Technische und organisatorische Maßnahmen gewährleisten Datenschutz und Datensicherheit. Sie sind daher Pflicht für jedes verantwortungsvolle Unternehmen und Bestandteil einer professionellen Datenschutzberatung.
Der Nachweis der technischen und organisatorischen Maßnahmen (TOM) ist ein zentraler Pflichtbestandteil der Dokumentation nach DSGVO.
Gemäß Art. 32 DSGVO dienen technische und organisatorische Maßnahmen dazu, den Schutz personenbezogener Daten bei der Verarbeitung durch einen Verantwortlichen zu gewährleisten und haben zum Ziel, diesen Schutz bestmöglich sicherzustellen.
Technische und organisatorische Maßnahmen (TOM) sind für den Schutz personenbezogener Daten und die Einhaltung der DSGVO unerlässlich. Sie umfassen alle Vorkehrungen, die ein Unternehmen trifft, um die Sicherheit und Vertraulichkeit von Daten zu gewährleisten. Diese Maßnahmen sind nicht nur gesetzlich vorgeschrieben, sondern auch ein Zeichen verantwortungsvoller Unternehmensführung.
Je nach Verarbeitungsprozess und Automatisierungsgrad sind dabei die Anteile von Technik und Mensch unterschiedlich verteilt, aber alle Verarbeitungsprozesse, die technische Systeme – auch automatisiert – ausführen, gehen auf menschliche Eingaben und Abfragen zurück.
Wir benutzen YouTube als Drittanbietersoftware, um Ihnen an dieser Stelle Videos präsentieren zu können. Mit Klick auf "Akzeptieren" stimmen Sie der Datenverarbeitung durch YouTube zu.
Der Katalog der technischen und organisatorischen Maßnahmen dokumentiert daher beide Aspekte in Kombination. Denn die beste Backupstruktur hilft nicht weiter, wenn die Datensicherungen nur monatlich angestoßen werden, und auch eine preisgekrönte Firewall kann leicht überwunden werden, wenn das Passwort firmenweit bekannt ist.
Artikel 24 DSGVO besagt, dass der Datenschutzverantwortliche für jeden Verarbeitungsprozess festlegen muss, welche Daten für den jeweiligen Verwendungszweck erhoben werden müssen und wie sie durch technische und organisatorische Maßnahmen optimal geschützt werden können.
Dafür muss er „unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umsetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt“.
Die ausgewählten technischen und organisatorischen Maßnahmen müssen nach Artikel 32 Absatz 1b DSGVO geeignet sein, die folgenden vier Schutzziele sicherzustellen:
Unser Datenschutz Navigator bringt Licht ins Dunkel! Stellen Sie Ihre Frage direkt im Chat – und erhalten Sie sofort verständliche Antworten zu allen wichtigen Datenschutzthemen!
Wir benutzen YouTube als Drittanbietersoftware, um Ihnen an dieser Stelle Videos präsentieren zu können. Mit Klick auf "Akzeptieren" stimmen Sie der Datenverarbeitung durch YouTube zu.
Der Artikel 32 der DSGVO legt fest, in welcher Form personenbezogene Daten verarbeitet werden und stellt dabei spezifische Anforderungen an die Sicherheit dieser Verarbeitung. Da die TOM Ihre Gewährleistung der Einhaltung dieser Vorgaben darstellen, sind die folgenden Aspekte bei deren Umsetzung zu beachten:
Die Maßnahmen sollten sich immer nach den Risiken richten, die bei der Verarbeitung von Daten entstehen können. Dabei ist es wichtig, darauf zu achten, welche Daten verarbeitet werden, welche Prozesse dahinterstecken und welche Technik eingesetzt wird. Wenn zum Beispiel besonders sensible Daten wie Gesundheitsdaten verarbeitet werden, muss man mehr auf Sicherheit achten als bei weniger sensiblen Daten.
Der Umfang der Datenverarbeitung hängt davon ab, wie viele Daten verarbeitet werden und wie viele Personen davon betroffen sind. Auch der Zweck spielt eine Rolle, denn je nachdem, was mit den Daten passiert, sind unterschiedliche Risiken und Schutzmaßnahmen nötig.
