Lesende Figur

Die JOUO TOMs erklärt

Mit JOUO schnell und einfach automatisiert ein TOM generieren lassen.

Was ist eine TOM Doku?

Alle TOMs deiner Dienstleister gesammelt in einer Dokumentation

  • In JOUO kannst du deine TOMs (technische und organisatorische Maßnahmen) dokumentieren, was nach Datenschutzgesetzen (bspw. DSGVO (Artikel 32)) Pflicht ist.
  • Die TOMs beziehen sich immer auf einen Dienstleister. Meist hat man mehrere Dienstleister, sodass sich eine TOM Doku aus den TOMs der verschiedenen Dienstleister zusammensetzt.
  • Zum Schluss hast du also eine einheitliche PDF, in der alle TOMs zu den verschiedenen Dienstleistern übersichtlich aufgeführt werden.
Zahnrad mit Schloss

Was sind Doku-Gruppen?

Standort

Warum werden die TOMs zu IP-Adressen dokumentiert?

  • Wenn du eine Website hast, nimmst du meist technische Dienstleistungen in Anspruch wie z.B. Webhosting, Serverinfrastruktur oder Wartung. Die, die das für dich ausführen, sind deine Dienstleister.
  • Deine Daten von deinen Kunden oder des Unternehmens liegen auf Servern von deinen Dienstleistern. Diese befinden sich in Gebäuden an verschiedenen Orten.
  • Durch deine IP-Adressen lässt sich ableiten, welche Dienstleister (z.B. Webhost-Anbieter) du in Anspruch nimmst.
Landkarte mit Standort-Pins
  • Bei den TOMs geht es um Maßnahmen, die vor allem personenbezogene Daten schützen sollen.
  • Dazu gehören beispielsweise Zutrittskontrollen wie Türen mit Schlüsseln oder Videoüberwachung.
  • Welche Maßnahmen ergriffen werden, um personenbezogene Daten zu schützen, hängt von deinem Dienstleister (z.B. Webhosting-Anbieter) ab.
Haus mit Schloss, Zaun und Kamera
  • Ein Dienstleister kann zudem an verschiedenen Standorten verschiedene Maßnahmen ergreifen.
  • Zum Beispiel können manche Server-Farmen videoüberwacht sein und andere nicht.
  • Daher gruppieren wir dir für die Dokumentation der Maßnahmen deine IP-Adressen nach Dienstleister und Standort vor.
  • Das sind dann die Doku-Gruppen.
zwei verschiedene Gebäude mit verschiedenen Kontrollen

Was muss ich da jetzt also auswählen?

Screenshot von Doku-Gruppe anlegen
  1. Du wählst oben zuerst den Dienstleister aus, für den du die TOMs dokumentieren möchtest.
  2. Falls der Dienstleister die gleichen TOMs an mehreren Standorten hat, wählst du diese Standorte mit aus.
  3. Erstelle einen Namen für deine Doku-Gruppe, die sie möglichst eindeutig beschreibt.
    Achtung: Dieser Name wird später in der generierten PDF verwendet. Daher wähle bitte einen sinnvollen Namen.

Was sind Maßnahmen?

Seite

Der Schutz von personenbezogenen Daten

Heute müssen gemäss Datenschutzgesetzen (bspw. DSGVO Artikel 32) die personenbezogenen Daten geschützt werden.

TOM = Technische und Organisatorische Maßnahmen

  • In TOMs werden alle Vorkehrungen aufgelistet, die ein Unternehmen vornimmt, um die Sicherheit personenbezogener Daten zu gewährleisten
  • Bei deiner Website geht es dabei um Vorkehrungen deines eigenen Unternehmens, aber auch um die deiner Dienstleister (z.B. dein Webhosting-Anbieter).
Büros mit Kontrollen etc.

Technische Maßnahmen

  • sind Schutzvorkehrungen, die mit Hilfe von Hard- und Software sowie physischen Sicherungen umgesetzt werden
  • wie Verschlüsselung, Firewalls, Zugangskontrollen oder Alarmanlagen 

Organisatorische Maßnahmen

  • sind alle nicht-technischen Regelungen und Vorgaben, die die Abläufe, Zuständigkeiten und das Verhalten der mit der Datenverarbeitung betrauten Personen organisieren
  • wie das Vier-Augen-Prinzip, Vertraulichkeitsverpflichtungen, Schulungen oder klare Prozessanweisungen

Die Info, welche Maßnahmen an welchen Standorten dein Dienstleister ergreift, solltest du von deinem Dienstleister direkt erhalten.

