Kurze Einleitung:
Datenschutz ist ein Thema, dass gerade in den Medien immer mehr behandelt wird. Wie Datenschutz einzuhalten bzw. umzusetzen ist, wissen dagegen die meisten verantwortlichen Stellen nicht. In diesem Zusammenhang beschreibt die europäische Datenschutz-Grundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG-neu) eine Reihe von Maßnahmen, wodurch die Sicherheit der Verarbeitung von personenbezogenen gewährleistet werden kann. Diese technisch-organisatorischen Maßnahmen, kurz TOM bzw. umgangssprachlich auch TOMs genannt, werden im Wesentlichen in Art. 32 DSGVO definiert und auch an anderen Stellen in der DSGVO erwähnt, z.B. in Art. 25 Abs. 2 DSGVO.
Im folgenden Beitrag erfahren Sie, welche technischen und organisatorischen Maßnahmen Sie umsetzen sollten und worauf Sie bei der Umsetzung Ihrer Dienstleister achten sollten.
Inhalt
- TOM Datenschutz- wofür steht die Abkürzung?
- Was sind technische und organisatorische Maßnahmen?
- Welchen Zweck haben technische und organisatorische Maßnahmen?
- Technische und organisatorische Maßnahmen im Unternehmen
- TOM – die Schutzmaßnahmen gemäß Art. 32 DSGVO, § 64 BDSG-neu
- Technische und organisatorische Maßnahmen gemäß DSGVO: Beispiele
- Datenschutzfreundliche Voreinstellungen Art. 25 DSGVO
- Das Verhältnismäßigkeitsprinzip
- Folgen bei Verstößen gegen den Datenschutz
- TOM Datenschutz Muster
TOM Datenschutz- wofür steht die Abkürzung?
Bei den TOM bzw. TOMs handelt es sich um Maßnahmen, die im Datenschutz die Sicherheit der Verarbeitung von personenbezogenen Daten gewährleisten sollen. Dabei steht die Abkürzung TOM für technisch-organisatorische Maßnahmen. Bekannt war dieser Begriff bereits vor Anwendbarkeit der DSGVO seit dem 25.05.2018 aus dem alten Bundesdatenschutzgesetz (BDSG).
Hier waren die technisch-organisatorischen Maßnahmen in einer Anlage zu § 9 S.1 BDSG-alt aufgezählt. In der neuen DSGVO sind die wesentlichen TOM bzw. TOMs in Art. 32 DSGVO geregelt. Wichtig ist in diesem Zusammenhang, dass die TOM im Datenschutz nach Art. 32 DSGVO auch schriftlich dokumentiert werden müssen, vgl. auch die Rechenschaftspflicht von verantwortlichen Stellen gem. Art. 5 Abs. 2 DSGVO. Spätestens seit Inkrafttreten der EU-Datenschutz-Grundverordnung haben die TOM an mehr Relevanz für verantwortliche Unternehmen gewonnen. Es empfiehlt sich, dass Unternehmen ihre technischen und organisatorischen Maßnahmen durch datenschutzrechtliches Audit aufnehmen und hierbei gleich eine Bewertung des Sicherheitsniveaus durchführen.
Was sind technische und organisatorische Maßnahmen?
Der Bezeichnung technische und organisatorische Maßnahmen in Art. 32 DSGVO ist zu entnehmen, dass sich der Begriff in zwei Bereiche unterteilen lässt: Technische Maßnahmen oder auch technischer Datenschutz meint in diesem Zusammenhang jeden Schutz der Sicherheit der Datenverarbeitung, der durch physische Maßnahmen umgesetzt werden kann. Folgende Beispiele sind daher typische technische Maßnahmen für die Einhaltung von Datenschutz.
