Willkommen zu einem weiteren Teil unserer Blogreihe zur DSGVO-Zertifizierung nach dem „DSGVO – information privacy standard“. In diesem Beitrag widmen wir uns dem Kapitel P.5 – Technisch-organisatorische Maßnahmen – einem Kernbestandteil des Datenschutzes in der praktischen Umsetzung.
Technische und organisatorische Maßnahmen (kurz: TOM) sind mehr als nur Sicherheitsvorkehrungen – sie sind der zentrale Hebel, um Datenschutz von der Theorie in die Praxis zu überführen. Ob Zutrittskontrolle im Serverraum, Zugriffskontrolle in Anwendungen oder Verschlüsselung beim Datentransport – all diese Maßnahmen müssen nicht nur vorhanden, sondern auch angemessen, wirksam und nachweisbar sein.
Dieser Beitrag erläutert für jedes einzelne Teilkapitel (P.5.1 bis P.5.10), welche konkreten Anforderungen gelten, welche Nachweise in der Evaluierung vorzulegen sind und wie Prüferinnen und Prüfer typischerweise vorgehen. Wir erklären, worauf es ankommt – und was oft übersehen wird. Dabei behalten wir wie gewohnt den Stil unserer Blogreihe bei: fachlich präzise, prüfungsnah und direkt anwendbar für Verantwortliche und Auftragsverarbeiter.
P.5.1 Festlegung geeigneter Maßnahmen
Im Zentrum steht hier die Frage: Wie bestimmt ein Unternehmen systematisch die Maßnahmen, die es zum Schutz personenbezogener Daten braucht? Gefordert ist ein umfassendes, dokumentiertes Verfahren zur Risikoanalyse auf Basis eines Datenschutz-Managementsystems (DSMS). Dabei geht es nicht um allgemeine IT-Sicherheit, sondern um datenschutzspezifische Risiken – also die Auswirkungen auf die Rechte und Freiheiten betroffener Personen.
Alle Zielobjekte – physische Standorte, IT-Systeme, Anwendungen und auch externe Dienstleister – müssen einbezogen werden. Die Bewertung sollte entlang anerkannter Standards mit mindestens drei Schutzniveaus („medium“, „hoch“, „sehr hoch“) definiert sein. Risiken dürfen nicht einfach akzeptiert oder versichert werden – vielmehr sind konkrete Maßnahmen zur Reduktion notwendig. Die Ergebnisse müssen regelmäßig (mindestens jährlich) und bei Veränderungen neu bewertet werden.
Nachweise, die erwartet werden:
Vollständig dokumentierte Risikoanalyse nach Art. 32 DSGVO: Hierzu gehört ein vollständiges Risikoinventar, das die Verarbeitungsvorgänge bewertet und dokumentiert.
Bewertungsmatrix mit Schadensklassen und Eintrittswahrscheinlichkeiten: Die Matrix muss nachvollziehbar darstellen, wie hoch das Risiko bei jeder Verarbeitungstätigkeit eingestuft wird.
Maßnahmenkatalog pro Zielobjekt mit Ableitungen aus der Analyse: Es muss deutlich erkennbar sein, welche Maßnahme welchem Risiko gegenübersteht.
Darstellung der zugrundeliegenden Bewertungsmethodik: Die angewandte Methode (z. B. ISO-basiert) muss beschrieben und nachvollziehbar sein.
Versionshistorie und Änderungsnachweise bei Aktualisierungen: Das Evaluationsteam erwartet eine Chronik der Aktualisierungen, um die Pflege und Reaktion auf Veränderungen zu belegen.
SoA (Statement of Applicability) mit Nachweismatrix: Die Umsetzung der Maßnahmen muss mit Verbindlichkeitsstatus dokumentiert sein.
Prüfung im Rahmen der Evaluierung:
Einsicht in Bewertungsunterlagen und Methodendokumentation: Das Evaluationsteam wird prüfen, wie transparent und methodisch die Bewertung aufgebaut ist.
