Was sind technische und organisatorische Maßnahmen?
Technische und organisatorische Maßnahmen (TOMs) sind wichtige Schritte, die jede Organisation, die personenbezogene Daten verarbeitet, ergreifen muss. Diese Maßnahmen sind in der Datenschutz-Grundverordnung (DS-GVO) festgelegt und zielen darauf ab, die Sicherheit der Datenverarbeitung zu gewährleisten. Die DS-GVO verlangt von Organisationen, dass sie die Rechte und Freiheiten der Personen, deren Daten sie verarbeiten, schützen. Dies beinhaltet die Gewährleistung einer rechtmäßigen Verarbeitung der Daten.
Wichtige Aspekte der DS-GVO
Es gibt spezifische Artikel in der DS-GVO, die für die Sicherheit personenbezogener Daten relevant sind:
- Artikel 24: Dieser Artikel legt fest, dass Organisationen die Datenschutzgrundsätze einhalten müssen. Diese Grundsätze umfassen Aspekte wie Rechtmäßigkeit, Fairness, Transparenz und Datenminimierung.
- Artikel 32: Hier werden Maßnahmen zur Sicherheit der Datenverarbeitung angesprochen. Organisationen sollten Maßnahmen wie Pseudonymisierung und Verschlüsselung von Daten ergreifen, insbesondere bei der Übertragung von Daten, wie z. B. in E-Mails.
- Artikel 25: Dieser Artikel betont den Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen. Organisationen sollten bereits bei der Entwicklung von Produkten und Dienstleistungen Datenschutzaspekte berücksichtigen, z. B. bei Prototypen oder Demonstratoren.
Dokumentation und Verantwortlichkeiten
Jede Organisation, die personenbezogene Daten verarbeitet, muss ein Verarbeitungsverzeichnis erstellen und fortlaufend aktualisieren. Dieses Verzeichnis ist in Artikel 30 der DS-GVO gefordert und sollte Informationen über die Datenverarbeitung enthalten, wie z. B. den Namen und die Kontaktdaten des Verantwortlichen, die Zwecke der Verarbeitung und die Fristen für die Löschung der Daten. Dieses Verzeichnis muss auch die technischen und organisatorischen Maßnahmen für jede Datenverarbeitungstätigkeit umfassen und auf Anfrage den Aufsichtsbehörden vorgelegt werden können.
Praktische Umsetzung von TOMs
Organisationen müssen abhängig von ihrer Größe und den durchgeführten Verarbeitungstätigkeiten ein breites Spektrum an technischen und organisatorischen Maßnahmen umsetzen. Dazu gehören die Erstellung von Informationssicherheitsrichtlinien, Zugriffskontrollen, die Verwendung sicherer Passwörter und Verschlüsselungsmethoden sowie Maßnahmen für die sichere Entsorgung von Dokumenten und Notfallpläne. Es ist wichtig, dass alle Maßnahmen regelmäßig überprüft und an neue Risiken angepasst werden.
Zusätzlich zu technischen Maßnahmen müssen Organisationen auch organisatorische Sicherheitsmaßnahmen ergreifen. Dazu gehört, dass Daten nur von autorisierten Personen eingesehen oder verändert werden können und dass die Integrität und Verfügbarkeit der Daten gewährleistet ist. Die Organisation muss auch das erforderliche Maß an Sicherheit beurteilen, basierend auf der Sensibilität und dem Wert der verarbeiteten Daten sowie den potenziellen Risiken bei einem Datenverlust.
Schließlich ist zu beachten, dass es keine Einheitslösung für Informationssicherheit gibt. Was für eine Organisation angemessen ist, hängt von ihren spezifischen Umständen und den Risiken ab, die ihre Datenverarbeitung mit sich bringt.