- Technisch eingerichtete Vorgaben für die Passwortkomplexität
- Zäune und andere bauliche Absicherung von Geländen oder Gebäuden
- Fenster- und Türsicherungen
- Alarmanlagen
- Pseudonymisierung Verschlüsselung personenbezogener Daten
- Benutzerkonten
- Passwort-Pflichten oder andere Identifikationsprozesse von Benutzern, z.B. durch einen biometrischen Scan-Vorgang
- automatische Erstellung von Protokollen (sog. Logging)
Zu den organisatorischen Maßnahmen i.S.d. Art. 32 DSGVO gehören Maßnahmen, welche die Umsetzung von Handlungsanweisungen und Vorgehens- und Verfahrensweisen für Mitarbeiter beinhalten, um auf diese Weise den Schutz der Verarbeitung von personenbezogenen Daten zu gewährleisten. Folgende, beispielhafte Maßnahmen gehören zu den organisatorischen Maßnahmen in der DSGVO.
- So gibt es z.B. das sog. Vier-Augen-Prinzip für bestimmte Abläufe, Aufgaben oder Entscheidungen. Diese dürfen in bestimmten Bereichen nur von mindestens zwei verantwortlichen Personen getroffen werden
- Richtlinie für die Besucheranmeldung
- Richtlinien für die Nutzung der IT, des Internets oder mobilen Geräte
- Anweisungen zur datenschutzkonformen Entsorgung von Dokumenten mit personenbezogenen Daten
- Verpflichtungserklärung auf das Datengeheimnis
Technische und organisatorische Maßnahmen sind Sicherheitsmaßnahmen, die gem. Art. 32 Abs. 1 DSGVO unter der Berücksichtigung von diversen Faktoren einzurichten sind: Hierzu gehören der aktuelle Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung von personenbezogenen Daten.
Darüber hinaus müssen auch die unterschiedlichen Eintrittswahrscheinlichkeiten und die Schwere des Risikos für die Rechte und Freiheiten von betroffenen natürlichen Personen bei der Vornahme der geeigneten technischen und organisatorischen Maßnahmen berücksichtigt werden. Hierzu sollte im Einzelfall mindestens eine datenschutzrechtliche Beratung erfolgen durch einen unabhängigen Datenschutzbeauftragten, welcher in keinem Fall im Interessenskonflikt steht.
Welchen Zweck haben technische und organisatorische Maßnahmen?
Technisch organisatorische Maßnahmen dienen nach Art. 32 DSGVO der Sicherstellung des Schutzes von personenbezogenen Daten bei deren Verarbeitung durch einen Verantwortlichen und erfüllen den Zweck, diesen Schutz auf bestmögliche Weise zu gewährleisten. Konkret heißt das, dass jeder Verantwortliche TOM umsetzen und in seinem Verzeichnis von Vorbereitungstätigkeiten (VVT) dokumentieren muss, um gem. Art. 24 DSGVO zu gewährleisten, dass die Rechte und Freiheiten von betroffenen Personen gewahrt werden. Zudem hat der Verantwortliche nach Art. 25 DSGVO TOM zu ergreifen, die geeignet sind, die Datenschutzgrundsätze wie z.B. Datenminimierung oder Löschkonzepte umzusetzen. Geeignete TOM können im Zuge einer Risikoanalyse oder einer Datenschutz-Folgenabschätzung (DSFA) ergriffen werden, um so bestehende Risikoquellen zu minimieren oder zu vermeiden und den Schutz der im Unternehmen verarbeiteten personenbezogenen Daten sicherzustellen. Bspw. kann die regelmäßige Erstellung von Backups bei einer Datenpanne den Verlust der Daten verhindern.
