Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der TOM

Eine durchaus sinnvolle Vorgabe der DS-GVO, die zu mehr Sicherheit in der Datenverarbeitung führt

Es ist eine wirklich sperrige Bezeichnung, die sich da in Art. 32 Abs. 1 lit. d DS-GVO findet. Demnach ist ein „Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ zu implementieren. Aber nicht nur die Bezeichnung ist irgendwie unhandlich, sondern es fällt auf, dass die meisten unserer Mandanten sich schwer tun, ein solches Verfahren zu entwickeln. Häufig ist nicht klar, was der Verordnungsgeber von den Unternehmen verlangt. Dabei ist der Gedanke, der dahinter steckt eigentlich ganz simpel und auch sinnvoll. Während es nach dem alten BDSG gereicht hatte, Maßnahmen zur Sicherstellung des Datenschutzes bzw. der Datensicherheit (also technische und organisatorische Maßnahmen, die sogenannten TOM) zu implementieren, ist dies künftig nur noch „die halbe Miete“. Denn: Was nützen die schönsten und modernsten Maßnahmen, wenn überhaupt nicht bekannt ist, ob diese auch wirklich wirksam sind? Dies kann nur durch entsprechende regelmäßige Überprüfungen festgestellt werden. Und genau solche Überprüfungen verlangt die DS-GVO mit der oben genannten Regelung.

Aus diesem Grund hat der Verordnungsgeber mit diesem Verfahren (wir nennen es der Einfachheit halber zukünftig: „TOM-Überprüfung“) einen Kreislauf zur ständigen Verbesserung vorgesehen. Wir hatten uns in diesem Artikel schon einmal ein paar Gedanken zu diesem Thema gemacht. Die Frage, die uns aktuell immer noch regelmäßig gestellt wird, ist nun: „Wie überprüfe ich meine TOM sinnvoll?“. Und: „Was überprüfe ich überhaupt?“.

Was ist zu überprüfen?

Beantworten wir die zweite Frage zuerst: Sie überprüfen Ihre TOM. Und zwar alle. Das klingt jetzt auf den ersten Blick etwas platt, aber wir meinen es tatsächlich so. Im Zuge der Erstellung Ihrer Verzeichnisse von Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO sind die implementierten TOM ebenfalls zu beschreiben. Sie sollten also ohnehin bereits eine vollständige Übersicht über alle in Ihrem Unternehmen getroffenen Maßnahmen besitzen. Falls nicht, empfehlen wir, zunächst diese Übersicht zu ergänzen und zu aktualisieren. Diese Beschreibung der TOM können Sie heranziehen und zu jeder einzelnen dort aufgeführten Maßnahme definieren, wie deren Wirksamkeit sinnvoll geprüft werden soll. Gleichzeitig definieren Sie auch das Prüfintervall, also die Häufigkeit der Prüfung.

Wann (wie oft) überprüfen?

Bei dieser Gelegenheit ein kurzer Ausflug in die Beratungspraxis: Sehr häufig hören wir die Idee, dass man doch ein- oder zweimal im Jahr ein diesbezügliches Audit machen könne, in dem alle TOM überprüft werden. Ein sehr guter Vorschlag, der – sofern richtig geplant – die beteiligten Abteilungen nicht zu sehr belastet. Um der Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO) ausreichend nachkommen zu können, dürfte jedoch eine derart starre Frequenz mit diesen großen Intervallen nicht ausreichend sein. Die Folge wäre nämlich, dass beispielsweise die Wirksamkeit der Firewall exakt zweimal pro Jahr überprüft würde. Es bestünde keine Chance, einen bislang unentdeckten Einbruch oder entsprechende (erfolglose) Versuche kurzfristig zu entdecken. Hier wird eine tägliche oder vielleicht sogar eine kontinuierliche (oder zumindest mehrfach untertägige), möglichst automatische, Überprüfung notwendig sein.

Andererseits ist es wohl wenig sinnvoll, täglich zu prüfen, ob die Bewegungsmelder der Alarmanlage funktionsfähig und passend konfiguriert sind, um einen Einbrecher rechtzeitig erfassen. Es ist also nötig, die Prüfintervalle individuell für jede TOM festzulegen.

