Die JOUO TOMs erklärt

Mit JOUO schnell und einfach automatisiert ein TOM generieren lassen.

Was ist eine TOM Doku?

Alle TOMs deiner Dienstleister gesammelt in einer Dokumentation

  • In JOUO kannst du deine TOMs (technische und organisatorische Maßnahmen) dokumentieren, was nach DSGVO (Artikel 32) Pflicht ist.
  • Die TOMs beziehen sich immer auf einen Dienstleister. Meist hat man mehrere Dienstleister, sodass sich eine TOM Doku aus den TOMs der verschiedenen Dienstleistern zusammensetzt.
  • Zum Schluss hast du also eine einheitliche PDF, in der alle TOMs zu den verschiedenen Dienstleistern übersichtlich aufgeführt werden.

Was sind Doku-Gruppen?

Warum werden die TOMs zu IP-Adressen dokumentiert?

  • Wenn du eine Website hast, nimmst du meist technische Dienstleistungen in Anspruch wie z.B. Webhosting, Serverinfrastruktur oder Wartung. Die, die das für dich ausführen, sind deine Dienstleister.
  • Deine Daten von deinen Kunden oder des Unternehmens liegen auf Servern von deinen Dienstleistern. Diese befinden sich in Gebäuden an verschiedenen Orten.
  • Durch deine IP-Adressen lässt sich ableiten, welche Dienstleister (z.B. Webhost-Anbieter) du in Anspruch nimmst.
  • Bei den TOMs geht es um Maßnahmen, die vor allem personenbezogene Daten schützen sollen.
  • Dazu gehören beispielsweise Zutrittskontrollen wie Türen mit Schlüsseln oder Videoüberwachung.
  • Welche Maßnahmen ergriffen werden, um personenbezogene Daten zu schützen, hängt von deinem Dienstleister (z.B. Webhosting-Anbieter) ab.
  • Ein Dienstleister kann zudem an verschiedenen Standorten verschiedene Maßnahmen ergreifen.
  • Zum Beispiel können manche Server-Farmen videoüberwacht sein und andere nicht.
  • Daher gruppieren wir dir für die Dokumentation der Maßnahmen deine IP-Adressen nach Dienstleister und Standort vor.
  • Das sind dann die Doku-Gruppen.

Was muss ich da jetzt also auswählen?

  1. Du wählst oben zuerst den Dienstleister aus, für den du die TOMs dokumentieren möchtest.
  2. Falls der Dienstleister die gleichen TOMs an mehreren Standorten hat, wählst du diese Standorte mit aus.
  3. Erstelle einen Namen für deine Doku-Gruppe, die sie möglichst eindeutig beschreibt.
    Achtung: Dieser Name wird später in der generierten PDF verwendet. Daher wähle bitte einen sinnvollen Namen.

Was sind Maßnahmen?

Der Schutz von personenbezogenen Daten

Heute müssen vor allem laut DSGVO Artikel 32 die personenbezogenen Daten geschützt werden.

TOM = Technische und Organisatorische Maßnahmen

  • In TOMs werden alle Vorkehrungen aufgelistet, die ein Unternehmen vornimmt, um die Sicherheit personenbezogener Daten zu gewährleisten
  • Bei deiner Website geht es dabei um Vorkehrungen deines eigenen Unternehmens, aber auch um die deiner Dienstleister (z.B. dein Webhosting-Anbieter).

Technische Maßnahmen

  • sind Schutzvorkehrungen, die mit Hilfe von Hard- und Software sowie physischen Sicherungen umgesetzt werden
  • wie Verschlüsselung, Firewalls, Zugangskontrollen oder Alarmanlagen 

Organisatorische Maßnahmen

  • sind alle nicht-technischen Regelungen und Vorgaben, die die Abläufe, Zuständigkeiten und das Verhalten der mit der Datenverarbeitung betrauten Personen organisieren
  • wie das Vier-Augen-Prinzip, Vertraulichkeitsverpflichtungen, Schulungen oder klare Prozessanweisungen

Die Info, welche Maßnahmen an welchen Standorten dein Dienstleister ergreift, solltest du von deinem Dienstleister direkt erhalten.

In den JOUO TOMs werden folgende Kontrollen abgefragt:

  • Zutritt
  • Zugang
  • Zugriff
  • Trennung
  • Pseudonymisierung
  • Weitergabe
  • Eingabe
  • Verfügbarkeit
  • Datenschutz-Management
  • Incident-Response-Management
  • Auftrag (Outsourcing an Dritte)
  • Diese Bereiche stammen aus offiziellen und öffentlich abrufbaren Vorlagen, die sich an den Anforderungen des Artikels 32 der DSGVO orientieren.
  • Wir geben dir Vorschläge, welche Maßnahmen eventuell vorgenommen werden. Du kannst diese jeweils auswählen oder eigene eintragen.

Wie erstelle ich ein TOM in JOUO?

Voraussetzung: deine Website muss in JOUO registriert sein und dein erster Security Audit muss durchgelaufen sein.

Klicke in der Navigation auf TOM Dokumentation, um dort eine neue TOM Dokumentation für deine Website zu erstellen.

Als nächstes legst du eine neue Doku-Gruppe an.

Nun musst du die technischen und organisatorischen Maßnahmen zu den verschiedenen Bereichen eintragen, indem du gegebene Maßnahmen in der Liste auswählst oder eigene hinzufügst.

Alle deine Angaben werden automatisch gespeichert. Du muss nicht aktiv zwischenspeichern und kannst dadurch das TOM jederzeit unterbrechen und wann anders daran weiterarbeiten.

Wiederhole den 3. Schritt, bis du alle Dienstleister dokumentiert hast.

Aus deinen dokumentierten Maßnahmen kannst du zum Schluss ein gemeinsames PDF generieren lassen, das du herunterladen kannst.

Dazu ganz unten auf Dokumentation exportieren klicken. Dort wählst du aus, welche Doku-Gruppen in der PDF aufegführt werden sollen – optimalerweise alle. Sobald du auf Exportieren und PDF erstellen geklickt hast, sollte das PDF automatisch in deinem Browser gedownloaded sein.

Diese TOM Dokumentation wird dann gesperrt, das heißt, du kannst sie nach dem Exportieren nicht mehr bearbeiten.

Was bedeutet DSGVO und NIS2?

DSGVO 

Das ist die "Datenschutz-Grundverordnung" der EU, welches jedes EU Mitgliedsland implementiert hat. Manchmal findet man auch die englische Bezeichnung General Data Protection Regulation (GDPR)

Deutschland

Die DSGVO wird in Deutschland durch das Bundesdatenschutzgesetz (BDSG) und die Landesdatenschutzgesetze umgesetzt.  JOUO deckt beides ab: DSGVO und BDSG. 

Schweiz

Das nDSG ("neues Datenschutzgesetz") unterscheidet sich von der europäischen Datenschutz-Grundverordnung (DSGVO) primär darin, dass private Verantwortliche mit bis zu CHF 250'000 gebüsst werden können. Das EU-Gesetz sieht keine Bussen für Private vor. JOUO deckt auch das nDSG ab. 

NIS2

Die NIS2-Richtlinie (Network and Information Security Directive) verpflichtet die Mitgliedstaaten der Europäischen Union zur Verabschiedung einer nationalen Cybersicherheitsstrategie. Mit NIS2 gelten für Unternehmen und Einrichtungen ab mittlerer Größe aus 18 festgelegten Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen. Verpflichtet werden auch Dienstleister und Lieferanten betroffener Einrichtungen, auch wenn sie ausserhalb der EU ansässig sind, falls sie in der EU tätig sind.