Technische und organisatorische Maßnahmen im Unternehmen
TOM betreffen generell das ganze Unternehmen, jedoch auch explizit einzelne Abteilungen. Dies liegt daran, dass bestimmte TOM auf die individuellen Umstände der Abteilungen angepasst werden müssen, um so einen bestmöglichen Schutz der personenbezogenen Daten zu gewähren. Daher empfiehlt es sich, dass Unternehmen ihre technischen und organisatorischen Maßnahmen in ein datenschutzrechtliches Audit aufnehmen und hierbei gleich eine Bewertung des aktuellen Sicherheitsniveaus durchführen. So können Anpassungen vorgenommen und auch individuelle Fälle berücksichtigt werden. Damit kommt ein Unternehmen seiner Pflicht aus Art. 32 DSGVO nach, ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Durch das Verhältnismäßigkeitsprinzip, welches sich mittelbar in Art. 32 DSGVO wiederfindet, schränken sich die TOM-Vorgaben marginal wieder selbst ein. Art. 32 DSGVO spricht nämlich davon, dass die Implementierungskosten der Maßnahmen zu berücksichtigen sind. Auf der anderen Seite müssen die TOM im Hinblick auf die Umsetzung geeignet sein, das angestrebte Schutzziel zu erreichen. Deshalb sind bei der Umsetzung Faktoren wie der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und der Zweck der Verarbeitung sowie die Eintrittswahrscheinlichkeiten und die Risikohöhe mit den Rechten und der Freiheit des Betroffenen abzuwägen. Eine entsprechende Abwägung sollte dokumentiert werden, um nachzuweisen, wie die Maßnahmen ausgewählt wurden.
Die wirtschaftliche Angemessenheit ist also zu berücksichtigen. Beispielsweise können die TOM eines Kleinbetriebs aus wirtschaftlichen Aspekten nicht in allen Bereichen die gleichen Standards haben, wie die TOM eines Großkonzerns. Unternehmen sollten für die Wirksamkeitsprüfung und auch für die Einhaltung des Verhältnismäßigkeitsprinzips einen Datenschutzbeauftragten zur Bewertung beauftragen.
TOM – die Schutzmaßnahmen gemäß Art. 32 DSGVO, § 64 BDSG-neu
Der Katalog mit technisch-organisatorischen Maßnahmen gem. der Anlage zu § 9 BDSG-alt ist seit dem 25.05.2019 nicht mehr anwendbar. Das liegt daran, dass seit dem 25.05.2018 die DSGVO das BDSG in seiner Form abgelöst hat. Das BDSG wurde entsprechend überarbeitet und wirkt seit jeher ergänzend, während die DSGVO maßgebend für datenschutzrechtliche Bestimmungen ist. In Art. 32 DSGVO sind technisch-organisatorische Maßnahmen in Kategorien aufgelistet. Eine neue, erweiterte Liste wurde nun in § 64 Abs. 3 S.1 BDSG-neu normiert. Bemerkenswert ist in diesem Zusammenhang, dass § 64 BDSG-neu laut der Überschrift des 3. Teils des BDSG-neu nur für die Datenverarbeitung öffentlicher Stellen bei Straf- und Ordnungswidrigkeitsverfahren gilt. Die herrschende Meinung hierzu ist allerdings, dass dennoch die erweiterte Liste auch für private Unternehmen Anwendung finden sollte.
Zumindest als Orientierungshilfe für die Einrichtung von technisch-organisatorischen Maßnahmen sollte der Katalog in § 64 Abs. 3 S.1 BDSG-neu genutzt werden. Im Gegensatz zu Art. 32 Abs. 1 DSGVO sind hier nämlich noch einige Beispiele neben den einzelnen TOM, wie z.B. für die Datenträgerkontrolle in § 64 Abs. 3 S.1 BDSG-neu, aufgezählt. Die Vorgaben aus Art. 32 DSGVO Abs. 1 DSGVO sind hier außerdem näher spezifiziert, wie sich zum Beispiel aus einem Vergleich von Art. 32 Abs. 1 lit. c) DSGVO und § 64 Abs. 3 S.1 Nr. 9 BDSG-neu ergibt.
Wie das Verhältnis zwischen DSGVO und BDSG-neu zu verstehen ist, erfahren Sie hier.
