Der Eidgenössische Datenschutzbeauftragte (Edöb) bietet eine Reihe Informationen, wie Daten in der digitalen Welt geschützt werden können oder müssen. Einer davon ist der "Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes (TOM)", von dem nun eine neue Version publiziert wurde. Er befasst sich mit den Risiken, die IT-Systeme aus Datenschutzsicht mit sich bringen.

Der Leitfaden soll dabei helfen, Massnahmen zu realisieren, die einen optimalen und angemessenen Schutz der Personendaten sicherstellen und den aktuellen Standards sowie gesetzlichen Vorgaben wie dem Datenschutzgesetz entsprechen. So werden neu auch technische Standards gelistet, die Massnahmen bezüglich Datenaustausch oder -bearbeitung mit sich bringen. Konkret genannt werden der IKT-Minimalstandard zur Verbesserung der IKT-Resilienz, das international anerkannte Framework zur IT-Governance Cobit, die "Technischen Richtlinien" des BSI sowie ISO 27001.

Laut einer Mitteilung des Edöb richtet sich der TOM-Leitfaden in erster Linie an Personen, die für IT-Systeme zuständig sind, und sich mit der Verwaltung von Personendaten beschäftigen. Er geht auf die wichtigsten Vorgaben bezüglich des Datenschutzes ein und führt beispielsweise aus, wann eine Datenschutz-Folgenabschätzung nötig ist oder wie Personendaten pseudonymisiert oder anonymisiert werden können.

Ein Abschnitt widmet sich der Cloud-Nutzung, bei der der Edöb eine Reihe von Problemen ortet: Kontrollverlust über die Daten, Abhängigkeit vom Anbieter, Datenzugang durch ausländische Behörden oder die mangelnde Trennung und Isolierung von Daten verschiedener Kunden durch den Anbieter. Verantwortliche sollten sich die Frage stellen, ob der Einsatz einer Cloud wirklich notwendig ist, und falls ja, in welcher Form, heisst es im Leitfaden. Bei der Wahl eines Anbieters sollte frühzeitig eine vertiefte Analyse der Datenschutzanforderungen vorgenommen werden.

Auch wenn Daten nicht in die Cloud verschoben, sondern vor Ort auf physischen Servern liegen, muss der Datenschutz geregelt sein: von der Gebäudesicherheit über die Sicherheit der Serverräume hin zu den PC-Arbeitsplätzen der Angestellten, sei es im Büro oder im Homeoffice.

Der vollständige TOM-Leitfaden sowie weitere Informationen sind online beim Edöb verfügbar.