Klicken Sie hier um zur Suchseite zu gelangen
Klicken Sie hier um zum Warenkorb zu gelangen
Technische und organisatorische Maßnahmen (Art. 32 DS-GVO) oder die Mausefallen in den Bodentanks
Datenschutz und Datensicherheit haben viele Facetten
20.02.2025Datenschutz und Datensicherheit haben viele Facetten. Es geht um die Gewährleistung von Betroffenenrechten, die Prüfung der einzelnen Datenverarbeitungsvorgänge, die Dokumentation. Doch hilft dies, wenn es um den Schutz vor Angriffen von außen (Hacking) geht? Das darf bezweifelt werden. Daher schreibt die DS-GVO auch vor, dass es technische und organisatorische Maßnahmen geben muss, um Datenschutz und –sicherheit zu gewährleisten.
Was ist der Unterschied zwischen Datenschutz und Datensicherheit?
Ersteres ist die Ausprägung der Grundrechte jedes Einzelnen. Es wird die Autonomie jeder natürlichen Person im Umgang mit ihren personenbezogenen Daten geschützt. Auf der anderen Seite haben die Vorgaben zur Datensicherheit zum Ziel, einen unzulässigen Umgang mit Daten allgemein zu verhindern. Außerdem soll die Vertraulichkeit, Integrität und die Verfügbarkeit der Daten gewährleistet werden. Und dazu treffen Verantwortliche und Auftragsdatenverarbeiter TOMs.
Was sind TOMs?
Art. 32 DSGVO schreibt vor, dass Verantwortliche geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Der Stand der Technik, die Implementierungskosten, Art und Umfang, Umstände und Zwecke der Verarbeitung sind zu berücksichtigen. Dies klingt sehr kompliziert. Dies muss es aber nicht sein. Im folgenden Beitrag versuchen wir, einen Überblick über das Thema TOMs oder TOMen zu geben.
Welche Maßnahmen sind denn in meinem Unternehmen erforderlich?
Die Beantwortung dieser Fragen hängt von vier Faktoren ab.
Es können nur Maßnahmen ergriffen werden, die auch technisch machbar sind. Der Stand der Technik ist zu beachten. So sollten heute nur IT-Systeme verwendet werden, die auch eine Berechtigungskontrolle zulässt bzw. ein Berechtigungs- und Nutzungskonzept umsetzen kann. Mobile Datenträger können heute ohne Weiteres verschlüsselt werden.
Weiterhin braucht der Verantwortliche nur diejenigen Maßnahmen zu treffen, deren Kosten in einem angemessenen Verhältnis zum Risiko stehen. Eine wirtschaftliche Betrachtung im Hinblick auf die Maßnahme und die Reduzierung des Risikos kann vorgenommen werden.
Außerdem müssen Art, Umfang, Umstände und Zweck der Datenverarbeitung in die Abwägung einbezogen werden.
Werden Gesundheitsdaten oder andere Daten besonderer Kategorien verarbeitet?
Wo liegen die Daten – auf einem zentralen Server im Büro, in der EU oder sogar auf mobilen Datenträgern?
Ist der Zweck der Verarbeitung die Erfüllung eines Vertrags mit der betroffenen Person oder „nur“ das berechtigte Interesse, wie beim Newsletterversand?
Diese und weitere Fragen sollten hier beantwortet werden – vor der Festlegung der TOMs.
Last but not least sind die Eintrittswahrscheinlichkeit und die Schwere des Risikos für die persönlichen Rechte und Freiheiten der betroffenen Personen zu beachten. Es geht hier also um Prognoseentscheidungen. Wenn eine Bank Daten verarbeitet, wird die Eintrittswahrscheinlichkeit eines Risikos sicher höher zu bewerten sein, als bei einer Hausverwaltung. Dasselbe gilt – mit Abstrichen – auch für die Schwere des Risikos. Bei Berufsgeheimnisträgern – wie uns Anwälten - sind hier ebenfalls andere Anforderungen zu stellen.
Welche Maßnahmen sind hier denkbar?