Technische und organisatorische Maßnahmen gemäß DSGVO: Beispiele
Das angemessene Schutzniveau gemäß Art. 32 Abs. 1 u. 2 DSGVO muss gewährleistet werden, doch welche Maßnahmen sind zwingend notwendig hierfür? Grundsätzlich teilt die Datenschutz-Grundverordnung die TOM in mehrere Teile auf siehe Art. 32 Abs. 1 lit. a) – d) DSGVO. Im Wesentlichen wird der Fokus der Schutzmaßnahmen auf die folgenden Bereiche gelegt:
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Die Zutrittskontrolle gehört zu den klassischen Maßnahmen im technisch-organisatorischen Bereich für die Einhaltung des Datenschutzes. Mit der Zutrittskontrolle sind alle Maßnahmen gemeint, die unbefugten Personen den Zutritt auf Geländen, Gebäuden oder Räumlichkeiten, in denen Datenverarbeitungsanlagen vorzufinden sind und die personenbezogene Daten verarbeiten, verbieten.
Beispiele für technische Maßnahmen der Zutrittskontrolle sind folgende:
- Alarmanlagen
- Zäune, Pforten und andere räumliche Begrenzungen
- Sicherheitsverglasung
- Sicherung von Gebäudeschächten, Fenstern und Türen
- Bewegungsmelder und Lichtschranken
- Sicherheitsschlösser
- Schließsysteme mit Codesperren
- Chipkarten für verschlossene Bereiche
- Zugangssperren, die mit biometrischen Merkmalen abgesichert sind
- Datenschutzkonforme Videoüberwachung
Beispiele für organisatorische Maßnahmen im Segment der Zutrittskontrolle sind:
- Besucheranmeldung
- Besucherbücher und Besucherprotokolle
- Verpflichtung für Mitarbeiter und Gäste, Ausweise zu tragen
- Empfangspersonal zur Personenkontrolle und Pförtner
Bei der Zugangskontrolle geht es im Gegensatz zu der Zutrittskontrolle um die Verhinderung der unbefugten Nutzung von Datenverarbeitungsanlagen. Datenverarbeitungsanlagen wie z.B. Computer-Systeme sollen nur von Personen mit einer entsprechenden Befugnis zur Nutzung verwendet werden.
Auch in diesem TOM bieten sich viele Maßnahmen in technischer und organisatorischer Art und Weise an, um den Datenschutz nach DSGVO und BDSG-neu einzuhalten:
Technische Maßnahmen für die Zugangskontrolle sind u.a.:
- Sichere VPN-Verbindung
- Verschlüsselung von Datenträgern und mobilen Endgeräten
- Sichere Firewall
- Chipkarten
- Anti-Viren-Software
- Sperrung von USB-Anschlüssen und anderen externen Schnittstellen
- Verriegelung von Gerätegehäusen
- Authentifikation mittels Passworteingabe oder biometrischer Scans
- Sicherheitsschlösser
Organisatorische Maßnahmen für die Zugangskontrolle sind:
- Schlüsselregelungen
- Passwortregeln inkl. Vorgaben für die Komplexität des Passwortes
- Vertrauenswürdiges Personal für die Bereiche Sicherheit und Reinigung
- Generierung von Benutzerprofilen
Die Zugriffskontrolle ist eine weitere klassische Maßnahme im Bereich der technisch-organisatorischen Maßnahmen. Bei diesem TOM handelt es sich um eine Kontrolle, die die Einhaltung von Zugriffsberechtigungen gewährleisten soll.
In diesem Zusammenhang dürfen Benutzer Datenverarbeitungssysteme nur in dem Rahmen nutzen, wie es die jeweilige konfigurierte Zugriffsberechtigung erlaubt. Durch diese Zugriffskontrolle wird gewährleistet, dass niemand über seine Berechtigung hinaus personenbezogene Daten verarbeiten kann.
Durch die Zugriffskontrolle soll also niemand unbefugt personenbezogene Daten kopieren, lesen, verändern oder entfernen können.