Artikel 32 erwähnt ausdrücklich die Pseudonymisierung und Verschlüsselung personenbezogener Daten als mögliche technische Maßnahmen. Pseudonymisierung bedeutet, dass Daten so verarbeitet werden, dass sie nicht mehr einer bestimmten Person zugeordnet werden können, auch wenn noch zusätzliche Infos dazu vorliegen. Verschlüsselung heißt, Daten so umzuwandeln, dass man sie nicht mehr lesen kann. Nur mit einem speziellen Schlüssel können sie wieder lesbar gemacht werden.
Die Maßnahmen müssen dafür sorgen, dass persönliche Daten sicher sind und nicht ohne Erlaubnis geändert werden. Außerdem muss gewährleistet sein, dass die Daten auf Anfrage zur Verfügung gestellt werden. Dazu gehören zum Beispiel Zugangskontrollen, Prüfungen, ob Daten korrekt sind, und Notfallpläne, damit Daten nach einem Vorfall wiederhergestellt werden können.
Die TOM müssen regelmäßig überprüft und aktualisiert werden, damit Sie auf neue Bedrohungen und Entwicklungen reagieren können. Das heißt, Sie müssen regelmäßig überprüfen, ob alles noch so sicher ist, wie es sein sollte. Außerdem müssen Sie Ihre Maßnahmen anpassen, wenn sich etwas ändert, zum Beispiel, wenn es neue Technologien gibt oder sich die Risikolandschaft verändert.
Es ist wichtig, dass jeder Verantwortliche weiß, was er zu tun hat und wer für was zuständig ist. Das heißt, es muss jemand benannt werden, der sich um den Datenschutz kümmert. Der Datenschutzbeauftragte (DSB) überwacht dann, ob die DSGVO eingehalten wird und berät die Geschäftsführung und die Mitarbeiter.
Das Verhältnismäßigkeitsprinzip ist in Artikel 32 DSGVO festgelegt und begrenzt die Vorgaben für TOMs. Dieser Artikel besagt, dass bei der Umsetzung die damit verbundenen Kosten (Implementierungskosten) berücksichtigt werden sollten. Damit spielt die wirtschaftliche Verhältnismäßigkeit eine wichtige Rolle.
So sollten kleinere Unternehmen beispielsweise nicht die selben Maßnahmen in demselben Umfang, wie große Konzerne umsetzen, da damit die Verhältnismäßigkeit nicht gegeben ist.
Unter technischen Maßnahmen sind alle Schutzversuche zu verstehen, die im weitesten Sinne den Zugang zu Flächen und Gebäuden sowie zu Hard- und Software regeln sowie die Verfügbarkeit der Systeme und Netzwerke sicherstellen. Technische Maßnahmen beziehen sich dabei auf physische und digitale Vorkehrungen, die den Zugriff auf Daten schützen und deren Integrität sicherstellen. Hierzu zählen:
Organisatorische Maßnahmen betreffen den Ablauf der Datenverarbeitung und die durchführenden Personen. Sie sind dementsprechend alle nicht-technischen Maßnahmen mit denen die Datensicherheit erreicht werden soll, also Handlungsanweisungen, Verfahrens- und Vorgehensweisen.
Der Katalog §64 Abs. 3 S.1 BDSG-neu kann als Orientierungshilfe für die Einrichtung von TOM dienen, da hier noch einige Beispiele neben den einzelnen TOM zu finden sind.
Die Zutrittskontrolle umfasst jegliche Maßnahmen, die unbefugte Personen den Zutritt zu Geländen, Gebäuden oder Räumlichkeiten, in denen sich Datenverarbeitungsanlagen befinden und die personenbezogene Daten verarbeiten, verbieten.
Mit der Zugangskontrolle sollen Unbefugte daran gehindert werden, Datenverarbeitungsanlagen zu nutzen.
Die Zugriffskontrolle soll gewährleisten, dass Datenverarbeitungssysteme nur in dem Rahmen genutzt werden, wie es die jeweilige Zugriffsberechtigung der Nutzer erlaubt.
Die Weitergabekontrolle umfasst Maßnahmen, die die Sicherheit von personenbezogenen Daten während einer Datenweitergabe sicherstellen. Datenweitergabe kann hier eine elektronische Übertragung sowie Transport und Speicherung von personenbezogenen Daten bedeuten. Ziel ist es, die unbefugte Verarbeitung dieser Daten während der Weitergabe zu verhindern.
Mit der Eingabekontrolle soll die Überprüfbarkeit der Datenverarbeitung garantiert sowie die Dateneingabe, Datenveränderung und Datenlöschung gewährleistet werden.
