Technisch-organisatorische Maßnahmen: Persönliche Beratung

Jetzt technische und organisatorische Maßnahmen überprüfen lassen

Technische und organisatorische Maßnahmen schützen die personenbezogenen Daten von Organisationen

Datenschutz – der Begriff beinhaltet bereits, dass personenbezogene Daten zu schützen sind. Organisationen sind gesetzlich verpflichtet, mit sogenannten technischen und organisatorischen Maßnahmen (TOM) die Sicherheit bei der Datenverarbeitung zu gewährleisten. Die Datenschutz-Grundverordnung (DS-GVO) und das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) oder auch das Gesetz über den Kirchlichen Datenschutz (KDG) fordern beispielsweise, Risiken zu bewerten und angemessene Schutzmaßnahmen zu treffen, um Datenschutzverletzungen möglichst zu vermeiden. Mit den richtigen technischen und organisatorischen Maßnahmen erfüllen sie nicht nur die Compliance Anforderungen, sondern sichern ihre Organisation vor Angriffen und Datenverlust ab und unterstützen ihre Mitarbeiterinnen und Mitarbeiter dabei, definierte Maßnahmen zum Schutz personenbezogener Daten umzusetzen. Wenn sie Auftragsverarbeiter bei der Auftragsverarbeitung sind, dann verbessern gute TOM ihre Außenwirkung und erleichtern ihren Auftraggeber die Entscheidung für ihre Dienstleistung.

Welche Faktoren sind bei technischen und organisatorischen Maßnahmen zu berücksichtigen?

Wenn eine Organisation, wie z.B. ein Softwareunternehmen, eine soziale Einrichtung oder eine andere datenschutzaffine Organisation personenbezogene Daten verarbeitet, so birgt dies stets Risiken. Um diesen Risken zu begegnen, müssen die Organisationen Schutzmaßnahmen umsetzen und dabei verschiedene Faktoren berücksichtigen, dies sind:

Zweck der Datenverarbeitung – Für welchen Zweck verarbeitet die Organisation personenbezogene Daten?
Art der Daten – Welche personenbezogenen Daten verarbeitet die Organisation konkret?
Umfang – In welchem Umfang oder Ausmaß verarbeitet die Organisation personenbezogene Daten?
Umstände – Wie oder unter welchen (technischen und organisatorischen Voraussetzungen) verarbeitet die Organisation personenbezogene Daten?
Eintrittswahrscheinlichkeit – Wie wahrscheinlich ist der Eintritt einer Datenpanne?
Risiko – Wie schwer sind die Risiken für die Betroffenen bei der Datenverarbeitung?
Stand der Technik – Welche Maßnahmen der Datensicherheit sind aktuell und gelten derzeit als angemessen?
Implementierungskosten – Wie teuer bzw. wie verhältnismäßig ist es, mögliche Schutzmaßnahmen zu implementieren?

Organisationen müssen die genannten Punkte speziell für die klassischen IT-Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und für die ergänzenden Ziele Belastbarkeit sowie Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der DS-GVO berücksichtigen.

Welche Kontrollarten sind bei technischen und organisatorischen Maßnahmen zu berücksichtigen?

Üblicherweise beinhalten Maßnahmen zum Schutz personenbezogener Daten die folgenden Kontrollarten aus den Bereichen Datenschutz und Datensicherheit:

1. Vertraulichkeit:

Zutrittskontrolle (kein unbefugter Zutritt zu Datenverarbeitungsanlagen)
Zugangskontrolle (keine unbefugte Systembenutzung, Verwendung sicherer Passwörter)
Zugriffskontrolle (kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems)
Trennungskontrolle (getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden)
Pseudonymisierung (Daten können ohne Hinzuziehen zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden)

2. Integrität:

Weitergabekontrolle (kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport)
Eingabekontrolle (Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind)

3. Verfügbarkeit und Belastbarkeit:

Verfügbarkeitskontrolle (Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust)
Rasche Wiederherstellbarkeit (Datensicherungskonzept, Redundanz)

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung:

Datenschutz-Management (Benennung eines DSB, Datenschutzschulung, Umgang mit Betroffenenanfragen)
Incident-Response-Management (Vorgehensweise bei einem (potentiellen) Datenschutzverstoß)
Datenschutzfreundliche Voreinstellungen (Berechtigungskonzept, Transparenz, Opt-In etc.)
Auftragskontrolle (keine Auftragsverarbeitung ohne entsprechende Weisung des Auftraggebers)

Warum müssen sich Organisationen mit technischen und organisatorischen Maßnahmen beschäftigen bzw. was sind die Vorteile für sie?

Sie erfüllen eine gesetzliche Anforderung, speziell ihre Rechenschaftspflicht und weisen so nach, dass sie personenbezogene Daten angemessen schützen.
Organisationen stellen auf technischer Ebene sicher, dass sie ihre Unternehmensdaten ausreichend schützen.
Sie berücksichtigen auch den Faktor „Mensch“, in dem sie organisatorisch regeln, worauf Mitarbeiterinnen und Mitarbeiter achten müssen.
Organisationen beugen Datenpannen vor und wappnen sich für Notfälle. Damit vermeiden Sie unnötige Bußgelder, teure juristische Auseinandersetzungen und setzen den Ruf der Organisation nicht aufs Spiel.

Warum profitieren Auftragsverarbeiter, wenn sie Wert auf geeignete technische und organisatorische Maßnahmen legen?

