Technische und organisatorische Maßnahmen
Die Datenschutz-Grundverordnung (DS-GVO) schreibt in Artikel 32 vor, dass technische und organisatorische Maßnahmen getroffen werden müssen, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Der Verantwortliche sollte Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun. Dabei ist folgendes zu beachten:
- zuständig und haftbar für die TOM ist die verantwortliche Stelle (gem. Artikel 4 Abs. 7 DS-GVO).
- Die verantwortliche Stelle muss gemäß Artikel 24 DS-GVO die TOM umsetzen, um die Einhaltung der DS-GVO zu gewährleisten.
- Es besteht eine Pflicht zur Dokumentation.
- Die getroffenen Maßnahmen müssen ein „dem Risiko angemessenes Schutzniveau“ gewährleisten. Dazu muss der Schutzbedarf der Daten ermittelt und ggfs. eine Risikoanalyse vorgenommen werden.
- Die TOM müssen unter Berücksichtigung des „Standes der Technik“ gewählt werden. Dies bedeutet, dass Systeme, Prozesse, Anwendungen, Software-Lösungen usw. auf der Technik basieren, die momentan als aktuell gilt. Technik, die zwischen 3 und 5 Jahren alt ist, sollte überprüft werden; ältere Technik sollte schnellstmöglich aktualisiert werden.
- Nach Artikel 28 Abs. 1 darf nur mit solchen Auftragsverarbeitern zusammengearbeitet werden, die geeignete TOM einsetzen.
Nachstehend werden die technischen und organisatorischen Maßnahmen mit einigen Beispielen aufgeführt, die zum Schutz der Verarbeitung personenbezogener Daten dienen.
Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
(Maßnahmen, die Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, verwehren)
Technische Maßnahmen
z.B. Alarmanlagen, Sicherheitsschlösser
Organisatorische Maßnahmen
z.B. Besucheranmeldung, sorgfältige Auswahl von Wach- und Reinigungspersonal
(Maßnahmen, die die Nutzung von Datenverarbeitungssystemen durch Unbefugte verhindern)
Technische Maßnahmen
z.B. Verschlüsselung von Datenträgern und mobilen Endgeräten, Authentifizierung mittels Passworteingabe oder biometrischer Scans
Organisatorische Maßnahmen
z.B. Schlüsselregelungen, Zuordnung von Benutzerrechten
(Maßnahmen, die gewährleisten, dass ausschließlich Berechtigte auf Daten zugreifen können)
Technische Maßnahmen
z.B. Protokollierung der Zugriffe auf Anwendungen und Prozesse, sichere Aufbewahrung von Datenträgern
Organisatorische Maßnahmen
z.B. Passwortregeln, Datenvernichtung durch Dienstleister
(getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden)
Technische Maßnahmen
z.B. Verschlüsselung von Datensätzen, die aus demselben Zweck verarbeitet werden, klare Trennung der für verschiedene Zwecke gespeicherten Daten
Organisatorische Maßnahmen
z.B. Mandantentrennung, Steuerung über Berechtigungskonzept
(Verarbeitung personenbezogener Daten in der Art, dass die Daten nicht mehr einer spezifischen betroffenen Person zugeordnet werden können)
Technische Maßnahmen
z.B. automatische Verschlüsselung von Datensätzen
Organisatorische Maßnahmen
z.B. manuelle Kürzung von Datensätzen, manuelle Überschreibung von Datensätzen
Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
(Gewährleistung, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können)
Technische Maßnahmen
z.B. gesicherte Transportbehälter, E-Mail-Verschlüsselung
Organisatorische Maßnahmen
z.B. Einsatz von vertrauenswürdigem Transportpersonal, Kontrolle der Datenempfänger und entsprechende Dokumentation
(Gewährleistung zur nachträglichen Überprüfung und Feststellung, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind)
Technische Maßnahmen
z.B. digitales Berechtigungskonzept, Protokoll hinsichtlich der Eingabe, Veränderung und Löschung von Daten
Organisatorische Maßnahmen
z.B. Verwendung von individuellen Benutzernamen, Vergabe von Zugriffsberechtigungen
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
(Maßnahmen gegen Zerstörung oder Verlust von personenbezogener Daten)
Technische Maßnahmen
z.B. Backups, Feuer- und Rauchmelder
Organisatorische Maßnahmen
z.B. Schutz des Serverraums vor Risiken, Tests für Datenwiederherstellungen
(Maßnahmen zur schnellen Wiederherstellung nach Verlust oder Beschädigung von Daten)
Technische Maßnahmen
z.B. Verfügbarkeit eines Notfall-Rechenzentrums
Organisatorische Maßnahmen
z.B. Notfallkonzept
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO, Art. 25 Abs. 1 DS-GVO)
(Maßnahmen zur Umsetzung datenschutzrechtlicher Vorgaben)
Technische Maßnahmen
z.B. Pseudonymisierung
Organisatorische Maßnahmen
z.B. Beschränkung der Speicherfrist, Beschränkung des Umfangs der Verarbeitung
(Maßnahmen, dass personenbezogene Daten im Rahmen der Auftragsverarbeitung nur nach Weisung des Auftraggebers verarbeitet werden)
Organisatorische Maßnahmen
z.B. sorgfältige Auswahl des Auftragnehmers, schriftliche Weisungen an den Auftragnehmer u.ä.