Sofern eine Auftragsverarbeitung (AV) stattfindet, sollte die Auftragskontrolle als TOM eingerichtet werden. Sie gewährleistet, dass die Verarbeitung nach Weisung des Auftraggebers erfolgt. Die Auftragskontrolle umfasst dabei i.d.R. organisatorische Maßnahmen.
Die Verfügbarkeitskontrolle und die Wiederherstellbarkeit dienen dazu, personenbezogene Daten gegen Zerstörung und Verlust zu schützen sowie im Fall einer Störung wiederherzustellen.
Die Trennungskontrolle soll sicherstellen, dass im Fall der Verarbeitung personenbezogener Daten zu unterschiedlichen Zwecken, diese Verarbeitung getrennt stattfindet.
Angenommen, in Ihrem Unternehmen werden personenbezogene Daten verarbeitet und für einen bestimmten Verarbeitungszweck auf einer bestimmten Festplatte gespeichert.
Es besteht das Risiko eines Datenverlusts, wenn diese Festplatte defekt ist – hier wäre die TOM, ein Backup-System zu installieren und regelmäßig Backups durchzuführen, das bei einem Ausfall die dann defekte Festplatte automatisch und reibungslos mit dem gleichen Datenbestand ersetzt.
Es besteht aber auch das Risiko, dass durch Fehler in der Datenablage, unsichere Passwörter oder ein „Hacking“ der Zugangsdaten unbefugte Dritte Zugriff auf die Datenbestände erhalten. TOM wären hier zum einen die Beschränkung des Datenzugriffs auf bestimmte, dokumentierte Personen, die detaillierte Festlegung der Datenablage und der Passwortstärke (organisatorisch) und zum anderen die Einrichtung einer Zugriffssperre gegen unbefugten Datenabgriff durch Hacking, z.B. eine komplexe Firewall (technisch).
Die technischen Systeme, aber auch die organisatorischen Strukturen im Zusammenhang mit der Datenverarbeitung müssen stets auf dem aktuellen Stand der Technik gehalten werden. Auch die TOMs müssen immer aktuell sein und den Ist-Zustand im Unternehmen abbilden, um im Schadensfall Aufzeichnungen über die getroffenen Vorkehrungen zu haben.
Der erste Schritt ist eine gründliche Analyse aller Verarbeitungsprozesse personenbezogener Daten im Unternehmen sowie der damit verbundenen Risiken, die durch menschliche Fehler, technische Unzulänglichkeiten oder Angriffe von außen bei der Speicherung und Verarbeitung eintreten könnten (Risikoanalyse).
Bei der Risikoanalyse muss das Unternehmen alle möglichen Gefahrenquellen, Bedrohungen und Schwachstellen mit ihrer jeweiligen Eintrittswahrscheinlichkeit und der potenziellen Schwere des Schadens für die Rechte und Freiheiten des Betroffenen betrachten. Je größer oder gefährlicher ein Risiko, desto intensivere Schutzmaßnahmen müssen getroffen werden.
Um technische und organisatorische Maßnahmen für einen Datenverarbeitungsprozess zu erarbeiten oder zu analysieren, empfiehlt die Landesbeauftragte für den Datenschutz Niedersachsen die folgenden acht Schritte:
Schildern Sie detailliert, welche Daten die Verarbeitung betrifft, welche Zwecke mit der Verarbeitung verfolgt werden und wie die Verarbeitung durch wen abläuft. Welche Systeme kommen dabei zum Einsatz?
Sind die Erfassung und Verarbeitung der Daten rechtmäßig und zweckdienlich? Stellen Sie sicher, dass die Verarbeitung auf einer zulässigen Rechtsgrundlage basiert und dass die Grundsätze der DSGVO eingehalten werden.
Ermitteln und beschreiben Sie die zu schützenden Dienste, Systeme, Räume und Daten und ihre Beziehung zueinander. Hierzu gehören sowohl technische wie organisatorische Aspekte, insbesondere Gebäude/Räume sowie Personen.
Wir prüfen die Websites im Hinblick auf mögliche Datenschutzverstöße, zum Beispiel durch nicht korrekt eingebundene Tracker, Content-Elemente oder Cookies.
Suchen Sie nach geeigneten Maßnahmen, um die identifizierten Risiken zu minimieren.
