Muster für technische und organisatorische Maßnahmen zur Datensicherheit nach Art. 32 DSGVO

Ein Beispiel für technische und organisatorische Maßnahmen zur Datensicherheit (TOM) nach Art. 32 DSGVO. Zuletzt aktualisiert am 19.02.2020 (Wegfall des Passwortwechselzwangs). Viele sind derzeit dabei oder werden immer mal wieder die Anforderung haben, ihre technischen und organisatorischen Maßnahmen zur Datensicherheit nach Art. 32 DSGVO zu dokumentieren. Wenn man das noch nie gemacht hat, ist diese…

Ihr nutzt AWS? So sieht ein gutes Dokument zu technischen und organisatorischen Maßnahmen zur Datensicherheit aus (Muster)

Ihr nutzt AWS? So sieht ein gutes Dokument zu technischen und organisatorischen Maßnahmen zur Datensicherheit aus (Muster)

Viele, gerade junge Unternehmen nutzen für ihre Datenverarbeitung Amazon Web Services (AWS). Hier gibt es allerdings immer noch Vorbehalte im Hinblick auf Datenschutz, die den AWS-Nutzern von ihren Kunden entgegengehalten werden.

In rein datenschutzrechtlicher Hinsicht ist gegen einen Einsatz von AWS grundsätzlich nichts einzuwenden. Es gibt manchmal Bereiche, in denen ein AWS ggf. problematisch sein könnte. Dies lässt sich dann aber durch eine Verwendung eigener Verschlüsselungsebenen ggf. beheben.

Um etwaigen Vorbehalten von Kunden gegen einen AWS-Einsatz schon im Vorwege vorzubeugen bzw. diese zu minimieren, sollte die datenschutzrechtliche Dokumentation des AWS-Nutzers gut vorbereitet sein. Mit dem noch bis 24.05.2018 geltenden Bundesdatenschutzgesetz (BDSG) wird dies regelmäßig durch eine gute Beschreibung der sog. „TOMs“, der technischen und organisatorischen Maßnahmen zur Datensicherheit i.S.d. § 9 BDSG bzw. der Anlage zu § 9 Satz 1 BDSG erfolgen.

Sehr häufig sehe ich hier aber, dass AWS nutzende Auftragnehmer von Mandanten von mir, keine ordentlichen „TOMs“ übersenden. Dabei ist die Erstellung von guten TOMs bei AWS-Nutzung gar nicht so schwer. Denn das Gute an AWS ist vor allem, dass ein Unternehmen sich dann zumindest um die Datensicherheit, die das Rechenzentrum betrifft, keine großen Gedanken machen muss. Denn Amazon macht seine Aufgabe in diesem Bereich sehr gut und weist auch alle sinnvollen Zertifizierung zur Informationssicherheit in diesem Bereich in den wesentlichen AWS-Regionen auf.

Deutschen Unternehmen würde ich immer raten, die AWS-Region „Frankfurt“ auszuwählen. Auch wenn diese in Teilbereichen teurer als andere Regionen sein kann. Es ist psychologisch für Unternehmen in Deutschland immer noch wichtig, dass Unternehmen, mit denen sie zusammenarbeiten, bei einer AWS-Nutzung die Region „EU (Frankfurt)“ nutzen.

Worauf ihr als AWS-Nutzer im TOM-Dokument achten solltet

Wie gesagt, die reinen Datensicherheitsmaßnahmen im Rechenzentrum sollten in der Regel bei AWS kein Problem sein. Ihr solltet bei dem TOM-Dokument aber nicht vergessen, dass ihr natürlich auch eigene Büroräume habt, in denen Rechner stehen, auf die ggf. auf in AWS gespeicherte Daten zugegriffen werden kann. Da auch das bzw. die Mitarbeiter, die in diesen Räumen arbeiten, ein Risiko darstellen, sollte beschrieben werden, wie die sich daraus ergebenden Risiken minimiert werden. Ein gewisses Mindestmaß an eigenen Sicherheitsmaßnahmen dürfen eure Kunden hier auch erwarten.

Außerdem bietet Amazon natürlich in der Regel „nur“ die Infrastruktur. Die Applikationen, die ihr über AWS betreibt, bleiben natürlich auch ein Bereich, der von euch zu verantworten ist. Und hier müssen natürlich auch die Maßnahmen beschrieben werden. Und zwar die von euch getroffenen.

TOM-Dokument bei Nutzung von AWS – ein Beispiel

In unserem Beispiel bietet die Mustermann GmbH ein Bewerbermanagement-Tool als Webservice an. Der Service wird via AWS betrieben. AWS-Region ist im Beispiel Frankfurt. Die Mustermann GmbH hat ihren Sitz in einem Bürogebäude, bei dem der Vermieter ein Basis-Set von Sicherheitsmaßnahmen bietet. Dazu gehört ein Türschloss-System, eine Alarmanlage am Eingang des Bürogebäudes und einen Wachdienst, der im Falle eines Alarms benachrichtigt wird. Und so könnten beispielhaft dann die „TOMs“ aussehen (ihr könnt die TOMs aber auch hier als Word-Dokument herunterladen):

Frage nach TOMs durch DSB der Auftraggeberfirma erlaubt?

Frage nach TOMs durch DSB der Auftraggeberfirma erlaubt?

Ich biete ja seit kurzem die Möglichkeit an, Fragen zum Datenschutzrecht über ein Formular zu stellen. Das ersetzt keine individuelle Beratung, ist aber für mich Gelegenheit, diese Internetseite mit Inhalten zu füllen, die für Leser der Seite interessant sein könnten. So erreicht mich neulich diese Frage: Frage: Darf ein Datenschutzbeauftragter der Firma A (Auftraggeber) von…