schwarzes logo schwarte consulting
logo_robin-data_schwarte-consulting
KONTAKT

Technische und organisatorische Maßnahmen im Sinne der DSGVO

Zu den wichtigsten Maßnahmen laut Datenschutzgrundverordnung (kurz DSGVO), gehört neben dem Verzeichnis der Verarbeitungstätigkeiten und der Datenschutz-Folgeabschätzung auch die Dokumentation der sogenannten technischen und organisatorischen Maßnahmen, die ein Unternehmen zum Schutz seiner personenbezogenen Daten ergreift (kurz: TOM). Diese Daten müssen festgelegt und dokumentiert werden. Die Maßnahmen besitzen sowohl im gesamten Unternehmen als auch für einzelne Abteilungen und Mitarbeiter Gültigkeit und müssen von allen Unternehmen, die personenbezogene Daten verarbeiten, ergriffen werden, um damit die Rechte der Betroffenen zu schützen. Gerade im Falle eines Datenlecks oder eines Datenschutzverstoßes spielen die TOM eine große Rolle, da so bewiesen werden kann, dass angemessene Maßnahmen zum Schutz getroffen wurden.

Was sind TOMs überhaupt?

Gemäß Art. 24 Abs. 1 DSGVO muss der Verantwortliche technische und organisatorische Maßnahmen umsetzen, um die Einhaltung der DSGVO sicherzustellen und nachweisen zu können. Weiterhin soll gem. Art. 32 DSGVO mit den TOMs die Sicherheit der Verarbeitung gewährleistet werden. Art. 32 DSGVO gibt dabei erste Anstöße, was für Maßnahmen man sich unter den technischen und organisatorischen Maßnahmen vorstellen kann. Die Auflistung ist jedoch lediglich beispielhaft und nicht als abschließend zu verstehen, da den Verantwortlichen ein gewisser Spielraum bei der Auswahl der TOMs bleibt.

Teil Eins: technischen Maßnahmen

Bei etwa der Hälfte der TOMs handelt es sich um technische Maßnahmen. Sie haben Einfluss auf die eigentliche (technische) Verarbeitung. Darunter fallen sämtliche Maßnahmen, die die Sicherheit von den eingesetzten IT-Systemen umfassen, aber auch die Sicherheit des Gebäudes, in dem das Unternehmen angesiedelt ist. Weitere Beispiele können etwa sein:

  • Die Verschlüsselung der Datenträger bzw. der Datenübermittlung
  • Der Einsatz einer Firewall Die Erstellung automatischer Backups
  • Der Einsatz einer USV und eines Notstromaggregats

Teil Zwei: organisatorische Maßnahmen

Die zweite Hälfte der TOMs bilden die organisatorischen Maßnahmen. Sie beeinflussen die Rahmenbedingungen der technischen Verarbeitung, stellen also dementsprechend alle nicht technischen Maßnahmen dar. Beispiele hierfür sind u. a. :

  • Die Schulung der Mitarbeiter im Datenschutz
  • Vertraulichkeitsverpflichtung der Mitarbeiter
  • Einhaltung des Vier-Augen-Prinzips
  • Die Bestimmung der zugriffsberechtigten Personen

Besonders schutzversprechend ist eine intensive Auseinandersetzung mit den Verarbeitungstätigkeiten und die Ergreifung klarer Maßnahmen im Rahmen des Artikels 32 DSGVO. Dieser Artikel gibt gewissen Ziele vor, die von jedem Unternehmen angestrebt werden sollten:

  • Die Verschlüsselung und Pseudonymisierung personenbezogener Daten
  • Entsprechende Systeme müssen die Integrität, Vertraulichkeit, Fähigkeit, Belastbarkeit und Verfügbarkeit aufweisen, um entsprechende Daten schützen zu können
  • Fähigkeit, Verfügbarkeit und Zugang zu den Daten müssen im Falle von technischen oder physischen Vorfällen schnell wiederhergestellt werden können
  • Ein Verfahren muss die Wirksamkeit der TOMs in regelmäßigen Abständen überprüfen und bewerten können, um die Sicherheit der Verarbeitung der Daten zu garantieren

Ergänzende zur DGSVO ist die Rede vom Bundesdatenschutzgesetzt (hier aus §9 BDSG) woraus sich 9 Gebote ableiten lassen.

Kataloganforderungen (9 Gebote) nach BDSG a. F.

Technische und organisatorische Maßnahmen und Organisationskontrolle als Grundvoraussetzung
  1. Organisationskontrolle
  2. Zutrittskontrolle
  3. Zugangskontrolle
  4. Zugriffskontrolle
  5. Eingabekontrolle
  6. Weitergabekontrolle
  7. Auftragskontrolle
  8. Verfügbarkeitskontrolle
  9. Trennungsgebot

Die 9 Gebote der TOMs gemäß BDSG im Detail

9 Gebote - nach BDSG a.F. -Schwarte Consulting

ACHTUNG: Betrachtet man lediglich die Begrifflichkeiten, scheint sich das BDSG stark von der DSGVO zu unterscheiden und an manchen Stellen sogar zu widersprechen. Im Detail betrachtet, ist dies jedoch nicht so – beides geht Hand in Hand.

