Technisch-Organisatorische-Maßnahmen

Die DS-GVO verpflichtet Verantwortliche und Auftragsverarbeiter, personenbezogene Daten ausreichend zu schützen, insbesondere im Hinblick auf die Vertraulichkeit, die Integrität sowie die Verfügbarkeit und die Belastbarkeit der Systeme. Sie müssen unter Berücksichtigung festgelegter Faktoren Vorkehrungen treffen, um ein angemessenes Schutzniveau sicherzustellen. Der Schutz personenbezogener Daten kann durch technische Maßnahmen (z. B. Vergabe von Benutzerrechten, Verschlüsselung von Notebooks/Tablets) sowie durch organisatorische Maßnahmen (z. B. Empfang/Rezeption, Mitarbeiterschulung und Verpflichtung zur Vertraulichkeit) gewährleistet werden.

Gewährleistung eines angemessenen Schutzniveaus

Die Technisch-Organisatorischen Maßnahmen (TOMs) sind die Summe aller Vorkehrungen, die Unternehmen getroffen haben, um personenbezogene Daten zu schützen. Sie sollen sicherstellen, dass das Risiko für Betroffene, das mit der Verarbeitung ihrer personenbezogenen Daten einhergeht, möglichst gering ist (risikobasierter Ansatz). Bei der Beurteilung, ob die TOMs ein ausreichendes Schutzniveau bieten und den Anforderungen der DS-GVO genügen, müssen gem. Art. 32 Abs. 1 1. Hs. DS-GVO verschiedene Faktoren berücksichtigt werden:

  • Stand der Technik
  • Implementierungskosten
  • Art, Umfang, Umstände und Zwecke der Verarbeitung
  • Eintrittswahrscheinlichkeit eines Risikos (Schadens) für Betroffene
  • Schwere des Risikos für die Rechte und Freiheiten Betroffener

Die DS-GVO gibt keinen konkreten Maßnahmenkatalog vor, vielmehr müssen Verantwortliche anhand einer Risikobeurteilung abschätzen, welche Maßnahmen notwendig und geeignet sind. Das Risiko für betroffene Personen muss möglichst weit eingedämmt werden, ohne dass damit ein unvertretbar hoher Aufwand verbunden ist (Verhältnismäßigkeit). Das heißt auch, wenn eine Maßnahme zwar nicht dem aktuellen Stand der Technik entspricht, aber das Risiko am besten minimiert, ist sie dennoch geeignet.

Schwere des Risikos

Bei der Beurteilung, welche TOMs für ein ausreichendes Schutzniveau erforderlich sind, muss gem. Art. 32 Abs. 2 DS-GVO insbesondere berücksichtigt werden, welches Risiko für betroffene Personen durch die Verarbeitung besteht. Verantwortliche müssen abschätzen, welche Gefahren bestehen, wenn personenbezogene Daten bei der Übermittlung, Speicherung oder anderweitigen Verarbeitung

vernichtet werden oder verloren gehen (Verfügbarkeit),
verändert werden (Integrität)
unbeabsichtigt, unrechtmäßig oder unbefugt offengelegt oder Unbefugten zugänglich gemacht werden (Vertraulichkeit).

Je höher das Risiko für die Rechte und Freiheiten des Betroffenen in einem der drei Bereiche ist, desto höher ist der Schutzbedarf.

Beispiele für technische und organisatorische Maßnahmen

Die DS-GVO nennt in Art. 32 Abs. 1 2. Hs. einige Beispiele für Maßnahmen, die Teil der TOMs sein sollten bzw. könnten. Hierzu zählen:

z. B.: Verwendung von Kundennummern statt des vollständigen Namens, Erforderlichkeit der Eingabe eines Schlüssels zum Starten mobiler Datenträger

z. B.: Lagern sensibler Unterlagen in einem separat abschließbaren Schrank, Firewall, Berechtigungskonzept, personenbezogene Zugriffsrechte, Back-up-Konzept, unterbrechungsfreie Stromversorgung (USV)

z. B.: regelmäßige und dokumentierte Datenwiederherstellungen

z. B.: regelmäßiges Audit der TOMs durch den Datenschutzbeauftragten oder externe Dienstleister

Diese Vorgaben dienen als Grundlage für die Beurteilung, ob ausreichende Schutzmaßnahmen getroffen wurden, sind aber nicht abschließend. Wichtig ist, dass das Risiko für Betroffene durch die TOMs möglichst minimiert wird und die Wirksamkeit und Geeignetheit der Maßnahmen regelmäßig überprüft wird.

Lassen Sie sich von einem Datenschutzexperten beraten!

Brauchen Sie Unterstützung bei der Risikobeurteilung oder der Umsetzung spezieller Maßnahmen? Wünschen Sie ein Audit durch einen neutralen, externen Datenschutzexperten? Wir beraten und unterstützen Sie gerne!

Kontakt aufnehmen