Technische und organisatorische Maßnahmen bei Auftragsverarbeitern
Auch bei der Einbindung von Dienstleistern spielen TOM eine wichtige Aufgabe. Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser gem. Art. 28 Abs 1 DS-GVO „nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“
Bei einer Auftragsverarbeitung muss zwischen dem Auftraggeber und dem Auftragnehmer ein Auftragsverarbeitungsvertrag (AVV) geschlossen werden. Diesem AVV müssen die TOM des Auftragsnehmers beigefügt werden und durch den Auftraggeber überprüfbar sein.
Unsere Unterstützung für die Überprüfung und Umsetzung der technischen und organisatorischen Maßnahmen
Wir führen gemeinsam mit Ihnen eine IST-Analyse Ihres Unternehmens durch, um eventuelle datenschutzrechtliche Schwachstellen zu ermitteln. Darauf basierend wird ein Bericht über die notwendigen Maßnahmen erstellt. Die TOM sind dabei ein wesentlicher Kernpunkt des Datenschutzes. Für deren optimale und angemessene Umsetzung stehen wir Ihnen jederzeit zur Verfügung.
FAQ
Was sind technische und organisatorische Maßnahmen im Datenschutz?
Technische und organisatorische Maßnahmen (TOM) sind sämtliche Maßnahmen, die ein verantwortliches Unternehmen trifft, um ein angemessenes Schutzniveau bei der Verarbeitung personenbezogener Daten zu gewährleisten. Diese Maßnahmen erfolgen sowohl auf der infrastrukturellen Ebene, als auch auf Prozessebene. Bei der Beurteilung, ob eine Maßnahme ein angemessenes Schutzniveau aufweist, sind insbesondere die Risiken zu berücksichtigen, die durch eine Verarbeitung für betroffene Personen entstehen könnten. Beispielsweise müssen gem. Art. 32 Abs. 4 DSGVO technische und organisatorische Maßnahmen implementiert werden, welche der unbeabsichtigten oder unrechtmäßigen Vernichtung, dem Verlust, der unrechtmäßigen Veränderung oder Offenlegung von personenbezogenen Daten entgegenwirken.
Sind diese Maßnahmen (TOM) für Unternehmen Pflicht?
Ja, jedes Unternehmen, welches der DSGVO unterliegt, muss TOM implementieren. Der Umfang und die Komplexität der TOM hängt dabei insbesondere von Ihren unternehmenseigenen Verarbeitungen und Prozessen, sowie dem damit verbundenen Risiko für betroffene Personen ab. Insbesondere müssen TOM implementiert werden, welche die Wahrung der Integrität und Vertraulichkeit personenbezogener Daten sicherstellen (Art. 5 Abs. 1 lit. f DSGVO).
Welche TOM gibt es?
Zu viele, um sie alle zu nennen. Gem. Art. 32 Abs. 1 DSGVO werden die folgenden TOM aufgezeigt:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten
- TOM zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer
- TOM zur raschen Widerherstellung der Verfügbarkeit personenbezogener Daten im Falle eines physischen oder technischen Zwischenfalls
- Verfahren zur regelmäßigen Überprüfung und Bewertung der TOM
Dies klingt unter Umständen etwas abstrakt. Daher hier ein paar Beispiele zur Verdeutlichung:
- Sicherstellung der Vertraulichkeit: Gibt es Regelungen zum Umgang mit Besuchern? Wie werden Berechtigungen zu den Systemen erteilt und protokolliert? Werden IT-Systeme und mobile Datenträger verschlüsselt?
- Sicherstellung der Integrität: Kann jederzeit nachvollzogen werden, wer personenbezogenen Daten erfasst, verändert oder gelöscht hat? (oftmals über System-Logs) Wer hat Zugriff auf Protokolle und Log-Dateien und wie wird damit umgegangen?
- Sicherstellung der Verfügbarkeit und Belastbarkeit: Sind Ihre Serverräume klimatisiert? Gibt es Datensicherungs-, Backup- und Datenwiederherstellungskonzepte? Ist ein Notfallplan implementiert?
- Sicherstellung der regelmäßigen Überprüfung und Bewertung der TOM: Wurde ein Datenschutzbeauftragter benannt? Gibt es interne Richtlinien zur Verarbeitung personenbezogener Daten? Wie wird sichergestellt, dass Ersuchen von betroffenen Personen korrekt und fristgemäß beantwortet werden können?
Müssen TOM dokumentiert werden?
Ja, die von Ihrem Unternehmen umgesetzten TOM müssen dokumentiert werden. Dies ergibt sich unter anderem aus der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO. Außerdem müssen TOM auch im Zusammenhang mit der Erstellung und Pflege Ihres Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DSGVO dokumentiert werden. Gerne helfen Ihnen unsere Datenschutzbeauftragten bei der Erstellung, Prüfung und Anpassung Ihrer Dokumentation.