Koreng/Lachenmann, Formularhandbuch Datenschutzrecht
Technische und organisatorische Maßnahmen bilden einen maßgeblichen Bestandteil des Datenschutzes! Die sogenannten TOM sind unerlässlich für den Schutz personenbezogener Daten und stellen so einen bedeutenden Baustein für die Sicherstellung des Datenschutzes dar. Jedoch gehen sie deutlich über den Datenschutz hinaus, da die technischen und organisatorischen Maßnahmen auch nicht personenbezogene Daten wie Geschäftsgeheimnisse (z.B. Know-How oder Bilanzen) umfassen. Bei Nichteinhaltung der TOM verhängen die Aufsichtsbehörden Bußgelder (PM aus Bayern v. 20.8.2015).
Technische und organisatorische Maßnahmen bilden eine Schnittstelle zwischen Datenschutz und der IT-Sicherheit. Diese drei Komplexe bilden die Informationssicherheit, die wiederum Teil der Compliance-Organisation eines Unternehmens ist. Die TOM sind regelmäßig an aktuelle zeitliche Entwicklungen anzupassen. Insbesondere die Snowden-Enthüllungen, die die systematische Kompromittierung von IT-Systemen durch Geheimdienste beweisen, kommt der Einhaltung und Aktualisierung der Technischen und organisatorischen Maßnahmen maßgebliche Bedeutung zu.
Geregelt sind die technisch und organisatorischen Maßnahmen in § 9 BDSG sowie der Anlage dazu. Sie enthalten insbesondere einen Katalog von 8 Punkten, die ein Unternehmen sicherzustellen hat. Jedes Unternehmen sollte die Einhaltung der Grundprinzipien der TOM sicherstellen, da bei Nicht-Einhaltung Bußgelder drohen.
Technische und organisatorische Maßnahmen: Einzuhaltende Anforderungen (§ 9 BDSG):
Die technischen und organisatorischen Maßnahmen haben auch Auftragsdatenverarbeiter (§ 11 BDSG) einzuhalten. Dem Auftraggeber obliegt die Kontrolle, darüber, dass der Auftragsdatenverarbeiter die gesetzlichen Regelungen einhält. In der Praxis wird dies in einem Prüfaudit anhand einer umfangreichen Prüftabelle durchgeführt.
Die TOM umfassen und werden in der Praxis unter anderem umgesetzt mit:
- Zutrittskontrolle: Sicherheitszonen, Schließanlagen, zentraler Empfang, …
- Zugangskontrolle: personalisierte Nutzerkennungen, Passwort-Richtlinien, …
- Zugriffskontrolle: Berechtigungskonzepte, Kontrolle, Protokollierung, …
- Weitergabekontrolle: Verschlüsselung, Authentifizierung, …
- Eingabekontrolle: Plausibilitätsprüfungen, Formatbeschränkungen, …
- Auftragskontrolle: Vor-Ort-Prüfungen, Dokumentensichtung, Audits, …
- Verfügbarkeitskontrolle: Backup-Verfahren, Redundanz, Notfallmanagement, …
- Datentrennungskontrolle: Einsatz mandantenfähiger Systeme, Archivierungskonzept, Richtlinien, …
Wichtige Ergänzungen finden sich auch im nunmehr verabschiedeten IT-Sicherheitsgesetz, über das ich Sie demnächst in einem Blogbeitrag informieren werde.
Gerne beraten wir Sie bei der Einrichtung der technischen und organisatorischen Maßnahmen. Nähere Informationen zu den TOM und eine umfangreiche Prüftabelle finden Sie in dem von RA Matthias Lachenmann mitherausgegebenen „Formularhandbuch Datenschutzrecht“.
