Technische und organisatorische Maßnahmen

Die Datenschutz-Grundverordnung (DS-GVO) schreibt in Artikel 32 vor, dass technische und organisatorische Maßnahmen getroffen werden müssen, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Der Verantwortliche sollte Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun. Dabei ist folgendes zu beachten:

Nachstehend werden die technischen und organisatorischen Maßnahmen mit einigen Beispielen aufgeführt, die zum Schutz der Verarbeitung personenbezogener Daten dienen.

Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO, Art. 25 Abs. 1 DS-GVO)

Technische und organisatorische Maßnahmen bei Auftragsverarbeitern

Auch bei der Einbindung von Dienstleistern spielen TOM eine wichtige Aufgabe. Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser gem. Art. 28 Abs 1 DS-GVO „nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“

Bei einer Auftragsverarbeitung muss zwischen dem Auftraggeber und dem Auftragnehmer ein Auftragsverarbeitungsvertrag (AVV) geschlossen werden. Diesem AVV müssen die TOM des Auftragsnehmers beigefügt werden und durch den Auftraggeber überprüfbar sein.

Unsere Unterstützung für die Überprüfung und Umsetzung der technischen und organisatorischen Maßnahmen

Wir führen gemeinsam mit Ihnen eine IST-Analyse Ihres Unternehmens durch, um eventuelle datenschutzrechtliche Schwachstellen zu ermitteln. Darauf basierend wird ein Bericht über die notwendigen Maßnahmen erstellt. Die TOM sind dabei ein wesentlicher Kernpunkt des Datenschutzes. Für deren optimale und angemessene Umsetzung stehen wir Ihnen jederzeit zur Verfügung.

FAQ

Technische und organisatorische Maßnahmen (TOM) sind sämtliche Maßnahmen, die ein verantwortliches Unternehmen trifft, um ein angemessenes Schutzniveau bei der Verarbeitung personenbezogener Daten zu gewährleisten. Diese Maßnahmen erfolgen sowohl auf der infrastrukturellen Ebene, als auch auf Prozessebene. Bei der Beurteilung, ob eine Maßnahme ein angemessenes Schutzniveau aufweist, sind insbesondere die Risiken zu berücksichtigen, die durch eine Verarbeitung für betroffene Personen entstehen könnten. Beispielsweise müssen gem. Art. 32 Abs. 4 DSGVO technische und organisatorische Maßnahmen implementiert werden, welche der unbeabsichtigten oder unrechtmäßigen Vernichtung, dem Verlust, der unrechtmäßigen Veränderung oder Offenlegung von personenbezogenen Daten entgegenwirken.

Ein AVV enthält zwingend eine individuelle Beschreibung des Vertrag

Ja, jedes Unternehmen, welcher der DSGVO unterliegt, muss TOM implementieren. Der Umfang und die Komplexität der TOM hängt dabei insbesondere von Ihren unternehmenseigenen Verarbeitungen und Prozessen, sowie dem damit verbundenen Risiko für betroffene Personen ab. Insbesondere müssen TOM implementiert werden, welche die Wahrung der Integrität und Vertraulichkeit personenbezogener Daten sicherstellen (Art. 5 Abs. 1 lit. f DSGVO).

sgegenstandes, sowie Regelungen zur Dauer, Art und zum Zweck der Verarbeitung. Zusätzlich müssen die Arten der personenbezogenen Daten, sowie die Kategorien der betroffenen Personen festgelegt werden.

Darüber hinaus werden folgende Rahmenbedingungen gem. Art. 28 Abs. 3 DSGVO festgehalten:

  • Personenbezogene Daten dürfen durch den Auftragsverarbeiter nur auf dokumentierte Weisung des Verantwortlichen verarbeitet werden. Stellt der Auftragsverarbeiter fest, dass eine Weisung unzulässig ist, so muss er den Verantwortlichen unverzüglich darauf hinweisen
  • Die Beschäftigten des Auftragsverarbeiters, welche an der Verarbeitung beteiligt sind, müssen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Schweigepflicht unterliegen
  • Der Auftragsverarbeiter hat technische und organisatorische Maßnahmen gem. Art. 32 DSGVO zu treffen, um die Sicherheit bei der Verarbeitung zu gewährleisten. Hierzu muss er dem Verantwortlichen entsprechende Dokumentation bereitstellen und Überprüfungen/ Inspektionen dulden. Dies gilt auch für eingesetzte Subunternehmen, mit welchen der Auftragsverarbeiter ebenfalls einen AVV abschließen muss.
  • Der Auftragsverarbeiter muss den Verantwortlichen bei der Umsetzung von Betroffenenrechten (z.B. bei Auskunfts- oder Löschersuchen) unterstützen.
  • Der Auftragsverarbeiter muss den Verantwortlichen bei Meldungen von Datenschutzverstößen unterstützen. Zusätzlich muss er bei einer Datenschutz-Folgenabschätzung unterstützen, wenn diese erforderlich ist.
  • Nach Abschluss der vereinbarten Dienstleistungen muss der Auftragsverarbeiter sämtliche personenbezogenen Daten des Verantwortlichen entweder löschen oder zurückgeben.

Zu viele, um sie alle zu nennen. Gem. Art. 32 Abs. 1 DSGVO werden die folgenden TOM aufgezeigt:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • TOM zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer
  • TOM zur raschen Widerherstellung der Verfügbarkeit personenbezogener Daten im Falle eines physischen oder technischen Zwischenfalls
  • Verfahren zur regelmäßigen Überprüfung und Bewertung der TOM

Dies klingt unter Umständen etwas abstrakt. Daher hier ein paar Beispiele zur Verdeutlichung:

  • Sicherstellung der Vertraulichkeit: Gibt es Regelungen zum Umgang mit Besuchern? Wie werden Berechtigungen zu den Systemen erteilt und protokolliert? Werden IT-Systeme und mobile Datenträger verschlüsselt?
  • Sicherstellung der Integrität: Kann jederzeit nachvollzogen werden, wer personenbezogenen Daten erfasst, verändert oder gelöscht hat? (oftmals über System-Logs) Wer hat Zugriff auf Protokolle und Log-Dateien und wie wird damit umgegangen?
  • Sicherstellung der Verfügbarkeit und Belastbarkeit:  Sind Ihre Serverräume klimatisiert? Gibt es Datensicherungs-, Backup- und Datenwiederherstellungskonzepte? Ist ein Notfallplan implementiert?
  • Sicherstellung der regelmäßigen Überprüfung und Bewertung der TOM: Wurde ein Datenschutzbeauftragter benannt? Gibt es interne Richtlinien zur Verarbeitung personenbezogener Daten? Wie wird sichergestellt, dass Ersuchen von betroffenen Personen korrekt und fristgemäß beantwortet werden können?

Ja, die von Ihrem Unternehmen umgesetzten TOM müssen dokumentiert werden. Dies ergibt sich unter anderem aus der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO. Außerdem müssen TOM auch im Zusammenhang mit der Erstellung und Pflege Ihres Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DSGVO dokumentiert werden. Gerne helfen Ihnen unsere Datenschutzbeauftragten bei der Erstellung, Prüfung und Anpassung Ihrer Dokumentation.

Kundenbewertung
[Gesamt: 0 Durchschnitt: 0]