Technische und organisatorische Maßnahmen

Zu einem umfassenden und datenschutzkonformen Datenschutzmanagementsystem müssen technische und organisatorische Maßnahmen („TOM“) im Unternehmen u. a. gemäß Art. 24 DSGVO, Art. 32 DSGVO sowie § 64 BDSG umgesetzt und für den Fall einer Kontrolle durch die Aufsichtsbehörde für den Datenschutz dokumentiert werden. Jedes Unternehmen, jede Behörde, jede Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, ist Verantwortlicher im Sinn der DSGVO und muss entsprechende technische und organisatorische Maßnahmen umsetzen.

Unter technischen Maßnahmen sind u. a. zu verstehen: Einsatz eines aktuellen Virenscanners und einer Firewall, Passwortschutz, Backups, Verschlüsselung von Datenträgern, Gebäudesicherung, Sicherung des Serverraums, Einsatz von Alarmanlagen, Brandschutzmaßnahmen, VPN, abschließbare Aktenschränke, Protokollierungen usw.

Organisatorische Maßnahmen sind u. a.: Berechtigungskonzepte nach Aufgabe und Funktion, regelmäßige Datenschutzschulungen, Datenschutz-Audits, Besucherkonzepte, Festlegung von Weisungsbefugnissen, Implementierung eines Datenschutzbeauftragten bzw. interner Datenschutzkoordinatoren, Vorhalten von Einwilligungserklärungen und anderen datenschutzrechtlich erforderlichen Dokumenten, Bewerbermanagement usw.

Sinn und Zweck der technischen und organisatorischen Maßnahmen ist insbesondere die Gewährleistung und der Nachweis der Sicherheit der Verarbeitung personenbezogener Daten. Andererseits stehen umfassende technische und organisatorische Maßnahmen für ein hohes Qualitätsmerkmal.

Die Auswahl relevanter und erforderlicher technischer und organisatorischer Maßnahmen ergibt sich aus mehreren Kriterien. Dazu gehören vor allem der Stand der Technik, die Kosten der Implementierung, die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen sowie Art, Umfang, Umstände und Zweck der Verarbeitung. Wichtig ist außerdem, dass die technischen und organisatorischen Maßnahmen regelmäßig überprüft und bei Bedarf aktualisiert werden (z. B. im Rahmen von Datenschutz-Audits).

Die erfolgreiche Umsetzung und Dokumentation technischer und organisatorischer Maßnahmen, die den gesetzlichen (Mindest-)Anforderungen entsprechen, erfordern die umfassende Beratung und laufende Betreuung durch spezialisierte Juristen, um Bußgelder, die Geltendmachung von Schadensersatzansprüchen, Imageschäden, der Verlust von Aufträgen an die Konkurrenz zu vermeiden sowie letztendlich die haftungsrechtlichen Risiken zu minimieren.

 

Unsere Kanzlei berät in Bezug auf die technischen und organisatorischen Maßnahmen u. a. zu folgenden Themen:

  • Erstellung einer umfassenden Checkliste zu den technisch-organisatorischen Maßnahmen (TOM-Checkliste)
  • Erstellung einer Checkliste zur Beschaffung von Software und deren datenschutzfreundlichen Grundeinstellungen (Data Protection by Design und by Default)
  • Beratung bei der Auswahl von Software und mobile Apps und deren Implementierung (Rollenbasiertes Berechtigungskonzept, Datensicherungskonzept, Löschkonzept, Eingabeprotokollierung, Logfiles, Export der Stammdaten und der Bewegungsdaten im Rahmen eines Auskunftsverfahrens)
  • Prüfung der Allgemeinen Geschäftsbedingungen und IT-Verträgen von Softwareherstellern auf deren juristische Belastbarkeit
  • Unterstützung bei der Auswahl, Implementierung und Dokumentation der erforderlichen technischer und organisatorischen Maßnahmen (best practice)
  • Begehungen von verschiedenen Abteilungen, HR, IT, Serverräumen, Rechenzentren
  • Schulungen der Beschäftigten in der IT-Sicherheit und im Datenschutz (Awareness)
  • Spezialschulungen für Führungskräfte, HR, IT, Marketing, Vertrieb, etc. zur IT-Sicherheit und zum Datenschutz
  • Durchführung von Datenschutz-Audits zur Aufdeckung von Schwachstellen
  • Überprüfung und Auditierung von technisch-organisatorischen Maßnahmen von externen Dienstleistern im Rahmen einer Auftragsverarbeitung
  • Prüfung geeigneter Garantien von beauftragten Subunternehmern (z. B. Auftragsverarbeiter) in Bezug auf deren technisch und organisatorische Maßnahmen
  • Integration der technischen und organisatorischen Maßnahmen in ein IT-Security-Management-System (ISMS) gemäß ISO 27001
  • Zusammenarbeit mit der/dem IT-Sicherheitsbeauftragten