Dokumentation technischer und organisatorischer Maßnahmen

Dokumentation technischer und organisatorischer Maßnahmen

Die Dokumentation technischer und organisatorischer Maßnahmen (kurz: toM) ist ein möglicherweise häufig vernachlässigter Aspekt des Datenschutz-Management-Systems eines Verantwortlichen. Was wir so manches Mal bei der Maßnahmendokumentation erleben, wie unsere Empfehlungen dafür lauten und welche Vorteile sich aus eben dieser Dokumentation ergeben, erläutern wir in diesem Beitrag.

Gründe für die Dokumentation

Es gibt vielfältige Gründe dafür, dass ein Verantwortlicher die technischen und organisatorischen Maßnahmen, die er zum Datenschutz und zur -sicherheit ergreift, dokumentieren muss. Die Notwendigkeit ergibt sich zum einen aus den Pflichten eines Verantwortlichen. Schauen wir uns dafür Artt. 5 Abs. 1, 24 Abs. 1, 25 Abs. 1 und 32 Abs. 1 DSGVO an, die inhaltlich alle aussagen, dass ein Verantwortlicher geeignete und angemessene technische und organisatorische Maßnahmen ergreifen muss, die im Zuge der Verarbeitung personenbezogener Daten effektiv zum Schutz der Rechte und Freiheiten natürlicher Personen beitragen.

Bei besonderen Kategorien personenbezogener Daten, wie beispielsweise Gesundheitsdaten in einer Arztpraxis, kommt noch die Pflicht hinzu, spezifische Schutzmaßnahmen nach § 22 Abs. 2 BDSG zu ergreifen. Sofern dabei auf den Stand der Technik Bezug genommen wird, sind auch bereichsspezifische weitere Vorgaben zu berücksichtigen. Für Kassenärzte gelten z. B. nach § 75b Abs. 5 SGB V zusätzlich die Vorgaben der KBV-IT-Sicherheitsrichtlinie. Dabei nimmt der Gesetzgeber in § 75b Abs. 4 S. 3 SGB V Bezug auf die Vorkehrungen nach § 8a Abs. 1 BSI-Gesetz, welches die IT-Sicherheitsanforderungen bei betreiberkritischer Infrastruktur regelt.

Auch in anderen Sektoren und Branchen, z. B. der Finanzindustrie, gibt es spezielle Anforderungen an die IT-Sicherheit.

Die Relevanz der Dokumentation

Diese Vorgabe ist in Verbindung mit Art. 5 Abs. 2 DSGVO zu sehen, der bestimmt, dass besagter Verantwortlicher die Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten gemäß Art. 5 Abs. 1 DSGVO nachweisen können muss. Folglich zieht dies nach sich, dass ein Verantwortlicher festhalten muss, welche Maßnahmen er ergriffen hat, um den Datenschutz und die -sicherheit zu gewährleisten. Es ergibt sich also eine Pflicht zur Dokumentation der technischen und organisatorischen Maßnahmen.

Ein Verstoß gegen diese Pflicht kann  zu einem Bußgeld nach Art. 83 Abs. 4 lit. a) DSGVO bis zu 10 Millionen Euro und nach Art. 83 Abs. 5 lit. a) DSGVO sogar bis zu 20 Millionen Euro oder 2 bzw. 4 % des weltweiten Vorjahresgesamtumsatzes sanktioniert werden. Bei der Festsetzung der Bußgeldhöhe berücksichtigt die Datenschutzaufsichtsbehörde nach Art. 83 Abs. 2 lit. d) DSGVO auch, inwieweit der Verantwortliche seiner Verpflichtung, angemessene technische und organisatorische Maßnahmen zu treffen, nachkommt.

Erfahrungen bei der Dokumentation der Maßnahmen

Die bisherigen Erfahrungen bei der Einsicht verschiedener Maßnahmendokumentationen im Zuge unserer Tätigkeiten im Bereich des Datenschutzes, sei es im Rahmen von Datenschutzaudits, Datenschutzberatungen oder der Funktion des Datenschutzbeauftragten, zeigen nicht selten, wie gut eine verantwortliche Stelle den Datenschutz und die -sicherheit umsetzt. So mancher Verantwortlicher sieht den Datenschutz eventuell noch immer eher als eine nicht ernstzunehmende Bürde statt als Chance, sowohl die Existenz und Daten des eigenen Unternehmens als auch die Rechte und Freiheiten der Geschäftspartner, Kunden, Patienten, Beschäftigten etc. zu schützen.

