssystems (ISMS) sind, das man sich zum Beispiel nach der DIN ISO 27001 zertifizieren lassen kann.
Weitere Beispiele:
– Vertraulichkeitsverpflichtungen der Mitarbeiter
– Ein passwortgeschützter Bildschirmschoner schützt Geschäftsdaten vor unbefugtem Zugriff.
– Der Monitor ist so auszurichten, dass niemand Einsicht auf angezeigte Inhalte erhält.
– Passwörter dürfen nicht auf Zetteln notiert am Arbeitsplatz liegen gelassen werden oder als Post-its am Monitor kleben.
Da manche Maßnahmen sowohl technisch als auch organisatorisch sind und sich unter Umständen auch mehreren Bereichen zuordnen lassen, überschneiden sie sich teilweise. Wesentlich ist, dass sich das Risiko durch die Umsetzung der Maßnahmen auf einen akzeptablen Wert reduziert. Dazu ist eine Risikoanalyse aller Verarbeitungsvorgänge in der Organisation unerlässlich.