Rückfragen zu Risikoabwägungen einzelner Systeme: Einzelne Verarbeitungstätigkeiten werden exemplarisch untersucht, um die Risikoeinschätzung nachzuvollziehen.
Vergleich der Risikoeinstufung mit tatsächlichen Schutzmaßnahmen: Sind hohe Risiken auch wirklich mit angemessenen TOMs abgesichert?
P.5.2 Zutrittskontrolle
Die physische Sicherheit von Datenverarbeitungsanlagen wird oft unterschätzt. Doch nur wenn Unbefugte keinen Zutritt zu Serverräumen, Büroräumen mit sensiblen Unterlagen oder vernetzten Endgeräten haben, ist ein technischer Datenschutz überhaupt möglich. Zutrittskontrollen beginnen bei Schlüsselsystemen und enden bei klaren organisatorischen Regelungen, etwa zur Nutzung von Coworking-Spaces oder Homeoffice.
Nachweise:
Zutrittsregelungen inkl. Rollenkonzept: Es muss dokumentiert sein, wer Zugang zu welchen Räumen hat und nach welchen Regeln diese Rechte vergeben werden.
Spezifikationen der eingesetzten Zutrittssysteme: Die technische Ausstattung, etwa Chipkarten oder biometrische Scanner, muss nachvollziehbar beschrieben werden.
Dokumentierte Schutzmaßnahmen gegen physische Risiken: Unternehmen müssen darlegen, wie sie sich z. B. gegen Einbruch, Feuer oder Wasserschäden schützen.
Remote-Work-Regeln und Absicherung mobiler Arbeitsplätze: Es muss geregelt sein, wie Mitarbeiter außerhalb gesicherter Räume mit sensiblen Daten umgehen dürfen.
Clean Desk Policy, Bildschirmsperrregeln, Umgang mit Wechseldatenträgern: Solche organisatorischen Regeln sind ebenso verpflichtend wie technische Maßnahmen.
Prüfung im Rahmen der Evaluierung:
Rundgang durch kritische Bereiche: Das Evaluationsteam kann sich vor Ort von der tatsächlichen Zutrittssicherung überzeugen.
Prüfung auf funktionierende Zutrittssysteme: Stichprobenhafte Tests (z. B. mittels Transponderkarten) sind üblich.
Einsicht in Zutrittsprotokolle: Vergabe und Nutzung von Zutrittsrechten werden auf Plausibilität geprüft.
Kontrolle physischer Sicherheitsmaßnahmen: Hinweise wie „Zutritt nur für Befugte“ oder gesicherte Serverräume gehören zur Sichtprüfung.
P.5.3 Zugangskontrolle
Die Zugangskontrolle schützt vor unbefugtem Zugriff auf IT-Systeme. Dabei werden sämtliche Accounts, Authentisierungsmechanismen und Netzwerkzugänge bewertet. Entscheidend ist nicht nur die Technologie, sondern auch deren Anwendung im Alltag. Sind Administratorrechte dokumentiert? Wie wird die Sperrung ehemaliger Mitarbeitender sichergestellt?
Nachweise:
Rollen- und Rechtekonzept inkl. Matrix für Systemzugänge: Wer hat Zugriff auf welche Systeme – und warum? Diese Informationen müssen systematisch dokumentiert sein.
Nachweise über Lifecycle-Prozesse: Prozesse für Onboarding, Rollenwechsel und Offboarding von Mitarbeitenden müssen klar geregelt sein.
Beschreibung der eingesetzten Authentifizierungsverfahren: Ob Passwort, 2FA oder Biometrie – die Methoden müssen den Sicherheitsanforderungen genügen und nachvollziehbar sein.
Netzwerksicherheitskonzept: Dazu gehören Pläne für Firewall-Einstellungen, VPN-Zugänge und Netzwerksegmentierung.
Dokumentation zur Verwaltung privilegierter Zugänge: Administratorrechte sind besonders risikobehaftet und müssen besonders dokumentiert und beschränkt sein.