Folgende beispielhafte technische Maßnahmen können für die Zugriffskontrolle eingerichtet werden:
- Protokollierung der Zugriffe auf Anwendungen und Prozesse wie z.B. der Datenvernichtung
- Datenschutzkonforme Vernichtung von Datenträgern (Akten, Laufwerke etc.)
- Verschlüsselung von Datenträgern und mobilen Endgeräten
Beispiele für organisatorische Maßnahmen für die Zugriffskontrolle sind:
- Passwortregeln
- Berechtigungskonzepte
- Anpassung der Anzahl an Administratoren, die die volle Zugriffsberechtigung haben
- Datenvernichtung durch Dienstleister
- Datenschutzkonforme Passwortregeln
Die Weitergabekontrolle bzw. Transportkontrolle i.S.d. der DSGVO und des BDSG-neu ist eine weitere Maßnahme im Bereich der TOM für die Einhaltung der Sicherheit der Verarbeitung von personenbezogenen Daten.
Mit der Weitergabekontrolle sind Maßnahmen gemeint, die die Sicherheit von personenbezogenen Daten während einer Datenweitergabe gewährleisten. Unter Datenweitergabe in diesem Sinne sind elektronische Übertragungen, der Transport und die Speicherung von personenbezogenen Daten zu verstehen. Die Gewährleistung der Sicherheit der personenbezogenen Daten während dieser Übertragung ist die Zielsetzung der Weitergabekontrolle und somit essentiell für den Datenschutz.
Mit dieser TOM soll die unbefugte Verarbeitung von personenbezogenen Daten während der Übertragung bzw. des Transportes verhindert werden. Wichtig ist in diesem Zusammenhang auch, dass genau überprüft werden kann, wann und an welcher Stelle eine Übermittlung von personenbezogenen Daten stattgefunden hat bzw. vorgesehen ist.
Diese technische Maßnahmen gehören beispielsweise zur TOM Weitergabekontrolle:
- gesicherte Transportbehälter
- Sichere VPN-Technologie
- E-Mail-Verschlüsselung
Folgende Beispiele für organisatorische Maßnahmen lassen sich aufzählen:
- Einsatz von vertrauenswürdigem Transportpersonal
- Regelmäßige Überprüfung von Abruf- und Übermittlungsvorgängen
- Anfertigung eines Verfahrensverzeichnisses
- Kontrolle der Datenempfänger und entsprechende Dokumentation dieser Empfänger
Bei der TOM Eingabekontrolle geht es um die Überprüfbarkeit der Datenverarbeitung. Durch Maßnahmen in diesem Segment soll die Kontrolle von Dateneingaben, Datenveränderungen und Datenlöschungen gewährleistet werden.
Durch die Etablierung von Maßnahmen in diesem Bereich kann genau überprüft werden, wer welche personenbezogene Daten innerhalb der Datenverarbeitungssysteme eingegeben, verändert oder gelöscht hat.
Technische Maßnahmen der Eingabekontrolle sind beispielsweise:
- Anfertigung eines Protokolls bezüglich der Eingabe, Veränderung und Löschung von Daten
- Digitales Berechtigungskonzept (z.B. Active Directory)
Organisatorische Maßnahmen:
- Einrichtung und Verwendung von individuellen Benutzernamen
- Vergabe von Zugriffsberechtigungen
Die Auftragskontrolle ist immer dann einschlägig, wenn eine Auftragsverarbeitung stattfindet. Dann muss gewährleistet werden, dass die Verarbeitung nach den Weisungen des Auftraggebers erfolgt. In diesem TOM werden die Maßnahmen in der Regel auf der organisatorischen Ebene eingerichtet. Hierzu gehören im Bereich der Auftragskontrolle:
- Sorgfältige Auswahl des Auftragnehmers
- Überprüfung der Datenvernichtung nach Auftragsende
- Vertragsstrafen
- Schriftliche Weisungen an den Auftragnehmer
- Vereinbarung von wirksamen Kontrollrechten bezüglich des Auftragnehmers
- Dauerhafte Überprüfung des Auftragnehmers
Bei den TOMs Verfügbarkeitskontrolle und Wiederherstellbarkeit müssen personenbezogene Daten gegen Zerstörung oder Verlust geschützt werden, damit diese im Störungsfall wiederhergestellt werden können.
