Technische und organisatorische Maßnahmen im Sinne der DSGVO

Zu den wichtigsten Maßnahmen laut Datenschutzgrundverordnung (kurz DSGVO), gehört neben dem Verzeichnis der Verarbeitungstätigkeiten und der Datenschutz-Folgeabschätzung auch die Dokumentation der sogenannten technischen und organisatorischen Maßnahmen, die ein Unternehmen zum Schutz seiner personenbezogenen Daten ergreift (kurz: TOM). Diese Daten müssen festgelegt und dokumentiert werden. Die Maßnahmen besitzen sowohl im gesamten Unternehmen als auch für einzelne Abteilungen und Mitarbeiter Gültigkeit und müssen von allen Unternehmen, die personenbezogene Daten verarbeiten, ergriffen werden, um damit die Rechte der Betroffenen zu schützen. Gerade im Falle eines Datenlecks oder eines Datenschutzverstoßes spielen die TOM eine große Rolle, da so bewiesen werden kann, dass angemessene Maßnahmen zum Schutz getroffen wurden.

Was sind TOMs überhaupt?

Gemäß Art. 24 Abs. 1 DSGVO muss der Verantwortliche technische und organisatorische Maßnahmen umsetzen, um die Einhaltung der DSGVO sicherzustellen und nachweisen zu können. Weiterhin soll gem. Art. 32 DSGVO mit den TOMs die Sicherheit der Verarbeitung gewährleistet werden. Art. 32 DSGVO gibt dabei erste Anstöße, was für Maßnahmen man sich unter den technischen und organisatorischen Maßnahmen vorstellen kann. Die Auflistung ist jedoch lediglich beispielhaft und nicht als abschließend zu verstehen, da den Verantwortlichen ein gewisser Spielraum bei der Auswahl der TOMs bleibt.

Teil Eins: technischen Maßnahmen

Bei etwa der Hälfte der TOMs handelt es sich um technische Maßnahmen. Sie haben Einfluss auf die eigentliche (technische) Verarbeitung. Darunter fallen sämtliche Maßnahmen, die die Sicherheit von den eingesetzten IT-Systemen umfassen, aber auch die Sicherheit des Gebäudes, in dem das Unternehmen angesiedelt ist. Weitere Beispiele können etwa sein:

• Die Verschlüsselung der Datenträger bzw. der Datenübermittlung
• Der Einsatz einer Firewall Die Erstellung automatischer Backups
• Der Einsatz einer USV und eines Notstromaggregats

Teil Zwei: organisatorische Maßnahmen

Die zweite Hälfte der TOMs bilden die organisatorischen Maßnahmen. Sie beeinflussen die Rahmenbedingungen der technischen Verarbeitung, stellen also dementsprechend alle nicht technischen Maßnahmen dar. Beispiele hierfür sind u. a. :

• Die Schulung der Mitarbeiter im Datenschutz
• Vertraulichkeitsverpflichtung der Mitarbeiter
• Einhaltung des Vier-Augen-Prinzips
• Die Bestimmung der zugriffsberechtigten Personen

Besonders schutzversprechend ist eine intensive Auseinandersetzung mit den Verarbeitungstätigkeiten und die Ergreifung klarer Maßnahmen im Rahmen des Artikels 32 DSGVO. Dieser Artikel gibt gewissen Ziele vor, die von jedem Unternehmen angestrebt werden sollten:

• Die Verschlüsselung und Pseudonymisierung personenbezogener Daten
• Entsprechende Systeme müssen die Integrität, Vertraulichkeit, Fähigkeit, Belastbarkeit und Verfügbarkeit aufweisen, um entsprechende Daten schützen zu können
• Fähigkeit, Verfügbarkeit und Zugang zu den Daten müssen im Falle von technischen oder physischen Vorfällen schnell wiederhergestellt werden können
• Ein Verfahren muss die Wirksamkeit der TOMs in regelmäßigen Abständen überprüfen und bewerten können, um die Sicherheit der Verarbeitung der Daten zu garantieren

Ergänzende zur DGSVO ist die Rede vom Bundesdatenschutzgesetzt (hier aus §9 BDSG) woraus sich 9 Gebote ableiten lassen.

Kataloganforderungen (9 Gebote) nach BDSG a. F.

Technische und organisatorische Maßnahmen und Organisationskontrolle als Grundvoraussetzung

1. Organisationskontrolle
2. Zutrittskontrolle
3. Zugangskontrolle
4. Zugriffskontrolle
5. Eingabekontrolle
6. Weitergabekontrolle
7. Auftragskontrolle
8. Verfügbarkeitskontrolle
9. Trennungsgebot

Die 9 Gebote der TOMs gemäß BDSG im Detail

ACHTUNG: Betrachtet man lediglich die Begrifflichkeiten, scheint sich das BDSG stark von der DSGVO zu unterscheiden und an manchen Stellen sogar zu widersprechen. Im Detail betrachtet, ist dies jedoch nicht so – beides geht Hand in Hand.

Hinter „Pseudonymisierung, Verschlüsselung, Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit und regelmäßiger Überprüfung“ sind die bereits angesprochenen 9 Gebote des BDSG erkennbar. Wir haben es also nicht mit einem Widerspruch zu tun.

EXPERTEN-TIPP

Besonders für alle Unternehmen, die im digitalen Bereich angesiedelt sind, gilt: Falls Sie sich unsicher sind, welche technisch organisatorischen Maßnahmen in Ihrem Unternehmen entwickelt und umgesetzt werden müssen, werfen Sie einen genaueren Blick auf die Norm ISO 27002. Diese Norm dient als hilfreicher Leitfaden für Maßnahmen zur Informationssicherheit, die zudem auch international anerkannt ist. So gehen Sie sicher, dass keine wesentlichen Punkte bei der Umsetzung der TOMs übersehen wurden und können hervorragend das Verarbeitungsverzeichnis damit finalisieren. Die ISO ist jedoch kein Muss! Es ist aber äußerst hilfreich, sich damit zu befassen und diese Norm zu integrieren, besonders in unserem digitalen Zeitalter.