Spätestens an dieser Stelle werden wir häufig mit der Frage konfrontiert, wie diese Vorgaben in der täglichen Unternehmenspraxis umgesetzt werden können. Letztlich darf der Aufwand hinsichtlich des Datenschutzes und der Überprüfung der TOM dem Hauptzweck der unternehmerischen Tätigkeit – dem Geld verdienen – nicht allzu sehr im Wege stehen. Dieser Einwand ist nachvollziehbar. Wir haben uns daher ein paar Gedanken gemacht, wie das Verfahren zur TOM-Überprüfung sinnvoll, wirksam und effizient definiert und umgesetzt werden kann. Den ersten Teil (Definition) haben Sie oben bereits zum großen Teil gelesen. Ergänzen würden wir das noch um die Empfehlung (Rechenschaftspflicht!), auch das erwartete Ergebnis und eine Reaktion auf Abweichungen davon bereits im Konzept zu spezifizieren.

Automatisierung muss her!

Jetzt aber zur Umsetzung: Sie werden nicht ohne eine möglichst hohe Automatisierung der Überprüfungen auskommen. Logfiles können nach bestimmten Textmuster gescannt werden. Rechner- und Gerätekonfigurationen (bis hin zu Multifunktionsgeräten im Netzwerk) können über Tools ausgelesen und gegen einen Sollstand abgeglichen werden. Dies gilt nicht nur für Betriebssystemversion und Patchlevel, sondern auch für die Konfiguration zahlreicher Sicherheitseinstellungen. Insbesondere, wenn Sie ein zentrales Benutzermanagement einsetzen (Windows Active Directory, Apple Open Directory etc.) lassen sich solche Einstellungen zentral auslesen und auswerten. Ergebnis einer solchen automatisierten Prüfung könnte dann zum Beispiel ein Report sein, welcher auflistet, was geprüft wurde, welche Geräte geprüft wurden und welche Abweichungen es gab. Die Reports werden dann (man kann es nicht oft genug wiederholen: Rechenschaftspflicht!) zentral gesammelt.

Nicht alles lässt sich automatisieren

Aber nicht alle Prüfungen lassen sich automatisieren. So werden Sie vermutlich immer noch „manuell“ nach beschädigten Fensterscheiben oder angesägten Gittern vor Fenstern suchen müssen. Gleiches gilt für Stichprobenkontrollen bezüglich offenstehender Türen oder nicht abgeschlossener Räume. Bestimmte Prüfungen können Sie einen Sicherheitsdienst nachts während seiner Patrouille quasi nebenbei erledigen lassen, andere Prüfungen wird speziell ausgebildetes Personal durchführen müssen.

Tool-Unterstützung

Zurück zu den automatisierten Überprüfungen: Hierfür gibt es einige Tools, die teils sogar als Open Source Software kostenfrei nutzbar sind. Eines davon ist InSpec (https://inspec.io), für das auch zahlreiche Profile für Prüfungen fertig zum Download zur Verfügung stehen. Insbesondere für die oben angesprochenen Überprüfungen der Rechner- und Peripheriekonfiguration kann ein solches Tool mit den richtigen Profilen eine enorme Hilfe sein.

Der Kloreinigungszettel

Die Prüfungen, die nicht automatisiert durchgeführt werden, für die also kein automatisch erstelltes Protokoll existieren kann, müssen selbstverständlich ebenfalls dokumentiert werden. Einer unserer Mandanten hat hierfür kreativ den Begriff „Kloreinigungszettel“ geprägt: Nach jeder erfolgten Überprüfung wird diese in Form eines Eintrags „Wer, wann, Ergebnis“ mit Kürzel oder Unterschrift dokumentiert. Bei einem Ergebnis ungleich „Ok“ muss selbstverständlich ein Prozess definiert sein, wie weiter vorzugehen ist um den Sollzustand möglichst schnell wieder zu erreichen.

Sie stehen vor der Aufgabe, das Verfahren zur TOM-Überprüfung entwickeln zu müssen? Wir unterstützen Sie dabei, sprechen Sie uns an!