Prüfung im Rahmen der Evaluierung:
Einsicht in Verzeichnisdienste: In Systemen wie Active Directory kann das Evaluationsteam direkt prüfen, wer welche Rechte hat.
Abgleich von Rollen mit tatsächlichen Berechtigungen: Sind die dokumentierten Zugänge auch so umgesetzt?
Überprüfung von Authentifizierungsmechanismen: Das Evaluationsteam wird z. B. testen, ob starke Passwörter oder Zwei-Faktor-Authentifizierung eingerichtet sind.
Stichprobe: Admin-Zugänge: Gerade privilegierte Zugänge werden gezielt unter die Lupe genommen.
P.5.4 Zugriffskontrolle
Während die Zugangskontrolle sich mit dem Einstieg in IT-Systeme beschäftigt, geht es bei der Zugriffskontrolle um die genaue Steuerung innerhalb von Anwendungen. Ziel ist es, dass Mitarbeitende ausschließlich auf die Daten zugreifen, die sie zur Erfüllung ihrer Aufgaben benötigen – und nicht mehr.
Nachweise:
Dokumentiertes Rollenkonzept auf Anwendungsebene: Die Rechteverteilung muss auch innerhalb einzelner Applikationen fein abgestuft dokumentiert sein.
Prozessbeschreibungen zur Rechtevergabe und -kontrolle: Es muss ein klarer Ablauf dokumentiert sein, wie Rechte vergeben, angepasst oder entzogen werden – auch temporär.
Zugriffsprotokolle: Applikationen sollten nachvollziehbar aufzeichnen, wer wann auf welche Daten zugegriffen hat.
Beschreibung der Authentifizierung in den Applikationen: Verfahren wie Session-basiertes Login, Token oder SSO müssen nachvollziehbar erklärt sein.
Technische Dokumentation zu Rollen, Rechten und Maskensteuerung: Diese zeigt, wie Benutzeroberflächen Zugriff auf Daten technisch absichern.
Prüfung im Rahmen der Evaluierung:
Einsicht in Anwendungen: Das Evaluationsteam wird Testnutzerrollen oder Admin-Oberflächen prüfen.
Abgleich von dokumentierten und realen Benutzerrechten: Gibt es Überschneidungen, die gegen das Need-to-know-Prinzip verstoßen?
Prüfung von Logging und Eskalationswegen: Wie wird mit auffälligen Zugriffen umgegangen?
P.5.5 Transportkontrolle
Beim Transport personenbezogener Daten über Netzwerke gilt es, Vertraulichkeit und Integrität zu gewährleisten. Das bedeutet konkret: keine unverschlüsselte Übertragung – weder intern noch extern.
Nachweise:
Netzwerkpläne mit Transportwegen: Diese zeigen, wo welche Daten entlanglaufen und welche Transportstrecken besonders sensibel sind.
Beschreibung eingesetzter Protokolle (z. B. TLS, VPN): Der Standard ist Verschlüsselung auf dem aktuellen Stand der Technik.
Nachweise eingesetzter Verschlüsselungsalgorithmen: SHA256, AES-256 – die eingesetzten Algorithmen müssen benannt und bewertet werden. Die Technischen Richtlinien des BSI bieten eine sichere Orientierung.
Richtlinien zur sicheren Übertragung: Auch für E-Mail, mobile Geräte oder portable Speichermedien müssen Sicherheitsregeln existieren.
Schlüsselverwaltungskonzept: Der sichere Umgang mit kryptographischen Schlüsseln ist ein zentrales Thema.
Prüfung im Rahmen der Evaluierung:
Überprüfung von Netzwerkkonfigurationen: Sind alle Kanäle gesichert?
Stichproben bei Schnittstellen: Das Evaluationsteam prüft, ob APIs verschlüsselt kommunizieren.
Analyse auf bekannte Schwächen (z. B. veraltete Protokolle): Unsichere Algorithmen sind ein No-Go.
