Warum sind technische und organisatorische Maßnahmen (TOM) für Unternehmen wichtig
Viren und andere schädliche Angriffe auf ein Computersystem sind nicht nur ärgerlich, sondern auch gefährlich. Wenn Daten verloren gehen, kann das zu erheblichen Schäden in einem Unternehmen führen. Nicht nur Daten, welche für das Unternehmen wertvoll sind gehen hierbei verloren.
Wenn personenbezogene Daten durch ein schädliches Virus abgegriffen, verändert oder zerstört werden, liegt im Fall des Datenschutzes unter umständen ein meldepflichtiger Vorgang vor. Wird dieser nicht erkannt und gemeldet oder wurden die Daten nicht angemessen geschützt, kann dies zu empfindlichen Strafen führen.
Warum ein aktueller Virenscanner so wichtig für den Datenschutz ist und welche Rolle ein externer Datenschutzbeauftragter dabei spielen kann, erklären wir Ihnen in diesem Datenschutz-Blog.
Datenschutz und der „Stand der Technik“
Wer den Datenschutz im Unternehmen nach den Vorgaben von Datenschutzgrundverordnung (DS-GVO) und Bundesdatenschutzgesetz (BDSG) sicher umsetzen möchte, der sollte in jedem Fall die technischen und organisatorischen Maßnahmen (TOM) überprüfen und ggf. anpassen.
Im Datenschutz spricht man dabei immer auch über den sogenannten „Stand der Technik“ – die TOM sollten also auch auf dem Stand der Technik sein. DS-GVO und BDSG definieren das allerdings nicht genauer. Dennoch gibt diese Art von Definition vor, dass die TOM auf jeden Fall immer wieder auf den aktuellen Stand hin überprüft und angepasst werden müssen.
Virenscanner – Kein Update, kein Schutz
Zum aktuellen Stand der Technik und zu einer wichtigen Maßnahme gehört dabei auch ein Virenscanner. Dieser sollte natürlich auch regelmäßig überprüft und aktualisiert werden. Viele User nutzen zwar einen Virenscanner, versäumen aber aus verschiedenen Gründen diesen regelmäßig zu aktualisieren.
Die Art der Viren und deren Verbreitung ändert sich aber stetig, daher kann man eigentlich sagen, dass ein veralteter Virenscanner, der zwar gewisse Viren erkennt, gegen neue, aggressivere Viren aber nichts tut, keinen Schutz für die Daten darstellt – egal ob Firmeninterner oder personenbezogene Daten.
Aus dem Blickwinkel des Datenschutzes heraus kann man festhalten, dass ein veralteter und nicht ausreichender Virenscanner nicht ausreichend ist, um die gesetzlichen Vorgaben einzuhalten. An dieser Stelle zeigt sich sehr deutlich, dass Datenschutz und IT-Sicherheit ineinandergreifen.
„Stand der Technik“ – aktualisieren und prüfen
Hard- und Software sollten laut Datenschutz also regelmäßig überprüft und aktualisiert werden – nach dem Stand der Technik. Da dies gerade beim Virenschutz nicht immer einfach zu beurteilen ist, sollten hier zwei Fachleute hinzugezogen werden: IT-Experte und (externer) Datenschutzbeauftragter des Unternehmens.
Beide sollten aus dem jeweiligen Blickwinkel die Umsetzung des Virenschutzes beurteilen und sicherstellen. Darüber hinaus sollten auch andere Bereiche der Datensicherheit und des Datenschutzes beleuchtet und nach den Vorgaben umgesetzt werden.
Viele Leser stellen sich jetzt vermutlich die Frage:
Was ist der Unterschied zwischen Datenschutz und Datensicherheit?
Datenschutz und Datensicherheit schließen sich nicht gegenseitig aus, haben allerdings unterschiedliche Schwerpunkte. In der Datensicherheit geht es vorrangig darum, Daten generell – vor allem aber die des Unternehmens – zu schützen. Der Datenschutz ist zum Schutz von personenbezogenen Daten vorgesehen, die Rückschlüsse auf und somit Schaden für den sogenannten Betroffenen zulassen.
Jeder der personenbezogene Daten verarbeitet ist daher verpflichtet diese und damit den Betroffenen zu schützen. Was personenbezogene Daten sind, lesen Sie genauer in unserem Blog. Dort finden Sie auch mehr Informationen zum Thema Datenschutz und Datensicherheit.
Technische Maßnahmen im Datenschutz
Im Datenschutz setzen sich die TOM aus den technischen und den organisatorischen Maßnahmen zusammen. Wie die Bezeichnung schon erahnen lässt, bestehen die technischen Maßnahmen natürlich aus Dingen wie Hard- und Software, abschließbarem Schränken, Schließsystemen usw.