Gerade für Auftragsverarbeiter wie z.B. Softwareunternehmen spielen die technischen und organisatorischen Maßnahmen im Rahmen der Auftragsverarbeitung eine große Rolle. Verantwortliche, also deren Auftraggeber, müssen ihre Auftragsverarbeiter sorgfältig auswählen. Dabei sind die getroffenen TOM sowie zusätzliche Nachweise zum sorgfältigen Umgang mit personenbezogenen Daten besonders wichtig. Der eine oder andere Auftragsverarbeiter setzt sich regelmäßig durch gelungenen Datenschutz gegenüber Wettbewerbern durch, die diesem Thema nicht die gleiche Bedeutung geben.

FAQ rund um technische und organisatorische Maßnahmen

Wer muss technische und organisatorische Maßnahmen treffen?

Die Datenschutzgesetze fordern von jeder Organisation, die personenbezogene Daten verarbeitet, geeignete risikomindernde Maßnahmen umzusetzen. Somit ist jeder Verantwortliche und jeder Auftragsverarbeiter dazu verpflichtet, technische und organisatorische Maßnahmen zu treffen.

Was sind Beispiele für technische und organisatorische Maßnahmen?

Organisationen treffen ganz unterschiedliche Maßnahmen. Üblich sind Maßnahmen in den o.g. Kontrollarten wie z.B. Passwortvorgaben für die Mitarbeiterinnen und Mitarbeiter oder ein Zutrittskontrollsystems zu den Räumlichkeiten. Jegliche internen Richtlinien und Arbeitsanweisungen zum Umgang mit personenbezogenen Daten und betrieblichen Mittel fallen ebenfalls hierunter.

Wo sind die technischen und organisatorischen Maßnahmen gesetzlich enthalten?

In der DS-GVO regelt Art. 32 die technischen und organisatorischen Maßnahmen bzw. der Gesetzgeber spricht von der Sicherheit der Verarbeitung. Im DSG-EKD enthält § 27 und im KDG § 26 die relevanten Inhalte.

Reicht es aus, technische und organisatorische Maßnahmen umzusetzen oder müssen Organisationen diese auch dokumentieren?

Aufgrund der Rechenschaftspflichten im Datenschutz müssen Organisationen stets nachweisen können, wie sie die gesetzlichen Vorgaben einhalten. Daher ist es ratsam, die getroffenen technischen und organisatorischen Maßnahmen nachvollziehbar zu dokumentieren. Hierfür gibt es keine speziellen Vorgaben. In der Praxis hat sich jedoch etabliert, dass Organisationen bzw. Auftragsverarbeiter sich an der Struktur der Kontrollarten orientieren. Diese übliche Struktur erleichtert es anderen die Maßnahmen schneller zu prüfen, da ihnen bekannt ist, wie diese üblicherweise aufgebaut sind.

Was passiert, wenn Organisationen technische und organisatorische Maßnahmen nicht oder nicht ausreichend treffen?

Aufsichtsbehörden berücksichtigen die TOM als einen Faktor, wenn sie Bußgelder bei Datenschutzverstößen bemessen. Wenn die Organisation nachweisen kann, dass ihre TOM angemessen waren und sie die Mitarbeiterinnen und Mitarbeiter für einen sorgfältigen Umgang mit personenbezogenen Daten qualifiziert hat, dann kann sich das durchaus mildernd auf die Bußgeldhöhe auswirken.

Was kostet es, die technischen und organisatorischen Maßnahmen zu bewerten und zu dokumentieren?

Das hängt davon ab, wofür Sie die technischen und organisatorischen Maßnahmen bewerten. Es macht einen Unterschied, ob man dies für einen bestimmten Prozess, ein Produkt oder die gesamte Organisation angeht. Der zeitliche Aufwand dafür reicht von einzelnen Stunden zu einzelnen Personentagen.

Unser Angebot an Sie

Wir prüfen Ihre technischen und organisatorischen Maßnahmen in allen erforderlichen Kontrollarten – egal ob Sie Verantwortlicher oder Auftragsverarbeiter sind – und erstellen Ihnen eine strukturierte und umfassende Dokumentation. Gemeinsam mit Ansprechpartnerinnen und Ansprechpartnern aus Ihrer Organisation (z.B. IT-Leitung, Gebäudemanagement, Produktverantwortliche, Personal etc.) prüfen wir anhand eines umfassenden Fragekatalog, wie sie Datenschutz und Datensicherheit derzeit umsetzt. Diese Dokumentation eignet sich zur Vorlage gegenüber der Aufsichtsbehörde und Auftraggebern. Außerdem bewerten wir Ihre Schutzmaßnahmen und empfehlen Ihnen weitere Verbesserungsmaßnahmen.

ENSECUR unterstützt Sie dabei, wenn Sie für Ihre Organisation oder Ihr Unternehmen technisch-organisatorische Maßnahmen zum Datenschutz einführen wollen. Gemeinsam mit Ihnen überprüfen wir, welche Daten verarbeitet werden und wie diese DS-GVO-konform geschützt werden können. Kontaktieren Sie uns noch heute für ein persönliches Beratungsgespräch!”

Jetzt Kontakt aufnehmen

Kontaktieren Sie uns

Bildquellen:

https://pixabay.com/de/illustrations/abonnieren-anmeldung-anmelden-7268360/ von mohamed_hassan auf pixabay