In den JOUO TOMs werden folgende Kontrollen abgefragt:

  • Zutritt
  • Zugang
  • Zugriff
  • Trennung
  • Pseudonymisierung
  • Weitergabe
  • Eingabe
  • Verfügbarkeit
  • Datenschutz-Management
  • Incident-Response-Management
  • Auftrag (Outsourcing an Dritte)
  • Diese Bereiche stammen aus offiziellen und öffentlich abrufbaren Vorlagen, die sich an den Anforderungen des Artikels 32 der DSGVO orientieren. Sie sind auch konsistent zu weiteren Datenschutzgesetzen, wie bspw. BDSG und nDSG. 
  • Wir geben dir Vorschläge, welche Maßnahmen eventuell vorgenommen werden. Du kannst diese jeweils auswählen und auch eigene hinzufügen.

Wie erstelle ich ein TOM in JOUO?

Voraussetzung: deine Website muss in JOUO registriert sein und dein erster Security Audit muss durchgelaufen sein.
Eins

Klicke in der Navigation auf TOM Dokumentation, um dort eine neue TOM Dokumentation für deine Website zu erstellen.

Screenshot TOM Dokumentation erstellen
Zwei

Als Nächstes legst du eine neue Doku-Gruppe an.

Screenshot Doku-Gruppe anlegen
Drei

Nun musst du die technischen und organisatorischen Maßnahmen zu den verschiedenen Bereichen eintragen, indem du gegebene Maßnahmen in der Liste auswählst oder eigene hinzufügst.

Alle deine Angaben werden automatisch gespeichert. Du musst nicht aktiv zwischenspeichern und kannst dadurch das TOM jederzeit unterbrechen und später daran weiterarbeiten.

Screenshot einer Checkliste
Vier

Wiederhole den 3. Schritt, bis du alle Dienstleister dokumentiert hast.

Statusbalken der dokumentierten IP-Adressen
Fünf

Aus deinen dokumentierten Maßnahmen kannst du zum Schluss ein gemeinsames PDF generieren lassen, das du herunterladen kannst.

Dazu ganz unten auf Dokumentation exportieren klicken. Dort wählst du aus, welche Doku-Gruppen in der PDF aufgeführt werden sollen – optimalerweise alle. Sobald du auf Exportieren und PDF erstellen geklickt hast, sollte das PDF automatisch in deinem Browser gedownloaded sein.

Screenshot Doku-Gruppen exportieren
Info
Du kannst ein TOM duplizieren, nachdem es exportiert wurde, sodass du nicht alles neu eingeben musst.
Screenshot Kopie erstellen
Eine TOM Dokumentation wird nach dem Export gesperrt und kann nicht mehr bearbeitet werden. Dadurch bleiben alle deine TOMs reproduzier- und abrufbar.

Was ist eine Infrastruktur Dokumentation?

Du kannst automatisiert zu jedem TOM deine Daten, die JOUO von dir gesammelt hat, in einem Bericht als PDF exportieren. So kannst du jederzeit deine Website Infrastruktur dokumentieren. In der Dokumentation sind beispielsweise alle deine IP-Adressen, Schwachstellen und DNS-Daten enthalten.
Screenshot einer TOM Dokumentation mit Button für den Download einer Infrastruktur-Doku

Was bedeutet DSGVO und NIS2?

DSGVO 

Das ist die "Datenschutz-Grundverordnung" der EU, welches jedes EU Mitgliedsland implementiert hat. Manchmal findet man auch die englische Bezeichnung General Data Protection Regulation (GDPR)

Deutschland

Die DSGVO wird in Deutschland durch das Bundesdatenschutzgesetz (BDSG) und die Landesdatenschutzgesetze umgesetzt.  JOUO deckt beides ab: DSGVO und BDSG. 

Schweiz

Das nDSG ("neues Datenschutzgesetz") unterscheidet sich von der europäischen Datenschutz-Grundverordnung (DSGVO) primär darin, dass private Verantwortliche mit bis zu CHF 250'000 gebüsst werden können. Das EU-Gesetz sieht keine Bussen für Private vor. JOUO deckt auch das nDSG ab. Den Leitfaden zu den TOMs der Schweiz findest du auf der Webseite des "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB): Informationssicherheit.  

NIS2

Die NIS2-Richtlinie (Network and Information Security Directive) verpflichtet die Mitgliedstaaten der Europäischen Union zur Verabschiedung einer nationalen Cybersicherheitsstrategie. Mit NIS2 gelten für Unternehmen und Einrichtungen ab mittlerer Größe aus 18 festgelegten Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen. Verpflichtet werden auch Dienstleister und Lieferanten betroffener Einrichtungen, auch wenn sie ausserhalb der EU ansässig sind, falls sie in der EU tätig sind.