Technische und organisatorische Maßnahmen

Zu einem umfassenden und datenschutzkonformen Datenschutzmanagementsystem müssen technische und organisatorische Maßnahmen („TOM“) im Unternehmen u. a. gemäß Art. 24 DS-GVO, Art. 32 DS-GVO sowie § 64 BDSG umgesetzt und für den Fall einer Kontrolle durch die Aufsichtsbehörde für den Datenschutz dokumentiert werden. Jedes Unternehmen, jede Behörde, jede Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, ist Verantwortlicher im Sinn der DS-GVO und muss entsprechende technische und organisatorische Maßnahmen umsetzen.

Unter technischen Maßnahmen sind u. a. zu verstehen: Einsatz eines aktuellen Virenscanners und einer Firewall, Passwortschutz, Backups, Verschlüsselung von Datenträgern, Gebäudesicherung, Sicherung des Serverraums, Einsatz von Alarmanlagen, Brandschutzmaßnahmen, VPN, abschließbare Aktenschränke, Protokollierungen usw.

Organisatorische Maßnahmen sind u. a.: Berechtigungskonzepte nach Aufgabe und Funktion, regelmäßige Datenschutzschulungen, Datenschutz-Audits, Besucherkonzepte, Festlegung von Weisungsbefugnissen, Implementierung eines Datenschutzbeauftragten bzw. interner Datenschutzkoordinatoren, Vorhalten von Einwilligungserklärungen und anderen datenschutzrechtlich erforderlichen Dokumenten, Bewerbermanagement usw.

Sinn und Zweck der technischen und organisatorischen Maßnahmen ist insbesondere die Gewährleistung und der Nachweis der Sicherheit der Verarbeitung personenbezogener Daten. Andererseits stehen umfassende technische und organisatorische Maßnahmen für ein hohes Qualitätsmerkmal.

Die Auswahl relevanter und erforderlicher technischer und organisatorischer Maßnahmen ergibt sich aus mehreren Kriterien. Dazu gehören vor allem der Stand der Technik, die Kosten der Implementierung, die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen sowie Art, Umfang, Umstände und Zweck der Verarbeitung. Wichtig ist außerdem, dass die technischen und organisatorischen Maßnahmen regelmäßig überprüft und bei Bedarf aktualisiert werden (z. B. im Rahmen von Datenschutz-Audits).

Die erfolgreiche Umsetzung und Dokumentation technischer und organisatorischer Maßnahmen, die den gesetzlichen (Mindest-)Anforderungen entsprechen, erfordern die umfassende Beratung und laufende Betreuung durch spezialisierte Juristen, um Bußgelder, die Geltendmachung von Schadensersatzansprüchen, Imageschäden, der Verlust von Aufträgen an die Konkurrenz zu vermeiden sowie letztendlich die haftungsrechtlichen Risiken zu minimieren.

Unsere Kanzlei berät in Bezug auf die technischen und organisatorischen Maßnahmen u. a. zu folgenden Themen:

  • Erstellung einer umfassenden TOM-Checkliste
  • Unterstützung bei der Auswahl und Implementierung einzelner technischer und organisatorischen Maßnahmen
  • Schulungen der Beschäftigten
  • Spezialschulungen für Führungskräfte und IT-Abteilung
  • Unterstützung bei der Dokumentation der technischen und organisatorischen Maßnahmen
  • Durchführung von Datenschutz-Audits zur Aufdeckung von Schwachstellen
  • Prüfung geeigneter Garantien von beauftragten Subunternehmern (z. B. Auftragsverarbeiter) in Bezug auf deren technisch und organisatorische Maßnahmen
  • Integration der technischen und organisatorischen Maßnahmen in ein IT-Security-Management-System (ISMS)
  • Zusammenarbeit mit der/dem IT-Sicherheitsbeauftragten