TOMs nach BDSG

Organisationskontrolle

Zutrittskontrolle

Zugangskontrolle

Zugriffskontrolle

Eingabekontrolle

Weitergabekontrolle

Auftragskontrolle

Verfügbarkeitskontrolle

Trennungsgebot

TOMs nach DSGVO
Vertraulichkeit

Zugriffskontrolle

Zugangskontrolle

Zugriffskontrolle

Trennungsgebot

Pseudonymisierung

Integrität

Weitergabekontrolle, Verschlüsselung Eingabekontrolle

Verfügbarkeit und Belastbarkeit sowie rasches wiederherstellen der Verfügbarkeit

Verfügbarkeitskontrolle

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Organisationskontrolle

Auftragskontrolle

Hinter „Pseudonymisierung, Verschlüsselung, Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit und regelmäßiger Überprüfung“ sind die bereits angesprochenen 9 Gebote des BDSG erkennbar. Wir haben es also nicht mit einem Widerspruch zu tun.

EXPERTEN-TIPP

Besonders für alle Unternehmen, die im digitalen Bereich angesiedelt sind, gilt: Falls Sie sich unsicher sind, welche technisch organisatorischen Maßnahmen in Ihrem Unternehmen entwickelt und umgesetzt werden müssen, werfen Sie einen genaueren Blick auf die Norm ISO 27002. Diese Norm dient als hilfreicher Leitfaden für Maßnahmen zur Informationssicherheit, die zudem auch international anerkannt ist. So gehen Sie sicher, dass keine wesentlichen Punkte bei der Umsetzung der TOMs übersehen wurden und können hervorragend das Verarbeitungsverzeichnis damit finalisieren. Die ISO ist jedoch kein Muss! Es ist aber äußerst hilfreich, sich damit zu befassen und diese Norm zu integrieren, besonders in unserem digitalen Zeitalter.

Zusammenfassung der TOMs

TOMS erscheinen zunächst äußerst komplex, da der Gesetzgeber zwar klare Begrifflichkeiten vorgibt, dafür aber wenig Anleitungen bereitstehen, wie TOMs in der Praxis umgesetzt werden können. Für alle Unternehmen, die mittlerweile digital unterwegs sind, lautet die Empfehlung, sich mit der ISO Norm 27000 zu befassen, konkret mit der Norm ISO 27002.

Es gilt aber immer die Verhältnismäßigkeit der Maßnahmen zu wahren. Immer im Fokus: der Schutz der personenbezogenen Daten in Kombination mit einer gewissen Umsetzbarkeit.

WICHTIG: Die DSGVO passt sich nicht der Unternehmensorganisation im Rahmen der TOMS an, sondern das Unternehmen passt sich der DSGVO an – es geht schließlich immer um sensible Daten gem. Art. 9 DSGVO.

Kategorien

Aktuelle Posts

NEWSLetter

Sie wollen, dass wir Ihnen automatisch unseren aktuellen Blogartikel zusenden? Dann melden Sie sich hier zu unseren Newsletter an.

Jetzt Abonnieren
Hat Ihnen dieser Beitrag gefallen? Dann teilen Sie ihn mit Ihren Bekannten.
ACHTUNG!

Dieser Beitrag ist keine Rechtsberatung! Ich bin zertifizierter Datenschutzbeauftragter aber kein Rechtsanwalt. Von daher kann ich und darf ich keine anwaltlichen Tipps geben und auch keinerlei keinerlei Haftung übernehmen.

Finden Sie weitere Blogposts hier…

Keine Zeit DIESE WEBSITE ZU LESEN? 
SPRECHEN SIE EINFACH DIREKT MIT MIR UND BESCHLEUNIGEN SIE IHR VORHABEN.

Erstgespräch vereinbaren
Anruf
Weisses Logo schwarte consulting

Schwarte Consulting. Gemeinsam machen wir Ihr Unternehmen noch erfolgreicher! Mit 20 Jahren Erfahrung im Bereich Kundenservice & Leadgenerierung, zeige ich Ihnen, welche Prozessveränderungen zum Erfolg führen und stehe Ihnen mit Rat & Tat zur Seite.

WIE Kann ich ihnen helfen?

Newsletter

Wir senden Ihnen 1x pro Monat die neusten Blogartikel, Neuigkeiten und interessante Fakten zu den Themen Projketmanagement, DSGVO und Kundenservice zu.

Abonnieren
Facebook Twitter Linkedin

Vielen Dank, für die Newsletter anmeldung

Bitte bestätigen Sie Ihre Anmeldung über einen Link den wir Ihnen per Email zugesendet haben. Falls Sie keine E-mail erhalten haben, überprüfen Sie auch den Spam folder.