Mögliche nicht zufriedenstellende Beispiele

Wir möchten betonen, dass folgende Beispiele nicht zwangsläufig tatsächlich darauf hinweisen müssen, dass ein Verantwortlicher den Datenschutz nicht ernst nimmt, aber sie oftmals dennoch Fragen offenlassen:

Vorlage ohne Anpassung

Bei der Dokumentation der technischen und organisatorischen Maßnahmen handelt es sich um eine bloße Vorlage ohne Anpassungen an die Gegebenheiten beim Verantwortlichen. Die Vermutung für solch einen Fall wird u. a. geweckt, wenn für den Zweck der Zutrittskontrolle mehrere Beispielmaßnahmen genannt werden, ohne zu benennen, welche denn nun tatsächlich umgesetzt wird.

Oberflächliche Angaben

Das Dokument ist sehr oberflächlich gehalten mit fehlenden erklärenden Informationen. So liest ein möglicher Auftraggeber, dass der mögliche Geschäftspartner die personenbezogenen Daten als Backup in der Cloud speichert, ohne aber weiterführende Information zu den Maßnahmen zu erhalten, die der Geschäftspartner ergriffen hat, um eine mögliche Drittlandübermittlung zu vermeiden.

Zu allgemein gehalten

Des Weiteren gibt es auch Dokumentationen mit eher allgemeinen Angaben. Manche Verantwortliche schreiben oftmals, sie haben eine Verschlüsselung implementiert. Um welche es sich dabei handelt, erläutern sie dann leider nicht immer.

Veraltete Informationen

So wie sich Verarbeitungsprozesse in einer Einrichtung ändern, zieht dies auch eine eventuell notwendige Anpassung der technischen und organisatorischen Maßnahmen nach sich. Möglicherweise sprechen offizielle Stellen neue Empfehlungen aus. – Vor einigen Jahren war es noch üblich, das Passwort in regelmäßigen Abständen zu wechseln. Nun empfiehlt das BSI (Bundesamt für Sicherheit in der Informationstechnik) keinen regelmäßigen Passwortwechsel mehr, sondern im Fall eines (vermutlichen) unbefugten Zugriffes auf das jeweilige Passwort dieses zu ändern. – Folglich ist auch die Dokumentation der ergriffenen Maßnahmen zu aktualisieren. – Mehr zum Thema Passwörter finden Sie auch in unseren Beiträgen „Erstellung eines sicheren Passworts“ und „Passwortschutz im Unternehmen“. –

Ein weiterer Fall für veraltete Dokumentationen der technischen und organisatorischen Maßnahmen ist die fehlende Beschreibung von Maßnahmen zur regelmäßigen Überprüfung und Evaluierung der Maßnahmen nach Art. 32 Abs. 1 lit. d) DSGVO. Nach der alten Rechtslage (Anlage zu § 9 BDSG in der alten Fassung vor 25. 05. 2018) waren bestimmte Datenschutzziele mit Stichworten vorgesehen, die sich heutzutage noch in vielen Dokumentationen finden, aber das nach Art. 32 Abs. 1 lit. d) DSGVO vorgesehene Evaluierungsverfahren nicht regelt.

Fehlende Dokumentation

Dann gibt es auch noch die Fälle, wo die Dokumentation gar nicht vorhanden ist. Das bedeutet natürlich nicht notwendigerweise auch, dass ein Verantwortlicher gar keine Maßnahmen ergriffen hat. Aber es erschwert einer externen Partei, bspw. einem möglichen Auftraggebers, einzuschätzen, ob seine Daten bei einem potentiellen Auftragnehmer vor unbefugter Verarbeitung sicher sind. Zudem soll die Dokumentation der technischen und organisatorischen Maßnahmen durch den Verantwortlichen u. a. dem Datenschutzbeauftragten und – auf Anforderung – der Datenschutzaufsicht deren kontrollierenden und beratenden Tätigkeiten ermöglichen.