Ermitteln Sie die Risikowahrscheinlichkeit und -schwere, wenn die nach Punkt 5 ausgewählten Maßnahmen implementiert wären. Lassen sich Risiken durch technische und organisatorische Maßnahmen nicht gänzlich ausräumen, und wie schwerwiegend wäre dies? Sollte weiterhin ein hohes Risiko bestehen, müssen Sie neue/weitere Maßnahmen bestimmen oder den Verarbeitungsprozess anpassen.
Betrachten Sie die ausgewählten Maßnahmen in der geplanten Kombination. Sind bestimmte Maßnahmen vielleicht überflüssig, weil eine andere Maßnahme bereits ein besseres Schutzniveau bietet? Wird der Beitrag der Maßnahme zur Zielerreichung nicht klar, präzisieren Sie die Maßnahme.
Verteilen Sie Aufgaben und Verantwortlichkeiten an die Beteiligten und priorisieren Sie ggf. Ihre Maßnahmen. Evaluieren Sie den Erfolg und steuern Sie ggf. nach, indem Sie den Prozess erneut durchlaufen.
Auch die Zugänglichkeit der Daten (Zugriff) und deren Speicherungsdauer muss so knapp wie möglich ausgestaltet werden. Insbesondere müssen die Personen, die auf die Daten Zugriff haben, abschließend aufgezählt werden und Vorkehrungen gegen eine Veröffentlichung geschützter Daten eingerichtet werden.
Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 DSGVO oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 DSGVO kann als Faktor für Einhaltung der technischen und organisatorischen Maßnahmen herangezogen werden.
Eine detaillierte Checkliste über die Vorüberlegungen und Aspekte zu den technischen und organisatorischen Maßnahmen finden sich in der folgenden Checkliste: https://www.lda.bayern.de/media/checkliste/baylda_checkliste_tom.pdf
Die DSGVO schreibt vor, dass Unternehmen nachweisen müssen, welche TOM sie umgesetzt haben. Sie müssen also dokumentieren, welche Maßnahmen ergriffen wurden, um die Sicherheit personenbezogener Daten zu gewährleisten. Dabei verlangt die DSGVO eine detaillierte Dokumentation, um zu belegen, dass die Vorschriften eingehalten werden. Außerdem muss im Falle von Überprüfungen oder Datenschutzverletzungen nachgewiesen werden, dass angemessene Maßnahmen ergriffen wurden. Eine gut geführte Dokumentation hilft zudem, interne Prozesse zu optimieren und Transparenz zu schaffen.
Die Dokumentation sollte so ausführlich wie möglich sein und folgende Punkte enthalten:
Zur Unterstützung der Dokumentation gibt es verschiedene Softwarelösungen und Hilfsmittel. Datenschutzmanagementsysteme (DSMS) sind nützliche Tools, mit denen man Dokumente verwalten und archivieren kann. Darüber hinaus bietet ein solches System die Möglichkeit, alle weiteren Aspekte des Datenschutzes zu erfassen und zu managen. Damit sorgen Sie stets dafür, dass Ihre TOM auf jegliche Datenschutz-Aktivitäten Ihres Unternehmens abgestimmt sind.
Die Dokumentation sollte immer auf dem neuesten Stand und für alle zugänglich sein. Das heißt, Sie müssen regelmäßig nachsehen, ob alles noch aktuell ist und ob alles so läuft, wie es soll. Dazu gehören zum Beispiel Sicherheitsrichtlinien, Prozessbeschreibungen, Auditberichte und Meldeformulare.
Einige bewährte Verfahren für eine effektive Dokumentation sind:
Der Datenschutzbeauftragte spielt eine entscheidende Rolle dabei, die DSGVO-Konformität sicherzustellen und TOM umzusetzen. Er überwacht, ob die Datenschutzvorschriften eingehalten werden, berät die Geschäftsführung und die Mitarbeiter und klärt sie durch Schulungen und Workshops über Datenschutz auf.
Er ist sozusagen der Datenschutz-Anwalt der Firma. Er überwacht, ob die internen Datenschutzrichtlinien und -verfahren eingehalten werden. Er sorgt dafür, dass Datenschutzverletzungen rechtzeitig erkannt und gemeldet werden. Außerdem hilft er dabei, Maßnahmen zu ergreifen, mit denen man den Schaden begrenzen und ähnliche Vorfälle in Zukunft vermeiden kann.
