DSGVO: TOM (technische und organisatorische Maßnahmen)

(13.10.2016) In unserer 4. Folge über die EU-Datenschutzgrundverordnung (DSGVO) geht es um das Thema:

Die technischen und organisatorischen Maßnahmen (TOM) und die neuen Schutzziele

Neben dem Datenschutz muss auch immer die Datensicherheit gewährleistet werden. Das heißt, dass personenbezogene Daten durch geeignete Maßnahmen zu schützen sind. Eine technische Maßnahme wäre es beispielsweise, Personal-Unterlagen in einem verschlossenen Stahlschrank zu lagern und eine organisatorische Maßnahme ist die Regelung, wie die Schlüssel zu diesem Schrank verwaltet werden müssen.

Sie erinnern sich wahrscheinlich, welche acht Maßnahmen das BDSG einfordert: Zutrittskontrolle, Zugangskontrolle, Weitergabekontrolle und so weiter?

Unter der DSGVO wird sich das zukünftig ein wenig anders darstellen. Artikel 32 schreibt andere und umfassendere Ziele vor.

Die DSGVO fordert:

  • die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste,
  • die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten soweit möglich,
  • eine rasche Wiederherstellung der Daten und Zugänge nach einem physischen oder technischen Zwischenfall
  • sowie ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen.

Abwägung wie bisher
Diese Ziele müssen aber nicht um jeden Preis erreicht werden. Zu berücksichtigen sind:

  • der Stand der Technik,
  • der Implementierungskosten,
  • Art, Umfang, Umstände und Zwecke der Verarbeitung
  • sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere von Datenschutz-Risiken

Auch bisher schon mussten nur solche Maßnahmen umgesetzt werden, die verhältnismäßig waren. Das ändert sich also nicht – nur gibt die DSGVO genauer vor, welche Aspekte bei der Prüfung der Verhältnismäßigkeit zu berücksichtigen sind.

Schutzbedarf und Risikobewertung
Man wird den Schutzbedarf der personenbezogenen Daten beispielsweise in die Kategorien „normal“, „hoch“ und „sehr hoch“ einteilen können und eine Risikobewertung vornehmen. Darin werden die Kriterien für Eintrittswahrscheinlichkeit und Schwere eines Datenschutz-Risikos betrachtet und letztlich die geeigneten, angemessenen Maßnahmen abgeleitet. Unter Umständen wird allein diese Klassifizierung sehr aufwändig.

Fortlaufender Prozess
Dieses Verfahren wird man regelmäßig wiederholen müssen, da die DSGVO die „regelmäßige Überprüfung, Bewertung und Evaluierung“ einfordert.

Ein Prozess hierfür könnte folgendermaßen aussehen:

  1. Schutzbedarf feststellen
  2. Risiken bewerten
  3. Maßnahmen treffen
  4. Nachweise erbringen

Nachweise erforderlich
Die Einhaltung dieser Maßnahmen unterfällt der Rechenschaftspflicht (Art. 5 Abs. 5 DSGVO). Auch bei Auftragsverarbeitungen (ADV) werden alle Beteiligten die Beachtung der neuen Schutzziele nachweisen müssen.

Zusammenfassung
Die technischen Aspekte und die IT-Sicherheit bekommen durch die DSGVO eine höhere Bedeutung. In den nächsten Jahren müssen auf europäischer Ebene noch objektive Kriterien und Methoden festgelegt werden, um künftig geeignete Maßnahmen auszuwählen.

Wir beobachten hier die Entwicklung und halten unsere Kunden auf einem aktuellen Stand.

Übrigens: Alle Änderungen, die die DSGVO mit sich bringt, erfahren Sie in unserem Online-Training zur DSGVO. Mit Teilnahmezertifikat und PDF-Zusammenfassung. → mehr zum DSGVO-Online-Training

Wir beraten Sie aber auch gerne im Einzelfall bei der Umsetzung der neuen Vorgaben: → mehr zur Datenschutzberatung

Verwandte Beiträge