Technische und organisatorische Maßnahmen (TOM)

Unternehmen müssen geeignete TOM selbst festlegen

Hinter dem Begriff der Datensicherheit verbirgt sich jedoch eine Fülle von Maßnahmen, die nicht auf jedes Unternehmen gleichermaßen Anwendung findet. Vielmehr müssen die Unternehmen selbst entscheiden, welche technischen und organisatorischen Maßnahmen für sie geeignet sind, um die Sicherheit der von ihnen verarbeiteten Daten zu gewährleisten. In die Entscheidung müssen gemäß Art. 32 Abs. 2 DSGVO folgende Gesichtspunkte einfließen:

• Stand der Technik
• Implementierungskosten
• Art, Umfang, Umstände und Zwecke der Verarbeitung
• Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der Betroffenen

Diese Entscheidung fällt den Unternehmen nicht immer leicht, insbesondere weil sie mit einer Risikobewertung einhergeht. Geeignet sind die gewählten technischen und organisatorischen Maßnahmen nämlich nur, wenn sie ein im Verhältnis zum Risiko der Datenverarbeitung angemessenes Schutzniveau gewährleisten.

Wann ist ein Schutzniveau angemessen?

Für die Beurteilung des angemessenen Schutzniveaus muss das mit der Datenverarbeitung einhergehende Risiko anhand einer objektiven Bewertung beurteilt werden.

Hierfür ist zunächst erforderlich, dass die potenziellen Risiken identifiziert werden. Als mögliche Risiken benennt die DSGVO die Vernichtung, den Verlust, die Veränderung oder die unbefugte Offenlegung von bzw. den unbefugten Zugang zu personenbezogenen Daten. Diese Risiken können bei den betroffenen Personen zu physischen, materiellen oder immateriellen Schäden führen.

Als zweiten Schritt der Risikobewertung ist zu ermitteln, mit welcher Wahrscheinlichkeit ein solcher Schaden eintritt und wie schwer dieser Schaden ausfällt. Hierbei müssen Art, Umfang, Umstände und Zwecke der Verarbeitung berücksichtigt werden. Anhand dessen ist das Risiko der Verarbeitung zu bemessen.

In einem letzten Schritt müssen die Maßnahmen bestimmt werden, die den Eintritt des festgestellten Risikos verhindern und somit geeignet sind, die Rechte und Freiheiten der betroffenen Personen schützen.

Welche TOM gibt es?

Die DSGVO greift in Art. 32 Abs. 1 die nachfolgenden Maßnahmen auf:

• die Pseudonymisierung und Verschlüsselung personenbezogener Daten
• die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
• die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
• ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Hierbei handelt es sich jedoch keineswegs um eine abschließende Aufzählung, sodass auch andere TOM in Betracht kommen. Auch müssen Unternehmen nicht alle möglichen Maßnahmen implementieren, sondern nur die für eine datenschutzkonforme Verarbeitung erforderlichen.

Was sind technische und was organisatorische Maßnahmen?

Des Weiteren unterscheidet die DSGVO zwischen technischen und organisatorischen Maßnahmen (kurz: TOM).

Die technischen Maßnahmen betreffen vor allem physische, räumliche und IT-bezogene Absicherungen, wie zum Beispiel den Einsatz von Aktenvernichtern, einer Chipkarte als Form der Zutrittskontrolle, einer Alarmanlage beim Serverraum, einer Firewall oder die Verschlüsselung von Datenträgern.

Dagegen erfassen die organisatorischen Maßnahmen insbesondere personen- oder ablaufbezogene Sicherungen, wie sorgfältige Auswahl von Sicherheitspersonal, die Erstellung eines Back-up- und Recoveryplans oder die Herausgabe eines Leitfadens für die Beschäftigten, in dem dargestellt wird, wer mit welchen Daten bestimmungsgemäß in Berührung kommen darf.

Jedoch kann die von der DSGVO vorgenommene Trennung nicht durchgehalten werden. Dies zeigt sich am Beispiel des Berechtigungskonzepts. In technischer Hinsicht erfordert die Umsetzung eines solchen Konzepts die Zuweisung der gestatteten Berechtigungen in den relevanten Softwarekomponenten, während in organisatorischer Hinsicht die relevanten Berechtigungen bestimmt und dokumentiert werden müssen.

Welche weiteren Pflichten müssen Unternehmen im Hinblick auf TOM berücksichtigen?

Die Unternehmer trifft generell eine Pflicht, die implementierten TOM zu dokumentieren, um sie und damit die datenschutzkonforme Verarbeitung der personenbezogenen Daten nachzuweisen. Hierin spiegelt sich die allgemeine Rechenschaftspflicht der Unternehmer wider.

Die DSGVO verlangt außerdem, dass die Unternehmer die von ihnen ergriffenen TOM überprüfen und bei Bedarf aktualisieren.

Unsere Beratungsleistungen rund um technische und organisatorische Maßnahmen

Rund um das Thema technische und organisatorische Maßnahmen unterstützen unsere Anwälte Sie bei der

• Durchführung der Risikobewertung und Ermittlung des angemessenen Schutzniveaus
• Überprüfung und Evaluierung der von Ihnen implementierten TOM sowie der Ihrer Kooperationspartner (z.B. im Fall einer Auftragsverarbeitung)
• Erstellung einer Verpflichtungserklärung auf das Datengeheimnis
• Implementierung eines Berechtigungskonzepts nach dem Need-to-know-Prinzip
• Überprüfung von Pseudonymisierungs- und Anonymisierungsverfahren zum Schutz personenbezogener Daten
• Erstellung von Handlungsanweisungen für die datenschutzkonforme Löschung von Dokumenten

Auch bei anderen Fragen hinsichtlich des Themenkomplexes Datensicherheit stehen Ihnen die WINHELLER-Anwälte zur Verfügung.