Florian Padberg
Datenschutzbeauftragter
Die Bestimmung und Feststellung der technischen und organisatorischen Maßnahmen nach Art. 32 EU-DSGVO, in der Umgangssprache kurz TOM`s genannt, sind eine der rudimentären Grundlagen im Datenschutz. Diese genau definierten Maßnahmen sind sowohl Bestandteil der zu erstellenden Verfahrensverzeichnisse wie auch bei den Verträgen zur Auftragsdatenverarbeitung.
In der Umsetzung zeigt sich jedoch das sich viele der kleinen und mittleren Unternehmen in der Definierung und zum Teil auch in der Umsetzung dieser TOM`s schwertun. Viele, der in der gesetzlichen Vorlage festgelegten Maßnahmen werden in der Regel in den Unternehmen bereits, zumindest zum Teil, umgesetzt. Es fehlen oft lediglich die schriftliche Definition, sowie die vorgeschrieben regelmäßigen Prüfungen der Maßnahmen.
Bislang erfolgte die Festlegung der einzelnen Punkte meist nach den Vorgaben des § 64 BDSG, in welcher unter Punkt 3 folgende Angaben zu finden sind:
1. Zugangskontrolle
2. Datenträgerkontrolle
3. Speicherkontrolle
4. Benutzerkontrolle
5. Zugriffskontrolle
6. Übertragungskontrolle
7. Eingabekontrolle
8. Transportkontrolle
9. Wiederherstellbarkeit
10. Zuverlässigkeit
11. Datenintegrität
12. Auftragskontrolle
13. Verfügbarkeitskontrolle
14. Trennbarkeit
Diese Vorgehensweise ist aufgrund der Vollständigkeit und Übersicht der Maßnahmen sehr einfach zu erfassen und umzusetzen. In der Praxis zeigt sich dabei, dass sich in den verschiedenen Kategorien wiederkehrende Begrifflichkeiten finden. Ein Beispiel wären hier Passwortrichtlinien oder die Datensicherungsrichtlinien.
Infolge des oben angesprochenen Punktes werden zwischenzeitlich die TOM`s auch entsprechend der Definition der EU-DSGVO nach Art. 32 Abs. 1 umgesetzt. In dieser werden nur 4 Punkte benannt. Diese wären, in Stichpunkten:
In welcher Form die technischen und organisatorischen Maßnahmen angelegt werden ist unerheblich.
Wichtiger ist in der Umsetzung, dass sich zu den benannten Punkten auch Begleitdokumentationen, sowie regelmäßige Prüfungen und Verbesserungen finden lassen. Dies ist vorwiegend auch dem Abs. 1 der EU-DSGVO Art. 32 geschuldet. Der zu benennende Satz dazu ist:
“Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen…”
Aus diesem Punkt 1 des Artikels 32 EU-DSGVO, Sicherheit der Verarbeitung, lassen sich verschiedene wesentliche Voraussetzungen ableiten.
Zum einen wäre das der Punkt “Stand der Technik”.
Diese Definition “Stand der Technik” ist zum einen sehr ungenau, da sich dieser nicht exakt definieren lässt. Andererseits lässt sich über die Bedeutung nicht streiten. Wenn wir uns überlegen welche Voraussetzungen beispielsweise vor 10 Jahren Standard waren und wie sich die Technik seitdem entwickelt hat.
Waren seinerzeit Passwörter mit gerade mal 8 Zeichen auch für Administratorzugänge Standard werden für dieses Segment jetzt 12 oder mehr Zeichen verwendet. Alternativ können auch andere Zugangsabsicherungen parallel eingesetzt werden. Nehmen wir hier als Beispiel Chipkarten oder Fingerabdruckscanner (bei letzterem bitte auch Art. 9 EU-DSGVO beachten).
Wurden vor nicht allzu langer Zeit Datensicherungen noch auf Band oder externen Festplatten abgelegt, sind heute Sicherungen in Clouddiensten, oder gleich die Nutzung von Komplexen Cloudanwendungen Stand der Dinge.
Auch bei den Implementierungskosten und der Art des Umfangs sind die Vorgaben nicht exklusiv definiert und lassen Spielraum in der Auslegung. In der Umsetzung dürfte jedoch jedem klar sein, dass in einem kleinen Laden mit 5 Mitarbeitern andere Voraussetzungen gegeben sind als in einem High Tech Unternehmen mit 100 Mitarbeitern.
Ist es bei einem ausreichend eine Standardtüre mit Sicherheitsschloss zu nutzen, so kann es bei anderen eine Sicherheitstüre mit Chipleser sein, welche nur autorisierten Personen den Zugang gewährt. Je nach Unternehmensgröße und Umsatz können höhere Implementierungskosten und Sicherheitsstandards angesetzt werden.
Ein nicht unerheblicher Punkt ist jedoch folgender: Zweck der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos.
Die Begriffe Zweck der Verarbeitung, Eintrittswahrscheinlichkeit und Schwere des Risikos ist insofern wichtig, als dieser im Regelfall eine Abwägung voraussetzt. Handelt es sich um die geschäftliche Telefonnummer eines Mitarbeiters oder um die Telefonnummer eines schwer erkrankten Patienten, beispielsweise aus der Krebsabteilung eines Krankenhauses. Der Zweck dieser Datenverarbeitung ist ein völlig anderer.
Komplett unterschiedlich zu bewerten ist hierbei auch das Risiko für die Datenverarbeitung. Wird eine geschäftliche Telefonnummer weitergegeben ist das mitunter durchaus gewünscht. Anders sieht es mit ärztlichen Dokumentationen aus, die doch mit erheblichem Mehraufwand vor Zugriff zu schützen sind.
In diesem Sinne ist auch die Schwere des Risikos zu betrachten. Besteht bei der Weitergabe der geschäftlichen Telefonnummer ein besonderes Risiko für den Angestellten, kann diese Weitergabe für unser zweites Beispiel existenzgefährdend sein.
Die Unterscheidung welche Daten schützenswerter sind ist in diesem Fall relativ einfach. Hier ist auch leicht zu verstehen, dass hier unterschiedliche technische und organisatorische Maßnahmen vorauszusetzen sind.
Die Eintrittswahrscheinlichkeit ist hingegen ein relativ einfach zu bemessender Punkt. Die primären Fragen hierzu sind unter anderem, wann war der letzte Datenschutzvorfall? Wann wurde ich das Letzte mal gehackt? Bekomme ich solche Vorfälle überhaupt mit? Werden Vorfälle dokumentiert, ausgewertet und Wiederholungen verhindert, oder zumindest erschwert? Das sind die Punkte, die eine qualifizierte und engagierte IT, sowie ein gutes Datenschutzmanagement voraussetzen.
Je aufwendiger jede dieser Maßnahmen sind, umso kostenintensiver ist auch deren Implementierung und Instandhaltung. Diese Kosten gilt es also mit den zu verwendeten Daten, deren Nutzung und dem Risiko für den Betroffenen abzuwägen und so die Umsetzung der EU-DSGVO sicherzustellen.
Die Komplexität um die Erfüllung der technischen und organisatorischen Maßnahmen, fordert von den Verantwortlichen viel Engagement und Fachwissen. Ein kompetenter Datenschutzbeauftragter unterstützt und berät die Geschäftsleitung in der Planung, Umsetzung und Einhaltung der gesetzlichen Vorgaben.
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!