Um dieses Ziel erreichen zu können, müssen technische und organisatorische Maßnahmen ergriffen werden. Folgende Beispiele lassen sich für beide Kategorien anführen:
Technische Maßnahmen für die Verfügbarkeitskontrolle und Wiederherstellbarkeit:
- Backups
- Diebstahlsicherungen
- Klimatisierung des Serverraums durch eine Klimaanlage
- USV (Unterbrechungsfreie Stromversorgung)
- Feuer- und Rauchmelder
- Feuerlöscher
- Datenschutz-Management-System
- Notfall-Management
Auf der organisatorischen Ebene existieren u.a. folgende Maßnahmen:
- Alarmanlagen
- Schutz des Serverraums vor Risiken, z.B. durch Hochwasser, Brände oder gefährlich platzierte Sanitäranlagen
- Erstellung von Backups der Daten
- Optimer Zyklus der Backups-Anfertigung
- Tests für Datenwiederherstellungen
Wenn personenbezogene Daten zu unterschiedlichen Zwecken erhoben worden sind, muss gewährleistet werden, dass sie auch getrennt verarbeitet werden, sog. Trennungskontrolle.
Technisch könnten beispielsweise folgende Maßnahmen etabliert werden:
- Verschlüsselung von Datensätzen, die aus dem selben Zweck verarbeitet werden
- Klare Trennung der für verschiedene Zwecke gespeicherten Daten
Auf der organisatorischen Seite könnten u.a. folgende Maßnahmen eingesetzt werden:
- Mandantentrennung
- Auf die jeweiligen Datensätze angepasste Datenbankrechte und Berechtigungskonzepte
Bei der Datenträgerkontrolle geht es um die Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern. Auch sind nach der DSGVO und dem BDSG-neu diverse Maßnahmen für den Datenschutz einzurichten.
Folgende technische Maßnahmen können ergriffen werden:
- Digitales Berechtigungskonzept
- Verschlüsselung von Datenträgern
- Sichere Aufbewahrung von Datenträgern, z.B. durch verschlossene Räumlichkeiten oder Behälter
Organisatorische Maßnahmen für die Datenträgerkontrolle können z.B. sein:
- Berechtigungskonzept
- Richtlinien zum Umgang mit Datenträgern
Bei dem TOM Speicherkontrolle geht es um die Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von personenbezogenen Daten.
Im Gegensatz zur Eingabekontrolle geht es hier also nicht um die Überprüfbarkeit der Datenverarbeitungen, sondern um die Verhinderung von unbefugten Datenverarbeitungen. Die technisch-organisatorischen Maßnahmen orientieren sich dabei an den Beispielen zur Eingabekontrolle (s.o.).
Durch die Benutzerkontrolle soll verhindert werden, dass unbefugte Personen automatisierte Verarbeitungssysteme mit Hilfe von Datenübertragungen nutzen können.
Zu den technischen Maßnahmen bei der Benutzerkontrolle gehören:
- Anti-Viren-Software
- Verschlüsselung
- Authentifikation durch die Eingabe eines Benutzernamens und Passwortes
- Festlegung zugangsberechtigter Mitarbeiter
Organisatorische Maßnahmen im Bereich der Benutzerkontrolle sind u.a.:
- Berechtigungskonzept
- Regelmäßige Kontrollen bezüglich der Berechtigungen
- Passende Zuteilung von Benutzerprofilen zu IT-Systemen
Die Benutzerkontrolle soll verhindern, dass Unbefugte automatisierte Verarbeitungssysteme mit Hilfe von Datenübertragung nutzen können.