Nun versuche ich es aber konkret zu machen. Die folgende Aufstellung ist eine beispielhafte und ausschnittsweise Aufstellung derartiger technischer und organisatorischer Maßnahmen. Wie Sie sehen, geht es um Kontrollmaßnahmen und Sicherheitsmaßnahmen:
1. Zugangskontrolle
Die Zugangskontrolle soll verhindern, dass Unbefugte Zugang zu Verarbeitungsanlagen erhalten, mit denen die Verarbeitung durchgeführt wird.
a. Alarmanlage
b. Chipkarten-/Transponder-Zugangssystem
c. Abschließbarer Serverraum
d. Sorgfältige Auswahl Reinigungspersonal
2. Datenträgerkontrolle
Die Datenträgerkontrolle soll verhindern, dass Unbefugte Datenträger lesen, kopieren, verändern oder löschen können.
a. Sichere Aufbewahrung von Datenträger im abgeschlossenen Serverraum oder Safe
b. VPN-Tunnel für Zugriff von Home/Remotearbeitsplätzen
c. Verschlüsselung von (mobilen) Datenträgern
d. Ordnungsgemäße Vernichtung von Datenträgern (DIN 66399)
3. Speicherkontrolle
Die Speicherkontrolle soll verhindern, dass unbefugte von gespeicherten personenbezogenen Daten Kenntnis nehmen sowie diese eingeben, verändern und löschen können.
a. Differenzierte Berechtigungen für Daten, Anwendungen und Betriebssystem
b. Verwaltung der Rechte durch Systemadministratoren
c. Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
4. Benutzerkontrolle
Die Benutzerkontrolle soll verhindern, dass Unbefugte automatisierte Verarbeitungssysteme mit Hilfe von Datenübertragung nutzten können.
a. Festlegung zugangsberechtigter Mitarbeiter
b. Erstellen von Benutzerprofilen
c. Passwortvergabe
5. Zugriffskontrolle
Die Zugriffskontrolle soll gewährleisten, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben.
a. Festlegung von Berechtigungen in den IT-Systemen
b. Differenzierte Berechtigungen für lesen, löschen und ändern
c. Differenzierte Berechtigungen für Daten, Anwendungen und Betriebssystem
6. Wiederherstellbarkeit
Die Wiederherstellbarkeit soll gewährleisten, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können.
a. Backup- & Recoverykonzept
b. Erstellen eines Notfallplans
7. Zuverlässigkeit
Die Zuverlässigkeit soll gewährleisten, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden.
a. Unabhängig voneinander funktionierende Systeme
b. Automatisierte Meldung von Fehlfunktionen
c. Anti-Viren-Schutz
Ein Datenschützer berichtete jüngst, dass er in Unternehmen, in denen er die TOMs prüfte, auch in den Bodentanks nach Mausefallen suchte. Es bestand offensichtlich die mutmaßliche Gefahr, dass Mäuse die Kabel anfressen und dies zu einem Verlust der Integrität führt. Ob diese Maßnahme wirklich erforderlich ist, hängt von den Umständen des Einzelfalls und dem Mäusebefall ab.
Einmal erledigt und dann?
Der erste Schritt ist die technischen und organisatorischen Maßnahmen zu treffen und umzusetzen. Art. 32 DS-GVO sieht aber daneben vor, dass diese TOMs regelmäßig überprüft, bewertet und evaluiert werden. Auch dafür sollte selbstverständlich ein Prozess implementiert werden: wer, wann, was macht.
Ist das nun alles?
Nein, Folgendes dürfen Sie nicht vergessen. Wenn Sie einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO) mit einem Auftragsverarbeiter schließen, vereinbaren Sie dabei auch die TOMs des Auftragsverarbeiters und entsprechende Kontrollrechte. Insbesondere die Ausübung der Kontrollrechte wird wohl bei der Nutzung großer Onlineplattformen eher schwierig. Wenn Sie aber mit Heizkostenabrechnern, Systemadministratoren verhandeln, dürfen Sie die TOMs nicht vergessen.
Fazit
Viele TOMs haben Sie bereits – Türschlösser, Passwortrichtlinien; viele TOMs können relativ leicht getroffen und umgesetzt werden. Wichtig ist hier vor allem, wie immer im Datenschutz, die Dokumentation der TOMs und der Prozess der regelmäßigen Prüfung.
Wollen Sie regelmäßig Infos zu neuen Videos, Webinaren, zum Immobilienrecht und Wissen für Immobilienverwalter erhalten? Dann melden Sie sich hier zum Newsletter an.
Autorin: Katharina Gündel, GROSS Rechtsanwaltsgesellschaft mbH
Bildnachweis: Pixabay
PS: Schulungen zum Datenschutz für Ihre Mitarbeiter – online, per Video oder individuell und in Präsenz – sprechen Sie uns gerne an: info@lewento.de