P.5.6 Trennungskontrolle
Daten, die zu verschiedenen Zwecken erhoben wurden, dürfen nicht vermischt werden. Diese Anforderung lässt sich organisatorisch, aber vor allem technisch umsetzen.
Nachweise:
Systemkonfigurationen zur logischen Trennung: Hierzu zählen Mandantensysteme, geteilte Datenbanken mit Zugriffstrennung, oder getrennte Speicherbereiche.
Netzsegmentierung: Verschiedene Systeme sollten nicht unkontrolliert miteinander kommunizieren können.
Rollen- und Verantwortlichkeitskonzepte: Auch organisatorisch muss sichergestellt sein, dass Aufgaben nicht konfliktträchtig verteilt sind.
Technische Nachweise in Applikationen: Schnittstellen müssen getrennt, Protokolle unabhängig konfiguriert sein.
Prüfung im Rahmen der Evaluierung:
Einsicht in Mandantenkonfigurationen: Besonders bei SaaS-Angeboten ist das relevant.
Prüfung auf widersprüchliche Rollenverteilungen: Gibt es z. B. Adminrechte, die fachlich getrennt sein müssten?
Technische Stichproben auf Trennung: Firewall- oder Applikationseinstellungen werden analysiert.
P.5.7 Eingabekontrolle
Ziel der Eingabekontrolle ist die Nachvollziehbarkeit: Wer hat wann welche Daten eingegeben oder verändert? Dazu braucht es Protokolle – und deren Schutz.
Nachweise:
Logging-Konzepte: Es muss geregelt sein, was geloggt wird, wie lange, und wie Logs geschützt sind.
Protokolle von Aktivitäten und Änderungen: Diese dienen der Nachvollziehbarkeit bei Fehlern oder Missbrauch.
Zugriffsschutz auf Logdaten: Die Protokolle selbst müssen vor Manipulation geschützt werden.
Datenschutzkonzept bei Beschäftigtendaten: Da Logs personenbezogene Daten enthalten können, gelten besondere Anforderungen.
Prüfung im Rahmen der Evaluierung:
Stichprobe auf Protokolleinträge: Das Evaluationsteam prüft, ob Aktionen vollständig und nachvollziehbar aufgezeichnet wurden.
Analyse der Protokollschutzmaßnahmen: Hash-Werte oder Write-once-Systeme sind gängige Schutzmechanismen.
P.5.8 Verfügbarkeitskontrolle
Nicht nur Vertraulichkeit zählt – auch Verfügbarkeit ist ein Grundpfeiler des Datenschutzes. Daten müssen im Notfall abrufbar, Systeme belastbar und Risiken wie Malware oder Stromausfall berücksichtigt sein.
Nachweise:
Backup-Konzepte mit Testnachweisen: Wie oft wird gesichert? Wurden Wiederherstellungen erfolgreich getestet?
Monitoringberichte: Systeme und Ausfälle müssen rund um die Uhr überwacht werden.
Schwachstellenmanagement: Erhobene Schwächen müssen bewertet und behoben werden.
Incident-Response-Pläne: Der Umgang mit IT-Sicherheitsvorfällen muss organisiert und dokumentiert sein.
Redundanzmaßnahmen: Es sollte dokumentiert sein, wie etwa Strom, Internet oder Hardware doppelt ausgelegt sind.
Prüfung im Rahmen der Evaluierung:
Überprüfung der Wiederherstellbarkeit: Ein Blick in die Backup-Software ist Standard.
Analyse der Monitoring-Tools: Wie wird auf Fehlverhalten reagiert?
Bewertung des Incident-Managements: Gibt es Eskalationsketten? Wer entscheidet über den Notfall?
P.5.9 Pseudonymisierung/Anonymisierung
Besonders bei sensiblen Daten kann eine Pseudonymisierung oder Anonymisierung das Risiko erheblich verringern. Wichtig ist dabei, die Verfahren technisch korrekt umzusetzen – und regelmäßig zu prüfen.
Nachweise:
Konzept zur Pseudonymisierung/Anonymisierung: Es muss dargestellt werden, wie und wann eine Pseudonymisierung erfolgt – und wann sie aufgehoben werden kann.
