Technische und Organisatorische Maßnahmen

‍Was ist das überhaupt?

Technische und organisatorische Maßnahmen (TOM) sind Richtlinien, die personenbezogene Daten, die verarbeitet, erhoben oder genutzt werden, folgen müssen um die Sicherheits- und Schutzanforderungen der DSGVO zu erfüllen. TOM sind in verschiedenen Themengebieten vorhanden, zum Beispiel physisch (Alarmanlagen in Gebäuden), digital (Hard- und Software) oder verfahrenstechnisch (Vier-Augen-Prinzip). 

Im Datenschutz sind TOM vor allem im digitalen Umfeld anwesend. Dazu gehören Benutzerkontos, Passwörter, Daten-Backups, Firewalls, Virenscanner und biometrische Benutzeridentifikation. 

Wieso muss ich das dokumentieren? Wieso brauche ich das?

Im Falle einer meldepflichtigen Datenpanne oder Datenschutzverstoß können TOM belegen, dass geeignete Maßnahmen zum Schutz der Daten getroffen wurden. Wichtig ist dabei, dass das Unternehmen die TOM frühzeitig dokumentiert bevor die Behörde diese verlangt. Diese Dokumentation erfolgt sobald die personenbezogenen Daten im Verarbeitungsprozess stehen. Der Prozess beginnt, wenn Daten wie zum Beispiel E-Mail-Adressen von Newslettern oder generelle Kundendaten gesammelt werden.

Direkt nach dem Anfang des Sammelns und Dokumentierens der Daten muss man sicherstellen, dass die TOM angemessen für die zutreffende Industrie bereitgestellt werden. Ein gutes Beispiel hierfür wäre eine Arztpraxis, die Patientendaten wie Versicherungsnummer und Krankenakten sammelt, mehr Schutz in der IT-Infrastruktur erfordert, als ein Handwerker, der seine Kundendaten auf einer Plattform wie Excel festhält. Beide Situationen haben  verschiedene Erwartungen an den Datenschutz, die unterschiedlich in den TOMs angepasst werden sollten. 

Worauf muss ich bei der Erstellung achten?

Bei der Erstellung von technischen und organisatorischen Maßnahmen ist es wichtig auf die unterschiedlichen Kategorien zu achten. So wird zwischen technischen Maßnahmen und organisatorischen Maßnahmen unterschieden. Zu ersterem zählen physische Schutzmaßnahmen, die der Sicherheit der Datenverarbeitung dienen, wie zum Beispiel Fenster- und Türsicherungen sowie Alarmanlagen. Hingegen beinhalten organisatorische Maßnahmen Handlungsanweisungen und Vorgehens- bzw. Verfahrensweisen für Mitarbeiter (sowie die Umsetzung dieser), wie zum Beispiel Richtlinien für die Besucheranmeldung oder das Vier-Augen-Prinzip. Wichtig ist auch, dass beide Arten von Maßnahmen in den verschiedenen Kontrollkategorien wiederzufinden sind,  welche einzeln dokumentiert werden müssen.

Diese Kontrollkategorien lassen sich in Zugriffskontrolle, Zutrittskontrolle, Zugangskontrolle, Trennungsgebot, Eingabekontrolle, Weitergabekontrolle und Verfügbarkeitskontrolle unterteilen. 

Nach Art. 32 Abs.1 DSGVO muss verschiedenstes berücksichtigt werden bei der Einführung von technischen und organisatorischen Maßnahmen wie z.B. der aktuelle Stand der Technik, Implementierungskosten sowie die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung von personenbezogenen Daten. Hierbei ist es wichtig, dass die zweckmäßige Datenverarbeitung gesichert ist, weswegen die Datenverarbeitungssysteme stark belastbar sein müssen und es Verfahren zur Wiederherstellung personenbezogener Daten nach einem Datenverlust gibt. Die Daten müssen immer verschlüsselt und pseudonymisiert verarbeitet werden. 

Auch die verschiedenen Eintrittswahrscheinlichkeiten und die Schwere des Risikos für die Rechte und Freiheiten der Betroffenen müssen bei der Einrichtung der technischen und organisatorischen Maßnahmen beachtet werden.