Organisatorische Maßnahmen im Datenschutz
Die organisatorischen Maßnahmen sind darüber hinaus Maßnahmen, die den Datenschutz und die Umsetzung der Sicherheit – also im Grunde auch der technischen Maßnahmen – sicherstellen. Dazu gehören Abläufe, Listen für die Schlüsselausgabe genauso, wie die Vergabe von Zugriffsrechten etc.
Der Virenscanner als technische und organisatorische Maßnahme im Datenschutz
Wenn man im Datenschutz über den Schutz personenbezogener Daten spricht, dann betrifft das nicht nur den Datenklau, wie er auch bei einem Hackerangriff zur Gefahr wird, sondern auch die Veränderung oder Löschung von Daten. Auch davor müssen personenbezogene Daten geschützt werden.
Bei einem Datenschutz-Vorfall, der gemeldet, angezeigt oder entdeckt wird, stellen die technischen und organisatorischen Maßnahmen auch ein wichtiges Mittel dar, zum zu zeigen, wie die personenbezogenen Daten geschützt wurden. Sind die TOM nicht ausreichend, kann das Auswirkungen auf das mögliche Bußgeld haben. Auch ohne Datenpanne oder Vorfall, sind nicht ausreichende TOM ein möglicher Grund für die Aufsichtsbehörde zu reagieren.
Der Virenscanner schützt alle Daten vor dem Zugriff von Unbefugten und ist damit eine wichtige technische und organisatorische Maßnahme. Dabei sollten die wichtigsten Fragen immer wieder gestellt werden:
- Ist der Virenscanner noch aktuell?
- Umfasst der Virenscanner alle nötigen Bereiche, die abzudecken sind?
- Welche Daten greift der Virenscanner ggf. selber ab? *
- Funktioniert der Virenscanner auch auf mobilen Geräten oder im Homeoffice?
*Achtung: Auch Virenscanner verarbeiten unter Umständen personenbezogene Daten und sollten daraufhin auch überprüft werden. Meist wird mit dem Anbieter eines Virenscanner-Tool ein Vertrag zur Auftragsdatenverarbeitung benötigt (AVV-Vertrag). Mehr dazu lesen Sie hier.
Stresstest und Worst-Case-Szenario
Stellen Sie in diesem Zusammenhang auch fest, wie Ihr System bei einem möglichen Angriff durch Viren reagiert. Können verlorengegangene Daten wiederhergestellt werden? Was kann im schlimmsten Fall geschehen, was muss noch verbessert werden – testen Sie das Worst-Case-Szenario.
Es geht bei den Maßnahmen im Datenschutz also nicht nur um den Datenklau, sondern auch um die Wiederherstellung der zerstörten personenbezogenen Daten.
IT-Spezialist und Datenschutzbeauftragter
Datenschutz betrifft alle Bereiche, in denen personenbezogene Daten verarbeitet werden. Um deutlich zu machen, welche unterschiedlichen Organisationen dabei betroffen sein können, hier ein paar Beispiele:
- Alle Unternehmen, die personenbezogene Daten verarbeiten – branchen- und größenunabhängig
- Einzelhandel
- Dienstleister und Handwerker, Frisöre, Schönheitssalons, Nagelstudios etc.
- Schulen, Kitas, Kindergärten, OGATA, OGS
- Vereine und Verbände aus allen Bereichen
- Praxen und Kanzleien jeder Art
- Fitnessstudios
Gerade für kleinere bis mittlere Organisationen ist es meist nicht möglich, Datenschutz und IT-Sicherheit ausreichend abzudecken. Gerade dann wird es oft umfangreich und unübersichtlich. Vor allem im Datenschutz sollte dann immer ein Fachmann hinzugezogen werden, welcher in regelmäßigen Abständen die Umsetzung der Vorgaben bewertet. Eine enge Zusammenarbeit mit dem IT-Fachmann ist dabei unerlässlich.
Wenn Sie eine Beratung in Sachen Datenschutz benötigen, steht Ihnen das Team von Datenschutzberater.NRW gerne zur Verfügung. Unsere Fachkräfte aus den Bereichen Datenschutz, IT-Sicherheit und Steuer bieten Ihnen ein fachmännisches Angebot für den Datenschutz an. Wir betreuen Mandanten aus dem Großraum Köln, Bonn, Düsseldorf, Siegen, Gummersbach, Duisburg, Siegburg und ganz NRW. Wir stellen einen externen Datenschutzbeauftragten (TÜV) für Organisationen aus den verschiedensten Branchen. Nehmen Sie gerne Kontakt zu uns auf.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.