Empfehlungen zur Umsetzung

Die DSGVO macht keine Vorgaben dazu, wie die Maßnahmendokumentation aussehen muss. Also auch wie bei anderen Dokumenten zum Datenschutz hat ein Verantwortlicher hier die Wahl, selbst zu entscheiden. Demnach kann er die Informationen zu den ergriffenen Maßnahmen digital oder analog festhalten. Er kann sie nach Abteilungen, Verarbeitungsprozessen o. A. gliedern oder auch nach den Grundsätzen der Datenverarbeitung gemäß Art. 5 Abs. 1 DSGVO, deren Einhaltung die ergriffenen Maßnahmen gewährleisten sollen.

Generell empfehlen wir als Grundlage, die implementierten Maßnahmen überhaupt zu dokumentieren. Diese Dokumentation ist auf dem Laufenden zu halten. Das heißt, sie ist entsprechend zu ergänzen, wenn neue Maßnahmen im Unternehmen, in der Arztpraxis, im Krankenhaus, im Verein, in der Behörde etc. implementiert werden. Genauso ist es wichtig, nicht mehr zutreffende oder unnötige Maßnahmen, weil der Zweck möglicherweise durch eine andere abgedeckt wird, zu entfernen.

Übrigens ist die Dokumentation nicht als Mittel zu sehen, explizite Werbung für das eigene Unternehmen zu betreiben. So manches Unternehmen beschreibt hier die Dienstleistungen und weshalb man sich gerade für den jeweiligen Dienstleister entscheiden soll. Auch solche „Dokumentation“ wurden uns schon präsentiert. Stattdessen sind die Datenschutz- und Datensicherheitsmaßnahmen sachlich und verständlich zu verfassen. Dabei ist es auch gleich, ob dies in Stichpunkten oder in ganzen Sätzen geschieht.

Vorteile der Dokumentation

Es gibt mehrere Vorteile.

Wettbewerbsvorteil

Der, der für verantwortliche Stellen möglicherweise auf den ersten Blick am attraktivsten ist, ist der mögliche Bonus bei der Auftragsgewinnung. Mancher Geschäftspartner legt aktiv Wert darauf, dass die personenbezogenen und Geschäftsdaten ausschließlich in einer sicheren Umgebung verarbeitet werden. Allerdings haben Geschäftspartner, sofern diese nicht Auftraggeber einer Auftragsverarbeitung sind, keinen Anspruch auf Vorlage der technischen und organisatorischen Maßnahmen.

Erfüllung der Nachweispflicht

Des Weiteren dient die Dokumentation der technischen und organisatorischen Maßnahmen zum einen der Nachweispflicht eines Verantwortlichen gemäß Art. 5 Abs. 2 DSGVO, wenn die Datenschutzaufsichtsbehörde die Dokumentation verlangt (siehe Art. 58 DSGVO). Zum anderen erleichtert es einem Verantwortlichen und dessen Datenschutzbeauftragten aber auch, selbst einen Überblick über die implementierten Maßnahmen zu behalten. Dies hilft, bei der regelmäßigen Evaluierung und ggf. notwendigen Anpassung der Maßnahmen (Art 32 Abs. 1 lit. d) DSGVO), aber auch bei eventuell durchzuführenden Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO.

Vermeidung von Bußgeldern

Weiterführend kann ein Verantwortlicher dann auch etwaige Bußgelder der Datenschutzaufsichtsbehörden vermeiden oder zumindest deren Höhe reduzieren helfen.

Beweismittel

Bei einem möglichen Abmahn- oder Klageverfahren dient die Dokumentation möglicherweise als wichtiger Beweis, dass der Verantwortliche den gesetzlichen Vorgaben entsprechend handelt.

Ergänzung zu Fragen der Sicherheit von Geschäftspartnern

Bietet ein Verantwortlicher u. a. digitale Dienstleistungen an, beispielsweise als Auftragsverarbeiter gemäß Art. 28 Abs. 3 DSGVO, muss der Auftraggeber gewährleisten können, dass personenbezogene Daten auch bei etwaigen Auftragnehmern entsprechend geschützt werden. Also wird der potentielle Vertragspartner nach diesem Dokument fragen (müssen), welches dann als Anlage zum Auftragsverarbeitungsvertrag vorzulegen ist.

Fazit

Die Dokumentation der technischen und organisatorischen Maßnahmen ist ein essentielles Dokument eines Datenschutz-Management-Systems. Hält ein Verantwortlicher es aktuell und setzt es in die Praxis um, kann es in vielerlei Sicht von Vorteil sein. Auch bei der Erstellung dieses Dokumentes können wir Sie unterstützen und beraten. Kontaktieren Sie uns gern noch heute.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.