Die TOM Datenintegrität beinhaltet die Sicherstellung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können. Hierzu gehört beispielsweise die Erstellung und Einrichtung eines Backup- und Recovery-Konzepts.
Datenschutzfreundliche Voreinstellungen Art. 25 DSGVO
Bei den datenschutzfreundlichen Voreinstellungen, auch bekannt unter “Privacy by Default”, geht es um den Grundsatz, dass durch Voreinstellungen nur Daten, die für den jeweiligen bestimmten Verarbeitungszweck unbedingt erforderlich sind, verarbeitet werden.
So sollten die Voreinstellungen von Portalen mit Benutzerprofilen (z.B. Social Media) derart konfiguriert werden, dass bereits die datenschutzfreundliche Konfiguration in den jeweiligen Einstellungen gewählt ist. Auch Checkboxen für datenschutzfreundliche Optionen sollten von Beginn an aktiviert sein.
Das Verhältnismäßigkeitsprinzip
Durch das Verhältnismäßigkeitsprinzip, welches sich mittelbar in Art. 32 DSGVO wiederfindet, schränken sich die TOM-Vorgaben marginal wieder selbst ein. Art. 32 DSGVO spricht nämlich davon, dass die Implementierungskosten der Maßnahmen zu berücksichtigen sind.
Die wirtschaftliche Angemessenheit ist also zu berücksichtigen. Beispielsweise können die TOM eines Kleinbetriebs aus wirtschaftlichen Aspekten nicht in allen Bereichen die gleichen Standards haben wie die TOM eines Großkonzerns. Unternehmen sollten für die Wirksamkeitsprüfung und auch für die Einhaltung des Verhältnismäßigkeitsprinzips einen Datenschutzbeauftragten zur Bewertung beauftragen. Weitere Informationen zur Angemessenheit des Schutzniveaus erhalten Sie in diesem Beitrag.
Folgen bei Verstößen gegen den Datenschutz
Sofern ein datenschutzrechtlicher Verstoß in den Bereich der technischen und organisatorischen Maßnahmen fällt, wird dieser Vorfall in der Regel als Verstoß gegen die Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f) DSGVO definiert. Damit verstoßen Verantwortliche gegen Grundsätze der Datenverarbeitung, welche zu einem Bußgeld von bis zu 20 Mio. € (oder 4% des Umsatzes) führen können gemäß Art. 83 Abs. 5 lit. a) DSGVO.
Sollten bei Prüfungen nach Meldung einer Datenpanne die getroffenen Schutzmaßnahmen (TOM) nicht als angemessen bewertet werden, geht der Verantwortliche ein hohes Risiko ein. Eine solche Überprüfung kann zu einem Bußgeld von bis zu 10 Mio. € (oder 2% des Umsatzes) führen gemäß Art. 83 Abs. 4 lit. a) DSGVO.
Gemäß der DSGVO sollten die Verstöße sowie die Obergrenze der entsprechenden Geldbußen und die Kriterien für ihre Festsetzung genannt werden, wobei diese Geldbußen von der zuständigen Aufsichtsbehörde in jedem Einzelfall nach besonderen Kriterien festzusetzen sind. Diese Kriterien sind insbesondere die Art, Schwere und Dauer eines Verstoßes und dessen Folgen. Auch die Maßnahmen, um die Einhaltung der Verpflichtungen aus der DSGVO zu gewährleisten und die Folgen des Verstoßes abzuwenden oder abzumildern, werden zur Feststellung herangezogen gemäß ErwG. 150 zur DSGVO.
TOM Datenschutz Muster
Hier können Sie eine editierbare Word-Datei herunterladen, zur weiteren Bearbeitung. Diese Word-Datei dient ausschließlich zur Orientierung und stellt keinesfalls eine finale Dokumentation von technischen und organisatorischen Maßnahmen dar. Die Angemessenheit von Maßnahmen muss immer individuell pro Unternehmen bewertet werden. Weitere Informationen zur Angemessenheit finden Sie hier.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.