Kategorien
Neueste Beiträge
Technische und organisatorische Maßnahmen
Technische und organisatorische Maßnahmen – ein Unternehmen sollte diesen bei der Umsetzung des Datenschutzes auf jeden Fall Beachtung schenken. Wem sie ein Fremdwort sind, der sollte weiterlesen.
Der Begriff
Mit dem Begriff der technischen und organisatorischen Maßnahmen – kurz: TOM – weist die DSGVO auf die Maßnahmen hin, die jeder datenschutzrechtlich Verantwortliche zum Schutz personenbezogener Daten ergreifen sollte. Wie der Name andeutet, handelt es sich bei den technischen Maßnahmen um solche, die man bezüglich der Technik (Computer, Antivirenprogramme etc.) umsetzen kann. Dahingehen handelt es sich bei organisatorischen Maßnahmen um Schutzmechanismen, wie z. B. Schulungsmaßnahmen, Arbeitsanweisungen, Richtlinien oder die Vorgabe, keine Dokumente, die personenbezogene Daten enthalten könnten, offen und unbeaufsichtigt auf dem Schreibtisch liegen zu lassen, damit die Daten nicht bspw. den Reinigungskräften zugänglich sind. Eine weitere Maßnahme wäre es, den Zutritt zu Räumen im Unternehmen auf die Personen zu beschränken, die ihn benötigen.
Das Ausmaß der Umsetzung technischer und organisatorischer Maßnahmen
Die Zuständigkeit für die Umsetzung liegt beim Verantwortlichen, bspw. der Geschäftsführung. Einerseits muss er unter Abwägung der Risiken und Kosten alles unternehmen, um personenbezogene Daten zu schützen. Andererseits soll es auch im Rahmen des Möglichen liegen. Hierbei sind verschiedene Aspekte in Betracht zu ziehen. Ein Verantwortlicher sollte also bedenken, mit welcher Art personenbezogener Daten das Unternehmen arbeitet. Wenn es sich mit personenbezogenen Daten besonderer Kategorien befasst, sollten die Mittel zum Schutz weitaus komplexer sein als bei der Verarbeitung allgemeiner personenbezogener Daten. Dabei soll man aber auch die monetäre Seite der Umsetzung in Betracht ziehen. Ein Unternehmen mit einem jährlichen Umsatz mehrerer Millionen Euro kann sich hochpreisige Maßnahmen leisten. Ein Kleinstgewerbe mit einem niedrigen jährlichen Umsatz dahingegen führt wahrscheinlich entsprechend kostengünstige Varianten zur Sicherheit der Daten ein. Es ist auch wichtig, die Höhe des Risikos eines möglichen Datenschutzvorfalls zu beachten und die eventuellen Gefahren für die Rechte und Freiheiten Betroffener.
Allgemeine technische und organisatorische Maßnahmen
Art. 32 DSGVO geht auf generelle Schritte zum Schutz personenbezogener Daten ein. Diese beinhalten
1) die Pseudonymisierung und Verschlüsselung personenbezogener Daten,
2) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen,
3) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen und
4) die Einführung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Die Wahl der speziellen Lösungen zur Umsetzung bleibt allerdings jedem Unternehmen selbst überlassen.
Fazit
Die Einführung technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten im eigenen Unternehmen, der eigenen Praxis etc. ist unumgänglich. Setzen Sie externe IT-Dienstleister ein (z. B. zur Fernwartung von IT-Systemen) oder nehmen Sie deren Dienste (z. B. Cloud-Speicherdienste, Newsletter-Anbieter etc.) in Anspruch, müssen Sie mit diesen einen Vertrag zur Auftragsverarbeitung schließen, der ebenfalls technische und organisatorische Maßnahmen enthält. Sie sind dann dafür verantwortlich, diese auf Angemessenheit zu prüfen. Setzen Sie keine technischen und organisatorischen Maßnahmen um oder vereinbaren keine mit den Dienstleistern, die Datenverarbeitung für Sie im Auftrag übernehmen und bringt das bspw. ein verärgerter (Ex-)Mitarbeiter bei der Datenschutzaufsicht zur Anzeige, kann diese alleine für die fehlenden technischen und organisatorischen Maßnahmen ein empfindliches Bußgeld verhängen. Kommt es zu einem Datenschutzvorfall, droht bei fehlenden technischen und organisatorischen Maßnahmen eine Erhöhung des Bußgeldes.
Falls Sie Hilfe bei der Prüfung oder Umsetzung von technischen und organisatorischen Maßnahmen benötigen, helfen wir gern. Nehmen Sie Kontakt mit uns auf.