Dokumentation der Verfahren: Die eingesetzten Algorithmen müssen beschrieben und bewertet sein.
Regelmäßige Tests der Wirksamkeit: Pseudonyme dürfen nicht mit wenigen Informationen zurückführbar sein.
Trennung von Zusatzinformationen: Identifizierende Informationen müssen getrennt und besonders geschützt aufbewahrt werden.
Prüfung im Rahmen der Evaluierung:
Einsicht in die eingesetzten Algorithmen: Wie wird der Personenbezug entfernt?
Bewertung der Trennung: Ist eine Re-Identifizierung technisch ausgeschlossen?
P.5.10 Überprüfung, Bewertung und Evaluierung
Der Datenschutz lebt von Kontrolle. TOMs müssen regelmäßig geprüft und die Ergebnisse dokumentiert und verfolgt werden. Die Rechenschaftspflicht der DSGVO verlangt lückenlose Transparenz.
Nachweise:
Evaluierungspläne mit Prüfzyklen: Wer prüft was, wann, mit welcher Methode?
Berichte und Protokolle: Die Ergebnisse müssen nachvollziehbar aufbereitet sein.
Dokumentation von Abweichungen und Maßnahmen: Es genügt nicht, Schwächen zu erkennen – sie müssen auch behandelt werden.
Nachweis der Unabhängigkeit der Prüfenden: Interne Auditoren müssen geschult und weisungsfrei sein.
Einbindung des Verantwortlichen (bei AV): Der Auftragsverarbeiter muss seine Ergebnisse dem Verantwortlichen offenlegen.
Prüfung im Rahmen der Evaluierung:
Einsicht in Prüfberichte und Folgemaßnahmen: Das Evaluationsteam interessiert sich für Wirksamkeit der Umsetzung und nicht nur für den Formalismus.
Beurteilung der Kontinuität: Werden Maßnahmen regelmäßig neu bewertet – oder ist alles eine einmalige Übung geblieben?
Fazit
Technisch-organisatorische Maßnahmen sind das Rückgrat jeder datenschutzkonformen Verarbeitung. Sie bilden die Brücke zwischen rechtlichen Anforderungen und praktischer Umsetzung. Im Rahmen der Evaluation wird daher nicht nur die Dokumentation bewertet – entscheidend ist, was tatsächlich implementiert ist. Der Schlüssel zum Erfolg liegt in einer risikobasierten Herangehensweise, einem strukturierten DSMS und der nachvollziehbaren Umsetzung über alle Zielobjekte hinweg. Nur so kann ein angemessenes Datenschutzniveau auch nachgewiesen werden.
Im nächsten Beitrag unserer Reihe widmen wir uns Kapitel P.6 – Datenschutz-Management. Dabei geht es um Rollen, Prozesse und Steuerungsmechanismen für nachhaltigen Datenschutz.
17. Mai 2025 @ 22:08
Ernsthaft? Risikoanalyse ist sinnvoll und zeitgemäß, aber das Anflanschen eines Teils der Strukturierung aus dem alten BDSG macht daraus ein echtes Aufwandsmonster an Dokumentationen und Bewertungen, ohne zwangsläufig die Sicherheit deutlich zu erhöhen. Es wirkt fast so, als würde man die Maßnahmen nur noch komplizierter machen, anstatt sie wirklich praktikabel und effektiv zu gestalten. Sicherer wird es dadurch wohl kaum, sondern eher schwerfälliger in der Umsetzung. Es ist wichtig, den Datenschutz pragmatisch und risikobasiert anzugehen, statt sich in einem bürokratischen Dschungel zu verlieren.
23. Mai 2025 @ 13:12
verstehe Ihre Kritik nicht. Die Regelungen sind sehr konkret, es sind Änlichkeiten zu einem ISMS nach ISO/IEC27001 zu erkennen. Selten so viel konkretes zur Umsetzung der DSGVO gelesen.