Der DSB hilft dem Unternehmen dabei, die technischen und organisatorischen Maßnahmen umzusetzen und zu überwachen. Er arbeitet eng mit den IT- und Sicherheitsteams zusammen, damit die technischen Schutzmaßnahmen wie Verschlüsselung, Firewalls und Zugangskontrollen effektiv implementiert und regelmäßig überprüft werden. Außerdem hilft der DSB dabei, organisatorische Maßnahmen wie Schulungen, Richtlinien und Verfahren zu entwickeln und umzusetzen, damit der Datenschutz gewährleistet ist.
Eine umfassende Beratung zu allen Themen rund um die DSGVO aus einer Hand, damit Sie gesetzliche Anforderungen effizient umsetzen und Ihre Daten sicher verwalten können.
Verstöße oder Versäumnisse bei den technischen und organisatorischen Maßnahmen können sehr teuer werden. Besonders wichtig ist die Risiko- und Folgenabschätzung und die Dokumentation der daraufhin getroffenen Präventionsmaßnahmen. Sind diese Aufzeichnungen bei einem Audit oder einer bekannt gewordenen Datenpanne nicht aktuell, nicht vollständig oder gar nicht vorhanden, drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des Bruttoumsatzes (je nachdem, welcher Betrag höher ist).
Verstöße an anderen Stellen der technischen und organisatorischen Maßnahmen können ein Bußgeld von bis zu 300.000 Euro nach sich ziehen. Der Datenschutzbeauftragte sollte sich regelmäßig fortbilden, um z.B. auf dem erforderlichen „Stand der Technik“ zu bleiben und entsprechende Anpassungen zeitnah vornehmen zu können.
Wenn Sie mit einem Auftragsverarbeiter zusammenarbeiten, lassen Sie sich dessen technische und organisatorische Maßnahmen vorlegen und prüfen Sie diese im Hinblick auf die Prozesse, die Ihr Unternehmen von diesem Dienstleister durchführen lässt.
Welche Vorteile bringen TOM mit sich?
Technische und organisatorische Maßnahmen und deren Dokumentation bringen Ihrem Unternehmen eine höhere Reputation, gerade im Fall einer Datenpanne. Sie können damit nachweisen, dass Ihr Unternehmen alles unternommen hat, um den Schaden gering zu halten und die Ihnen anvertrauten Daten zu schützen.
Die Einhaltung der festgelegten Maßnahmen bringt Ihrem Unternehmen außerdem eigene Vorteile:
Welche TOM sind erforderlich?
Der Verantwortliche muss laut Artikel 25 DSGVO geeignete technische und organisatorische Maßnahmen ergreifen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden (Datensparsamkeit).
Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang der Verarbeitung der erhobenen personenbezogenen Daten, die Speicherfrist der erhobenen personenbezogenen Daten und die Zugänglichkeit der erhobenen personenbezogenen Daten.
Die Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
Wer muss die TOM festlegen?
Der Verantwortliche und der Auftragsverarbeiter haben sicherzustellen, dass ihnen unterstellte Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen in der dafür vorgesehenen Weise verarbeiten.
Für die Festlegung, Einhaltung und Dokumentation der technischen und organisatorischen Maßnahmen ist der jeweilige Datenschutzverantwortliche zuständig. Die technischen und organisatorischen Maßnahmen müssen im Verzeichnis von Verarbeitungstätigkeiten aufgeführt werden.
Einhaltung und Kontrolle des Datenschutzes im Unternehmen durch Cortina Consult.
Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.
Registrieren Sie sich für unseren kostenlosen Newsletter mit lesenswerten Neuigkeiten zum Datenschutz und Best-Practices zur Umsetzung.
* Pflichtfeld. Mit der Registrierung erklären Sie Ihr Einverständnis zum Erhalt des Cortina Legal-Updates mit Mailchimp sowie zur Interessen-Analyse durch Auswertung individueller Öffnungs- und Klickraten. Zu Ihrer und unserer Sicherheit senden wir Ihnen vorab noch eine E-Mail mit einem Bestätigungs-Link (sog. Double-Opt-In); die Anmeldung wird erst mit Klick auf diesen Link aktiv. Dadurch stellen wir sicher, dass kein Unbefugter Sie in unser Newsletter-System eintragen kann. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft und ohne Angabe von Gründen widerrufen; z. B. durch Klick auf den Abmeldelink am Ende jedes Newsletters. Nähere Informationen zur Verarbeitung Ihrer Daten finden Sie in unserer Datenschutzerklärung.
